آشنایی با حملات DDOS
10 بهمن ماه 1394

یکی از خطرناك‌ترين و گسترده‌ترين حملات و تهديدات اينترنتي اختصاص به حملات DDoS (Distributed Denial of Service) دارد. حتي با وجود گسترده و متنوع شدن حملات اينترنتي و سوق يافتن حملات به سوي تهديدهای سازمان ‌يافته و سلسله ‌مراتبي با هدف‌ هاي كاملاً آشكار سياسي و اقتصادي، باز هم آمار و ارقام از برتري حملات DDoS خبر مي‌دهد و به‌نظر مي‌رسد هنوز اين نوع حملات را بايد خطرناك‌ترين نوع تهديدهای اينترنتي به شمار آورد.

 

*حملات مرگ‌آسا*

DDoS گونه‌اي از حملات هستند كه باعث از كار افتادن شبكه، سرور، ‌سايت، مجموعه‌اي از كامپيوترها يا سرويس‌هاي شركت ها يا سازمان ها مي‌شوند. ساده‌ترين شكل اين حملات را مي‌توان ارسال تعداد زياد درخواست براي يك سرور يا ‌سايت در‌نظر گرفت به طوري كه آن سرور يا ‌سايت نتواند به اين همه درخواست سرويس بدهد و در نتيجه از كار بيفتد. هكرها در دهه‌ 1990 از يك كامپيوتر يا شبكه اقدام به ارسال درخواست‌ها يا بسته‌هاي ترافيكي براي از كار انداختن سرويس‌ها و سرورها مي‌كردند و كمتر در معرض شناسايي يا لو رفتن بودند اما اكنون با پيچيده شدن سيستم‌هاي امنيتي و ارتقای نرم‌افزاري سرورها و فايروال‌هاي شبكه و همچنين تغيير ذاتي اينترنت و ترافيك شبكه‌ها نمي‌توان از يك كامپيوتر يا سرور به تنهايي به راه‌اندازي يك حمله DDoS اقدام کرد و به ناچار بايد به سراغ چند ده يا چند صد كامپيوتر قرباني ديگر در سراسر اينترنت رفت. به اين كامپيوترهاي قرباني به‌اصطلاح بات‌نت  مي‌گويند. كامپيوتر قرباني بدون اين‌كه بداند و غيرآگاهانه و غيراختياري در يك حمله DDoS شركت مي‌كند و جزئي از نقشه و طرح حمله مي‌شود و جرمي را مرتكب خواهد شد. همچنین، ترافيك شبكه و اينترنت را نيز مصرف كرده است. بسياري از كاربران فكر مي‌كنند كامپيوترهاي خانگي هيچ‌گاه درگير حملاتDDoSمي‌شوند يا قرباني اين‌گونه حملات نيستند اما آمار و ارقام و گزارش‌هاي مراكز امنيتي خلاف اين موضوع را نشان مي‌دهد و اتفاقاً به‌عكس، بيشتر از گذشته كامپيوترهاي خانگي در پيش‌برد حملات DDoS و موفقيت هكرها نقش دارند.

 

*آمار و ارقام حيرت‌انگيز!*

براساس گزارش شركت Prolexic <http://www.prolexic.com/> پهناي‌ باند مصرفي براي حملات DDoS در چهار ماهه اول سال 2013 هشت برابر بيشتر از چهار ماهه مشابه سال گذشته شده است و به مرز 48.25 گيگابيت در ثانيه رسيده است كه يك آمار حيرت‌انگيز و نگران‌كننده به‌شمار می‌آید. در چهار ماهه اول سال 2012 فقط 6.1 گيگابيت در ثانيه از ترافيك شبكه به حملات DDoS اختصاص داشته كه در چهار ماهه آخر سال 2012  اين ترافيك كاهش داشته و به مرز 5.9  گيگابيت بر ثانيه رسيده است. همچنين اين شركت گزارش مي‌دهد در چهار ماهه اول سال بالاترين ترافيك اختصاصي به اين حملات 130 گيگابيت بر ثانيه بوده است. همچنين در اين گزارش آمده است كه طول مدت زمان وقوع يك حمله DDoS به طور ميانگين از 28.5 ساعت در سال 2012 و 32.5 ساعت در چهار ماهه آخر سال 2012 به 34.5 ساعت در سال 2013 رسيده است. مهندسان شركت Prolexic از يك حملهDDoS با مصرف 160 گيگابيت ترافيك اينترنت خبر داده‌اند و پيش‌بيني مي‌كنند. در ماه ژوئن شاهد حملاتي با مصرف ترافيك 200 گيگابيت بر ثانيه خواهيم بود كه استفاده از اين حجم تأثيرات و عواقب زيادي به همراه خواهد داشت.

طبق گزارش‌هاي سايت Ars Technica <http://www.arstechnica.com/> نوع جديدي از حمله DDoS در ماه‌هاي اخير توسط هكرها مورد استفاده قرار مي‌گيرد كه در آن به جاي استفاده از بات‌نت‌هاي كامپيوتر شخصي يا اداري از سرورها استفاده مي‌شود كه ترافيك و پهناي‌باند بيشتري در اختيار دارند و در قياس با كامپيوترهاي شخصي ظرفيت‌هاي بالاتري را براي از كار انداختن سرويس‌ها و سرورها ايجاد مي‌كنند. آرس‌تكنيكا هفته گذشته از يك حمله DDoS در حال انجام خبر داد كه با استفاده از ماجول‌هاي وبلاگ نرم‌افزار وردپرس در حال انجام بود و تا پيش از آن هيچ‌گونه گزارشي درباره اين نوع حملات صورت نگرفته استنكته مهمي كه بايد به‌آن اشاره كرد و در گزارش مؤسسه Prolexic نيز آورده شده است، پشت پرده اين حملات بزرگ و گسترده DDoS است كه هزينه مالي زيادي دارند. امروزه براي اين‌گونه حملات تأمين‌كننده‌هاي مالي قدرتمند و خوبي يافت مي‌شود كه روز‌به‌روز هم در حال افزايش هستند. اهداف اين حاميان مالي نيز متفاوت است اما آن‌چه كه مشخص و واضح است، سازمان‌يافته بودن اين حملات و پشتيباني‌هاي مالي است. بدون تأمين امكانات و تجهيزات مورد نياز نمي‌توان حملات DDoS با ترافيك 160 گيگابيت بر ثانيه را به مدت 35 ساعت راه‌اندازي و مديريت كرد! در گزارش مؤسسه Prolexic آورده شده است كه: «حملات DDoS گسترده‌اي كه طي ماه‌هاي اخير شاهد بوده‌ايم، نيازمند منابع مالي زياد، نيروي انساني، مهارت و زنجيره‌اي از دستورات و مراحل هستند و به‌‌راحتي قابل برنامه‌ريزي و اجرا نيستند. به همين دلیل اين نوع حملات بيشتر مورد توجه هكرهاي بين‌المللي و فرامنطقه‌اي هستند و دولت‌ها و گروه‌هاي بزرگ سياسي و اقتصادي را به‌عنوان حامي خود مي‌بينند.» البته، بايد اذعان كرد بزرگ‌ترين اهداف حملات DDoS شش ماهه اخير بانك‌ هاي كشور امريكا بوده‌اند كه نياز به ترافيك زيادي براي مختل شدن آن‌ها وجود داردمؤسسه Prolexic معتقد است حملات DDoS با ترافيك‌هاي چند ده گيگابيتي فراتر از كدهاي اسكريپت، برنامه‌هاي نرم‌افزاري، بات‌نت‌ها و يك سري اهداف مشخص شده هستند و تجهيزات گسترده‌اي را به خدمت مي‌گيرند. در واقع بايد گفت حملات DDoS در سال‌هاي گذشته فقط مبتني‌بر روش‌های هك و نفوذ به شبكه و سيستم‌ها بوده و براساس باگ‌هاي نرم‌افزارها يا سرورها پياده‌سازي مي‌شدند اما اكنون سرويس‌دهنده‌هاي اينترنت، مراكز داده، كابل‌هاي فيبر نوري، پهناي‌باند بين منطقه‌اي، تجهيزات سخت‌افزاري و ابزارهاي ديگري نيز در يك حمله DDoS به خدمت گرفته مي‌شوند.

 

*داستان دهه 2010*

حمله‌های DDoS در هفته‌هاي اخير كاهش نداشتند بلكه قوي‌تر و ترافيك و زمان بيشتري به خود اختصاص مي‌دهند و خطرناك‌تر به‌نظر مي‌رسند. مؤسسه Prolexic از يك حمله DDoS در سه‌ شنبه 16 آوريل خبر مي‌دهد كه طي آن شبكه CloudFlare در شهر سانفرانسيسكو به مدت 45 دقيقه توسط 80 هزار سرور در سراسر اينترنت مورد هجوم بسته‌هاي اطلاعاتي قرار گرفته است. حمله به CloudFlare در نيمه سال گذشته از نظر طول مدت زمان حمله و گستردگي آن توسط برنامه‌هاي كاربردي سمت وب سرور بي‌سابقه بوده است. به‌خصوص اين‌كه بدانيم اين شبكه از پروتكل امن HTTPS استفاده مي‌كند كه جلوگيري از حملات DDoS را سخت‌تر می‌کند. مت پرينس مديرعامل شركت CloudFlare در اين‌باره به خبرنگار آرس‌تكنيكا مي‌گويد: «هميشه حملات فيزيكي خطرناك‌ترين حملات در اينترنت نيستند. اكنون ما شاهد حملاتي هستيم كه توسط نرم‌افزارهاي تحت وب صورت گرفته و مي‌توانند در هر ثانيه يك تن اطلاعات را به سمت يك صفحه وب ارسال كنند.» در اين‌گونه حملات هكرها با ارسال درخواست‌هاي ورود به سايت با نام كاربري و رمز عبور نامعتبر در حجم بسيار بالاي چند ده هزارتايي سعي مي‌كنند بانك اطلاعاتي و سرويس‌دهنده سايت را از كار بياندازند و مختل كنند. زیرا دريافت هر درخواست لاگين به سايت و ثبت آن در سرويس‌ دهنده و مراجعه به بانك اطلاعاتي و تطابق اطلاعات و اعلام نامعتبر بودن از سوي بانك اطلاعاتي و پاسخ دادن به درخواست توسط سرويس‌دهنده فرآيندی طولاني است كه نياز به پردازش‌هاي سنگين و برخورداري از ترافيك زياد و همچنين بانك‌ هاي اطلاعاتي قدرتمند دارد. ثبت چنين درخواست‌هايي به تنهايي مي‌تواند باعث مختل شدن سرويس‌دهي يك وب‌سرور شود.

اوضاع زماني وخيم ‌تر مي‌شود كه هدف اين نوع حملات نرم‌افزارهاي CMS وبي مانند جوملا و وردپرس باشند. زیرا اين نرم‌افزارهاي مديريت سايت در سطح متوسطي برنامه‌نويسي شده‌اند و اصولاً كاربري آن‌ها خانگي يا اداري كوچك و متوسط است و براي وب‌سرورهاي بزرگ و گسترده با چندين هزار كاربر مناسب نيستند و نمي‌توانند جوابگو باشند. اين نوع نرم‌افزارها را مي‌توان با ويندوز XP در دهه قبل مقايسه كرد كه كاربري‌هاي خانگي و اداري داشت و براي كارهاي سروري مناسب نبودبنابراين، تركيب سه پارامتر بودجه و امكانات، برنامه‌هاي كاربردي و بي مانند جوملا و وردپرس و در نهايت استفاده از روش‌های جديد سبب مي‌شود شاهد حملات DDoS مخرب‌تر و قدرتمندتري باشيم كه خطرات آن‌ها به مراتب بيشتر از گذشته است.

مديرعامل CloudFlare مي‌گويد: «در دهه 2000 داستان بسيار ساده بود. كامپيوترهاي شخصي و "بات ‌نت‌ ها" در حملات DDoS شركت مي‌كردند و مي‌شد با نرم‌افزارهاي ضد اسپم يا ضد‌ويروس به‌سادگي از قرباني شدن و رخ دادن حملات گسترده جلوگيري كرد. اما داستان دهه 2010 متفاوت است و شما با سرورهاي قرباني روبه‌رو هستيد كه قدرت و پهناي باند زيادي دارند. سرورها قدرتي ده برابر كامپيوترهاي دسكتاپ دارند و به همان اندازه صدمه زدنشان  بيشتر است.