بررسی 12 نوع از مشهورترین انواع حملات DDoS

بررسی 12 نوع از مشهورترین انواع حملات DDoS

این روزها در خبرهای حوزه امنیت، بسیاری از خبرها متعلق به انجام حملات DDoS به زیر ساخت ها است و بسیاری از سازمان ها در حال حاضر متوجه شده اند، هر گونه کسب و کار، صرف نظر از اندازه و مکان آن، یک هدف برای حملات انکار سرویس توزیع شده (DDoS) است.

حملات DDoS شامل حملاتی است که بصورت سیل آسا، وب سایت سازمان را با حجم زیادی از ترافیک مورد حمله قرار میدهند، با این هدف که سایت سرویس دهنده را آفلاین نمایند که منجر به قطع دسترسی به سرویس مورد نظر میگردد. کسانی که تحت تأثیر حملات DDoS قرار می گیرند، اغلب از زمان خراب شدن رنج می برند، که منجر به زیان مالی و صدمه به شهرت آنها می شود.
یکی از گسترده ترین حملات DDoS که تا کنون رخ داده است، در سال 2016 اتفاق افتاد، زمانی که سرویس دهنده های DNS ارائه کننده Dyn آنلاین نبودند. از آنجایی که Dyn یک ارائه دهنده DNS است، بسیاری از سازمان های جهانی بر روی دسترسی به سرویس های خود متکی بودند تا اطمینان حاصل شود که وبسایت ها قادر به اجرای آن هستند. این در نهایت به این معنی بود که وقتی Dyn به صورت آفلاین قرار گرفته شد، بر روی بسیاری از سازمان های دیگر نیز تاثیر مستقیم گذاشت. وب سایت های مهم که تحت تاثیر این حمله قرار داشتند شامل نیویورک تایمز، توییتر Pinterest، Reddit، Tumblr، GitHub، Etsy، Spotify، PayPal و Verizon بود. این حملات نه تنها موجب ناراحتی زیادی برای سازمانها و مشتریان آنها شد، بلکه می تواند به طور قابل توجهی از لحاظ مالی هم همه آنها را تحت تاثیر قرار دهد.
به علت آسیب قابل توجهی که ممکن است یک حمله DDoS ایجاد شود، بسیاری از تیم های فناوری اطلاعات در مقابل تهدید قرار می گیرند. با این حال، چه بسیاری از تیم های فناوری اطلاعات ممکن است کاملا ناآگاه از آن باشد که مجرمان سایبری انواع مختلفی از انواع حملات DDoS را در مشت خود دارند و به فراخور زمان ممکن است از یک یا ترکیبی از انها استفاده نمایند.

در زیر به 12 نوع از مهمترین حملات DDoS اشاره شده است که از خطرناک ترین و مضرترین حملات هستند و دانستن در مورد آنها به تیم های امنیتی کمک می کند تا با داشتن برنامه های مناسب برای دفاع و مقابله با آنها، از خود محافظت نمایند:

1 - DNS Amplification: این حمله یک نوع "انعکاس" حمله است که در آن یک عامل مرتکب شده اقدام به زدن کوئری هایی میکند که از آدرس آی پی تقلبی قربانی مورد نظر استفاده می کنند. استفاده از آسیب پذیری ها در سرورهای نام دامنه (DNS) ، پاسخ ها را به بسته های UDP بسیار بزرگتر کرده و سرورهای هدف، فلود می شوند.

2 - UDP Flood : در این حمله، مهاجم از بسته های IP حاوی دیتاگرام UDP برای قرار دادن پورت های تصادفی در یک شبکه هدف استفاده می کند. سیستم قربانیان تلاش می کند تا هر یک از استراتژی های دیتاگرام را با یک برنامه مطابقت دهد، اما نمیتواند و دائم تلاش می کند که جلوی پاسخ بسته ی UDP را بگیرد که این تلاش، بزودی سیستم هدف را خسته کرده و از پاری درخواهد آورد.

3 - DNS Flood : شبیه به حمله  UDP Flood است، این حمله شامل عواملی اس که با استفاده از مقادیر جمعی از بسته های UDP برای از بین بردن منابع سرور تلاش میکنند. با این حال، در اینجا، هدف این است که سرورهای DNS و مکانیزم های حافظه پنهان خود را با هدف جلوگیری از تغییر مسیر درخواست های قانونی ورودی به منابع منطقه DNS، فلج نمایند.

4 - HTTP Flood : این حمله به منظور هدف قرار دادن یک برنامه یا وب سرور با استفاده از تعداد زیادی از درخواست HTTP GET یا POST، ظاهرا قانونی انجام میگردد. این درخواستها اغلب برای جلوگیری از تشخیص مجرمان با به دست آوردن اطلاعات مفید در مورد هدف قبل از حمله ساخته شده است.

5 - IP Fragmentation Attack : این حمله اکسپلویت نمودن MTU جهت سرزیر نمودن سرور هدف است. این حمله را می توان با ارسال بسته های ICMP و UDP جعلی که بیش از MTU شبکه است به مقصد ارسال نمود تا منابع سرور به سرعت مصرف شوند تا سیستم نتواند بسته ها را بازسازی نماید و از دسترس خاج شود. مجرمان همچنین می توانند یک حمله Teardrop یا گاز اشک آور را اجرا کنند که با جلوگیری از بازسازی بسته های TCP / IP کار می کند. این حمله نیز شامل ارسال بسته‌های آی پی است که با هم تداخل دارند یا بسته‌هایی با سایز بزرگ یا بسته‌هایی با ترتیب نامناسب می‌باشند. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند crash کند.

6 - NTP Amplification: دستگاه های متصل به اینترنت از پروتکل های زمان شبکه (NTP) برای هماهنگ سازی ساعت استفاده می کنند. همانند حمله متمرکز DNS، در اینجا نیز حمله کنددگان از تعداد زیادی از سرورهای NTP استفاده میکنند تا توسط انها بسته های UDP زیادی را به سمت مقصد ارسال کنند تا مقصد از دسرترس خارج شود.

7 - Ping Flood - یکی دیگر از حملات سیلاب معمولی که از اکو شدن تعداد زیادی از درخواست های ICMP استفاده میکند. برای هر پینگ فرستاده شده، باید یک پاسخ متقاطع که حاوی همان تعداد بسته است  بازگشت شود، لذا سیستم هدف تلاش می کند تا به درخواست های بی شماری پاسخ دهد، در نهایت پهنای باند شبکه خود را مسدود می کند. همچنین ping of death که نوع دیگری از این حمله است نیز، به ارسال‌هایی از بسته‌های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می‌شودکه باعث crash شدن سیستم عامل می گردد.

8 - SNMP Reflection: پروتکل SNMP به مدیران سیستم کمک میکند که اطلاعات مهمی را از سرورهای داخل شبکه کسب نموده و یا دستورات ساده ای را برای این سرورها ارسال نمایند.در این نوع حمله با استفاده از یک آدرس IP جعلی قربانی، یک حمله کننده می تواند بسیاری از درخواست های SNMP را بصورت انفجاری به دستگاه ها بفرستدد، که در ازای هر درخواست، انتظار می رود که به طور صریح پاسخ داده شود. تعداد دستگاه های متصل شده می تواند به صورت دستی به سمت بالا حرکت کند، به طوری که سرعت و کیفیت شبکه در نهایت توسط مقدار پاسخ های SNMP کاهش می یابد.

9 - SYN Flood : هر جلسه TCP نیاز به برقراری ارتباط سه جانبه بین دو سیستم دارد. با استفاده از یک سیل SYN، مهاجم به سرعت به هدف با درخواست های اتصال بسیاری می پردازد که نمی تواند آن را حفظ کند و منجر به اشباع شبکه شود. در واقع زمانی اتفاق می افتد که میزبانی از بسته‌های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌ها همانند یک درخواست اتصال بوده و باعث می‌شود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بسته‌های TCP/SYN ACK، منتظر بسته‌های پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می‌کنند و آن را از پاسخگویی به درخواست‌های مجاز تا پایان حمله بازمیددارد. بنابر این منابع سرور به اتصال‌های های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع می‌شود.

10 - Smurf Attack : این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی را می دهد، متکی است. در چنین حمله‌ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می‌کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه پاسخ را به سرور، ارسال همه پخشی می‌کنند. سرور همه پخشی پاسخ‌های دریافتی را به ماشین هدف هدایت یا ارسال می‌کند. بدین صورت زمانی که ماشین حمله‌کننده تقاضائی را به چندین سرور روی شبکه‌های متفاوت همه پخشی می نماید، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می‌شود و از انتقال بسته‌های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی‌های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.

11 - Ping of Death - PoD : یک شیوه است که هکرها بسته های غیر عادی یا بادکنکی (به وسیله pinging) ارسال میکنند تا حافظه سرور سرریز کرده و کرش کند. سرریز حافظه زمانی اتفاق می افتد که در تلاش برای بازسازی بسته های داده بزرگ باشد. مهاجمان میتوانند از هر نوعی از IP datagram ، از جمله ICMP echo، UDP، IDX و TCP برای حمله استفاده کنند.

12 - Fork Bomb: این حمله DoS از داخل یک سرور هدف آغاز می شود. در یک محیط مبتنی بر یونیکس، یک Fork،یک کپی از والد خود را برای فرزند فراخوانی میکند. هر دو فرآیند می توانند وظایف همزمان را در هسته سیستم مستقل از یکدیگر انجام دهند. با استفاده از یک بمب انفجاری (a.k.a, “rabbit virus”)، یک حمله کننده مرتکب بسیاری از Forkهای بازگشتی می شود که سیستم هدف به طور داخلی غرق شده و از دسترس خارج میگردد.