بررسی حملات انکار سرویس های توزیع شده یا DDoS

حمله DDoS یا دیداس چیست ؟ تفاون آن با حمله dos و راه مقابله - ایران هاست

حمله DDoS چیست؟

در واقع می‎‌توان حملات DDoS (Distributed Denial of Service) را تلاشی مخرب برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه به صورت هدفمند دانست.

این حملات با ایجاد اختلال در زیرساخت‎‌های سرورهای مختلف، در ترافیک اینترنت اخلال ایجاد می‎‌کنند و بدین صورت باعث ایجاد مشکلاتی همچون کندی عملکرد سایت می‎‌شوند. اگر بخواهیم به زبان ساده حمله DDoS را شرح دهیم، باید بگویم این حمله باعث ایجاد ترافیک غیرمنتظره و مسدود کردن عملکرد طبیعی وب‎سایت‎‌های اینترنتی می‎‌شود.

امروزه، از حملات DDoS برای دستیابی به داده‎‌ها، به خطر انداختن کسب‌وکار رقبا، ایجاد اختلال در سیستم‌‎عامل‌‎ها و غیره استفاده می‎‌شود. معمولا، حملات DDoS توسط یک یا چند IP معین صورت می‎‌گیرند و تشخیص آن‌ها کار راحتی نیست. اما شما به راحتی می‌‎توانید با افزایش دانش و آگاهی خود درباره این حملات از رخدادشان جلوگیری کنید.

حملات DDoS در دستگاه‌‎ها و سایت‎‌های متصل به یکدیگر رخ می‌‎دهند. از طریق این اتصالات و پخش بدافزارها در این چرخه متصل به‌‌ ‌هم، بر سرورها و دستگاه‌‎ها (توسط مهاجم یا مهاجمان) از راه دور کنترل‎ صورت می‎‌گیرد. این دستگاه‎‌ها را ربات/‌Bot یا زامبی/‌Zombie می‎‌خوانند و مجموع آنها را ربات‎‌ها Botnet می‎‌نامند.

پس از ایجاد Botnet ، مهاجم می‎‌تواند با ارسال دستورالعمل‎‌های مخرب از راه دور به ربات‎‌ها حمله کند. پس از آن که سرور یا شبکه یک قربانی توسط Botnet مورد هدف قرار گرفت، هر ربات درخواست‎‌هایی را به آدرس IP هدف ارسال می‎‌کند. و اینگونه، سرور یا شبکه بیش از حد تحت فشار قرار می‌‎گیرد. و در نتیجه، اختلالاتی در سرور یا شبکه ایجاد می‎‌شود. اما، از آنجا که هر ربات یک دستگاه اینترنتی مجاز است، جدا کردن حملات ترافیکی از ترافیک عادی ممکن است برای برخی از مدیران سرورها کاری دشوار باشد.

چگونه حمله DDoS را شناسایی کنیم؟

از بارزترین نشانه‌‎های حمله DDoS می‎‌توان به کند شدن ناگهانی سایت یا سرویس‎‌های اینترنتی اشاره کرد. اما به دلیل اینکه اغلب حملات داس با اختلالات دیگر اینترنتی مشابه هستند، نیاز به بررسی بیشتر برای شناسایی آنها وجود دارد. شما برای این کار می‌‎توانید از ابزارهای تجزیه و تحلیل ترافیک استفاده کنید. اگر بخواهیم به برخی از علائم آشکار حملات DDoS اشاره کنیم، می‎‌توانیم موارد ذیل را نام ببریم:

  • افزایش مقدار ترافیک یک آدرس یا محدوده IP
  • افزایش ترافیک کاربرانی که پروفایل رفتاری واحد دارند. مانند استفاده از یک نوع دستگاه، موقعیت جغرافیایی واحد و ….
  • افزایش ناگهانی درخواست‎‌ها برای مراجعه به یک صفحه یا سایت خاص
  • الگوهای ترافیکی عجیب و غریب مانند مراجعه به صفحه خاصی در ساعات غیرقابل پیش‎‌بینی

با در نظر گرفتن موارد فوق می‎‌توان به جلوگیری از حملات سایبری پرداخت. البته، برای اینکه مشخص کنید آیا حمله DDoS رخ داده است یا نه، به بررسی دقیق و  بیشتری نیاز دارید.

ابزارهای مورد استفاده در حمله دیداس چیست ؟

حمله DDoS یا دیداس چیست ؟ تفاون آن با حمله dos و راه مقابله - ایران هاست

حال که با مفهوم دیداس چیست و نحوه ایجاد حمله دیداس آشنا شده اید باید بدانید که برای این عمل چندین ابزار و نرم افزار حمله DDoS شناخته شده وجود دارد که باید با آنها نیز آشنا باشیم. معماری این ابزارها بسیار مشابه است و در واقع بعضی ابزارها از طریق تغییرات کمی در سایر ابزارها ساخته شده اند. در این مطلب ما وظیفه مندی بعضی از این ابزارها را به طور خلاصه نشان می‌دهیم.

TRINOO در حمله ddos
Trinoo به عنوان اولین ابزاری است که در DDoS استفاده شده است.Trinoo یک ابزار تخلیه پهنای باند است و از ان برای ارسال سیل عظیمی‌ از ترافیک UDP برروی یک یا چند IP استفاده می‌شود. معمولاً عامل‌های ترینو در سیستمی‌نصب می‌شود که دارای باگ Buffer overfollow باشند. Handler‌ها از UDP یا TCP برای ارتباط با agentها استفاده می‌کند لذا سیستم‌های کشف نفوذ می‌توانند تنها با بوکشیدن ترافیک UDP آنها را پیدا کنند.

TFN
در سال ۱۹۹۹ نوشته شده است و مانند TRINOO یک ابزاری است که برای تخلیه سازی پهنای باند و منابع سرویس قربانی استفاده می‌شود . این ابزار از یک واسط خط فرمان برای ارتباط بین مهاجم و برنامه اصلی کنترل استفاده می‌کند اما هیچ رمزنگاری میان عامل‌ها(Agents) و گرداننده‌ها (Handlers) و یا میان گرداننده‌ها (Handlers) و مهاجم (Attacker) ارائه نمی‌دهد. علاوه بر سیل UDP ترینو، TFN اجازه سیل ICMP و نیز حملات Smurf را می‌دهد. ارتباط بین گرداننده (handlers)و شیاطین(agents) با بسته‌های ICMP ECHO REPLY انجام می‌شود، که کشف آنها از بسته‌های UDP سخت تر بوده و اغلب می‌توانند از سیستم‌های دیوار آتش عبور کنند. TFN حملات DDoS را راه اندازی می‌کند که مخصوصاً سخت تلافی می‌شود چرا که می‌تواند چندین نوع از حملات را تولید کرده و می‌تواند بسته‌هایی با آدرس‌های IP مبدأ جعلی تولید کند و همچنین پورت‌های مقصد را به طور تصادفی نشان دهد.

Stacheldraht
(یک واژه آلمانی به معنای «سیم خاردار») بر پایه نسخه‌های اولیه TFN می‌باشد و تلاش می‌کند بعضی از نقاط ضعف آن را از بین ببرد. Stacheldraht ویژگی‌های Trinoo (معماری گرداننده/عامل) را با ویژگی‌های TFN اصلی ادغام می‌کند. Stacheldraht همچنین دارای توانایی انجام بروزرسانی در عامل‌ها به طور خودکار می‌باشد. یعنی مهاجم می‌تواند روی هر سرور ناشناخته فایل نصب کند و هنگامی‌که یک عامل روشن شد (یا به اینترنت وصل شد) عامل می‌تواند به طور خودکار بروزرسانی‌ها را پیدا کرده و آنها را نصب کند. Stacheldraht همچنین یک اتصال telnet امن توسط رمزنگاری کلید متقارن میان مهاجم سیستم‌های گرداننده برقرار می‌کند.

ارتباط از طریق بسته‌های TCP و ICMP ایجاد می‌گردد. بعضی از حملاتی که توسط Stacheldraht می‌توانند راه اندازی شوند شامل سیل UDP ، سیل درخواستICMP echo و پخش هدایت شده ICMP می‌شود. شیاطین حمله برای Stacheldraht حملات Smurfوسیل UDP و سیل ICMP را انجام می‌دهند. نسخه‌های جدید برنامه امکانات بیشتر و اثرات مختلفی دارند.

970 بازدید