بررسی 12 نوع از مشهورترین انواع حملات DDoS
این روزها در خبرهای حوزه امنیت، بسیاری از خبرها متعلق به انجام حملات DDoS به زیر ساخت ها است و بسیاری از سازمان ها در حال حاضر متوجه شده اند، هر گونه کسب و کار، صرف نظر از اندازه و مکان آن، یک هدف برای حملات انکار سرویس توزیع شده (DDoS) است.
حملات DDoS شامل حملاتی است که بصورت سیل آسا، وب سایت سازمان را با حجم زیادی از ترافیک مورد حمله قرار میدهند، با این هدف که سایت سرویس دهنده را آفلاین نمایند که منجر به قطع دسترسی به سرویس مورد نظر میگردد. کسانی که تحت تأثیر حملات DDoS قرار می گیرند، اغلب از زمان خراب شدن رنج می برند، که منجر به زیان مالی و صدمه به شهرت آنها می شود.
یکی از گسترده ترین حملات DDoS که تا کنون رخ داده است، در سال 2016 اتفاق افتاد، زمانی که سرویس دهنده های DNS ارائه کننده Dyn آنلاین نبودند. از آنجایی که Dyn یک ارائه دهنده DNS است، بسیاری از سازمان های جهانی بر روی دسترسی به سرویس های خود متکی بودند تا اطمینان حاصل شود که وبسایت ها قادر به اجرای آن هستند. این در نهایت به این معنی بود که وقتی Dyn به صورت آفلاین قرار گرفته شد، بر روی بسیاری از سازمان های دیگر نیز تاثیر مستقیم گذاشت. وب سایت های مهم که تحت تاثیر این حمله قرار داشتند شامل نیویورک تایمز، توییتر Pinterest، Reddit، Tumblr، GitHub، Etsy، Spotify، PayPal و Verizon بود. این حملات نه تنها موجب ناراحتی زیادی برای سازمانها و مشتریان آنها شد، بلکه می تواند به طور قابل توجهی از لحاظ مالی هم همه آنها را تحت تاثیر قرار دهد.
به علت آسیب قابل توجهی که ممکن است یک حمله DDoS ایجاد شود، بسیاری از تیم های فناوری اطلاعات در مقابل تهدید قرار می گیرند. با این حال، چه بسیاری از تیم های فناوری اطلاعات ممکن است کاملا ناآگاه از آن باشد که مجرمان سایبری انواع مختلفی از انواع حملات DDoS را در مشت خود دارند و به فراخور زمان ممکن است از یک یا ترکیبی از انها استفاده نمایند.
در زیر به 12 نوع از مهمترین حملات DDoS اشاره شده است که از خطرناک ترین و مضرترین حملات هستند و دانستن در مورد آنها به تیم های امنیتی کمک می کند تا با داشتن برنامه های مناسب برای دفاع و مقابله با آنها، از خود محافظت نمایند:
1 - DNS Amplification: این حمله یک نوع "انعکاس" حمله است که در آن یک عامل مرتکب شده اقدام به زدن کوئری هایی میکند که از آدرس آی پی تقلبی قربانی مورد نظر استفاده می کنند. استفاده از آسیب پذیری ها در سرورهای نام دامنه (DNS) ، پاسخ ها را به بسته های UDP بسیار بزرگتر کرده و سرورهای هدف، فلود می شوند.
2 - UDP Flood : در این حمله، مهاجم از بسته های IP حاوی دیتاگرام UDP برای قرار دادن پورت های تصادفی در یک شبکه هدف استفاده می کند. سیستم قربانیان تلاش می کند تا هر یک از استراتژی های دیتاگرام را با یک برنامه مطابقت دهد، اما نمیتواند و دائم تلاش می کند که جلوی پاسخ بسته ی UDP را بگیرد که این تلاش، بزودی سیستم هدف را خسته کرده و از پاری درخواهد آورد.
3 - DNS Flood : شبیه به حمله UDP Flood است، این حمله شامل عواملی اس که با استفاده از مقادیر جمعی از بسته های UDP برای از بین بردن منابع سرور تلاش میکنند. با این حال، در اینجا، هدف این است که سرورهای DNS و مکانیزم های حافظه پنهان خود را با هدف جلوگیری از تغییر مسیر درخواست های قانونی ورودی به منابع منطقه DNS، فلج نمایند.
4 - HTTP Flood : این حمله به منظور هدف قرار دادن یک برنامه یا وب سرور با استفاده از تعداد زیادی از درخواست HTTP GET یا POST، ظاهرا قانونی انجام میگردد. این درخواستها اغلب برای جلوگیری از تشخیص مجرمان با به دست آوردن اطلاعات مفید در مورد هدف قبل از حمله ساخته شده است.
5 - IP Fragmentation Attack : این حمله اکسپلویت نمودن MTU جهت سرزیر نمودن سرور هدف است. این حمله را می توان با ارسال بسته های ICMP و UDP جعلی که بیش از MTU شبکه است به مقصد ارسال نمود تا منابع سرور به سرعت مصرف شوند تا سیستم نتواند بسته ها را بازسازی نماید و از دسترس خاج شود. مجرمان همچنین می توانند یک حمله Teardrop یا گاز اشک آور را اجرا کنند که با جلوگیری از بازسازی بسته های TCP / IP کار می کند. این حمله نیز شامل ارسال بستههای آی پی است که با هم تداخل دارند یا بستههایی با سایز بزرگ یا بستههایی با ترتیب نامناسب میباشند. این حمله میتواند سیستم عاملهای مختلف را به علت اشکالی که در کد بازسازی مجدد بخشهای TCP/IP دارند crash کند.
6 - NTP Amplification: دستگاه های متصل به اینترنت از پروتکل های زمان شبکه (NTP) برای هماهنگ سازی ساعت استفاده می کنند. همانند حمله متمرکز DNS، در اینجا نیز حمله کنددگان از تعداد زیادی از سرورهای NTP استفاده میکنند تا توسط انها بسته های UDP زیادی را به سمت مقصد ارسال کنند تا مقصد از دسرترس خارج شود.
7 - Ping Flood - یکی دیگر از حملات سیلاب معمولی که از اکو شدن تعداد زیادی از درخواست های ICMP استفاده میکند. برای هر پینگ فرستاده شده، باید یک پاسخ متقاطع که حاوی همان تعداد بسته است بازگشت شود، لذا سیستم هدف تلاش می کند تا به درخواست های بی شماری پاسخ دهد، در نهایت پهنای باند شبکه خود را مسدود می کند. همچنین ping of death که نوع دیگری از این حمله است نیز، به ارسالهایی از بستههای ping با فرمت و شکل نامناسب یه سمت قربانی گفته میشودکه باعث crash شدن سیستم عامل می گردد.
8 - SNMP Reflection: پروتکل SNMP به مدیران سیستم کمک میکند که اطلاعات مهمی را از سرورهای داخل شبکه کسب نموده و یا دستورات ساده ای را برای این سرورها ارسال نمایند.در این نوع حمله با استفاده از یک آدرس IP جعلی قربانی، یک حمله کننده می تواند بسیاری از درخواست های SNMP را بصورت انفجاری به دستگاه ها بفرستدد، که در ازای هر درخواست، انتظار می رود که به طور صریح پاسخ داده شود. تعداد دستگاه های متصل شده می تواند به صورت دستی به سمت بالا حرکت کند، به طوری که سرعت و کیفیت شبکه در نهایت توسط مقدار پاسخ های SNMP کاهش می یابد.
9 - SYN Flood : هر جلسه TCP نیاز به برقراری ارتباط سه جانبه بین دو سیستم دارد. با استفاده از یک سیل SYN، مهاجم به سرعت به هدف با درخواست های اتصال بسیاری می پردازد که نمی تواند آن را حفظ کند و منجر به اشباع شبکه شود. در واقع زمانی اتفاق می افتد که میزبانی از بستههای سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آنها جعلی است. هر کدام از این بستهها همانند یک درخواست اتصال بوده و باعث میشود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بستههای TCP/SYN ACK، منتظر بستههای پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمیشود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع میکنند و آن را از پاسخگویی به درخواستهای مجاز تا پایان حمله بازمیددارد. بنابر این منابع سرور به اتصالهای های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع میشود.
10 - Smurf Attack : این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بستهها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرسهای همه پخشی را می دهد، متکی است. در چنین حملهای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست میکنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال میکند. تمام ماشینهای شبکه پاسخ را به سرور، ارسال همه پخشی میکنند. سرور همه پخشی پاسخهای دریافتی را به ماشین هدف هدایت یا ارسال میکند. بدین صورت زمانی که ماشین حملهکننده تقاضائی را به چندین سرور روی شبکههای متفاوت همه پخشی می نماید، مجموعه پاسخهای تمامی کامپیوترهای شبکههای گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده میشود و از انتقال بستههای مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویسهایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندیهای نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.
11 - Ping of Death - PoD : یک شیوه است که هکرها بسته های غیر عادی یا بادکنکی (به وسیله pinging) ارسال میکنند تا حافظه سرور سرریز کرده و کرش کند. سرریز حافظه زمانی اتفاق می افتد که در تلاش برای بازسازی بسته های داده بزرگ باشد. مهاجمان میتوانند از هر نوعی از IP datagram ، از جمله ICMP echo، UDP، IDX و TCP برای حمله استفاده کنند.
12 - Fork Bomb: این حمله DoS از داخل یک سرور هدف آغاز می شود. در یک محیط مبتنی بر یونیکس، یک Fork،یک کپی از والد خود را برای فرزند فراخوانی میکند. هر دو فرآیند می توانند وظایف همزمان را در هسته سیستم مستقل از یکدیگر انجام دهند. با استفاده از یک بمب انفجاری (a.k.a, “rabbit virus”)، یک حمله کننده مرتکب بسیاری از Forkهای بازگشتی می شود که سیستم هدف به طور داخلی غرق شده و از دسترس خارج میگردد.