حمله DDoS چیست

حمله DDoS چیست؟

در صورتی که حملات DoS همزمان از چند سیستم انجام شود و بسته‌های اطلاعاتی از چند سیستم مختلف خارج شود به آن حمله DDoS می‌گوییم و بالطبع چند IP در این حمله دخیل خواهند بود.

حمله DDoS از ضعف ذاتی اینترنت برای صدمه زدن به قربانی استفاده می‌کند چرا که بستر اینترنت به گونه‌ای طراحی شده است که بسته‌های اطلاعاتی به بهترین و کوتاهترین مسیر ممکن به مقصد برسد این مزیت مهمترین مزیت بستر اینترنت است و در عین حال ضعف امنیتی ان نیز محسوب می‌شود.

DDoS از این مزیت برای صدمه زدن به قربانی استفاده می‌کند. همانطور که خدمتتان گفته شد در حمله DDoS جریان‌های بسته و درخواست‌ها از منابع مختلف و سیستم‌های مختلف منتشر می‌شود Attacker تمام این منابع و سیستم‌ها را به صورت یکپارچه در هدف از کار انداختن قربانی استفاده می‌کند.

بسته های حمله DDoS ی که به سمت قربانی ارسال می شود بسیار یکپارچه و در هم تنیده می باشد حجم حمله به قدری می تواند بزرگ باشد که امکان جداسازی بسته ای سالم از ناسالم وجود نداشته باشد در صورتی که مراقبت و تدابیر امنیتی اتخاذ نشود سیستم قربانی ممکن است متحمل اسیب های بسیار سنگین مانند خاموشی سیستم و خرابی فایل گرفته تا قطع تمام یا بخشی از سرویس گردد.

جریان های حمله دیداس فاقد مشخصات ظاهری که بتوان از آن به طور مستقیم و کلی برای کشف و پالایش آنها استفاده کرد است. حملات زمانی تاثیر مطلوبی دارند که حجم بسته های اطلاعاتی زیاد باشد این حملات می‌توانند موجب دگرگون ساختن تمام فیلدهای بسته جهت اجتناب از تشخیص و ردیابی شوند.

ابزار‌های DDoS امروزه به ابزار‌های کاربر پسندی تبدیل شده اند که به راحتی بر روی سیستم‌های مختلف می‌توانند قرار بگیرند و از انها می‌توان برای حمله ی DoS یا DDoS می‌توان استفاده کرد و خود کاربر نیز متوجه این موضوع نخواهد شد.

برنامه‌های حملات DDoS ساختارهای منطقی بسیار ساده داشته و فضای ذخیره سازی کمی لازم دارند که باعث می‌شود پیاده کردن و پنهان سازی آنها به نسبت ساده باشد.

مهاجم واقعی (Attacker) حملات ddos چیست

کاربر مخربی است که بسته های DDoS را به سمت سیستم قربانی هدایت می‌کند.

گردانندگان یا اربابان (Handlers) در حملات ddos چیست

سیستمی است که کاربر مخرب از طریق آن سرورهایی که بسته‌های DDoS ارسال می‌کنند را هدایت میکند. نرم افزار حمله ddos نرم افزارهایی برروی این سیستم‌ها نصب است که می‌توانند Agentها را هدایت کنند.

عامل‌ها (Agents or Zombies) در اتک زدن چیست

سیستم‌هایی هستند که برنامه ی خاصی روی انها نصب است و مسئول ارسال بسته‌های DDoS به سمت قربانی است. این سیستم‌ها برای جلوگیری ار ردیابی حمله کننده در خارج از شبکه ی آنها و همچنین سیستم قربانی قرار می‌گیرد.

مراحل آماده سازی حملات دیداس چیست

۱.انتخاب عامل‌ها دیداس چیست

مهاجم عامل‌هایی را که حمله را انجام خواهند داد انتخاب می‌کند. لازم است این ماشین‌ها دارای آسیب پذیری‌هایی باشند تا مهاجم بتواند کنترل آنها را در دست بگیرد. همچنین باید دارای منابع فراوان باشند تا بتوانند جریان های حمله قوی تولید کنند.

۲.سازش ddos اتک چیست

مهاجم از حفره‌های امنیتی و آسیب پذیری‌های ماشین‌های عامل استفاده کرده و کد حمله را می‌کارد. به علاوه سعی می‌کند کد را از کشف و غیرفعال‌ سازی محافظت کند. مالکان و کاربران این عامل‌ها معمولاً اطلاع ندارند که سیستمشان با مهاجم سازش نموده و جزوی از یک حمله DDoS خواهد بود. هنگام شرکت در یک حمله DDoS، هر برنامه عامل تنها از مقدار کمی از منابع (هم در حافظه و هم در پهنای باند) استفاده می‌کند، به طوری که کاربران کامپیوترها کمترین تغییر را در کارایی احساس کنند.

۳.ارتباط در ddos attack چیست

مهاجم با گرداننده‌ها ارتباط برقرار می‌کند تا تشخیص دهد کدام عامل ها بالا بوده و در حال اجرا هستند، زمانی که حمله را زمانبندی می‌کند یا عامل ها را ارتقا‌می دهد بسته به اینکه چگونه مهاجم شبکه حمله DDoS را پیکربندی می‌کند، عامل ها می‌توانند یاد بگیرند که با یک یا چند گرداننده ارتباط برقرار کنند. ارتباط بین مهاجم و گرداننده و بین گرداننده و عامل ها می‌تواند توسط پروتکل های TCP، UDP یا ICMP صورت پذیرد.

۴.حمله ddos چیست

در این مرحله مهاجم دستور آغاز حمله را می‌دهد. قربانی، مدت زمان حمله و نیز ویژگی های خاص حمله از قبیل نوع، TTL، تعداد پورت ها و … می‌تواند تنظیم شود. تنوع خصوصیات بسته های حمله می‌تواند برای مهاجم به منظور جلوگیری از کشف حمله مفید باشد.

ابزارهای مورد استفاده در حمله دیداس چیست

حال که با مفهوم دیداس چیست و نحوه ایجاد حمله دیداس آشنا شده اید باید بدانید که برای این عمل چندین ابزار حمله DDoS شناخته شده وجود دارد که باید با آنها نیز آشنا باشیم. معماری این ابزارها بسیار مشابه است و در واقع بعضی ابزارها از طریق تغییرات کمی در سایر ابزارها ساخته شده اند. در این بخش ما وظیفه مندی بعضی از این ابزارها را به طور خلاصه نشان می‌دهیم.

TRINOO در حمله ddosچیست

Trinoo به عنوان اولین ابزاری است که در حمله DDoS استفاده شده است.Trinoo یک ابزار تخلیه پهنای باند است و از ان برای ارسال سیل عظیمی‌از ترافیک UDP برروی یک یا چند IP استفاده می‌شود. معمولاً عامل‌های ترینو در سیستمی‌نصب می‌شود که دارای باگ Buffer overfollow باشند. Handler‌ها از UDP یا TCP برای ارتباط با agentها استفاده می‌کند لذا سیستم‌های کشف نفوذ می‌توانند تنها با بوکشیدن ترافیک UDP آنها را پیدا کنند.

TFN:

در سال ۱۹۹۹ نوشته شده است و مانند TRINOO یک ابزاری است که برای تخلیه سازی پهنای باند و منابع سرویس قربانی استفاده می‌شود . این ابزار از یک واسط خط فرمان برای ارتباط بین مهاجم و برنامه اصلی کنترل استفاده می‌کند اما هیچ رمزنگاری میان عامل‌ها(Agents) و گرداننده‌ها (Handlers) و یا میان گرداننده‌ها (Handlers) و مهاجم (Attacker) ارائه نمی‌دهد. علاوه بر سیل UDP ترینو، TFN اجازه سیل ICMP و نیز حملات Smurf را می‌دهد. ارتباط بین گرداننده (handlers)و شیاطین(agents) با بسته‌های ICMP ECHO REPLY انجام می‌شود، که کشف آنها از بسته‌های UDP سخت تر بوده و اغلب می‌توانند از سیستم‌های دیوار آتش عبور کنند. TFN حملات DDoS را راه اندازی می‌کند که مخصوصاً سخت تلافی می‌شود چرا که می‌تواند چندین نوع از حملات را تولید کرده و می‌تواند بسته‌هایی با آدرس‌های IP مبدأ جعلی تولید کند و همچنین پورت‌های مقصد را به طور تصادفی نشان دهد.

Stacheldraht:

(یک واژه آلمانی به معنای «سیم خاردار») بر پایه نسخه‌های اولیه TFN می‌باشد و تلاش می‌کند بعضی از نقاط ضعف آن را از بین ببرد. Stacheldraht ویژگی‌های Trinoo (معماری گرداننده/عامل) را با ویژگی‌های TFN اصلی ادغام می‌کند. Stacheldraht همچنین دارای توانایی انجام بروزرسانی در عامل‌ها به طور خودکار می‌باشد. یعنی مهاجم می‌تواند روی هر سرور ناشناخته فایل نصب کند و هنگامی‌که یک عامل روشن شد (یا به اینترنت وصل شد) عامل می‌تواند به طور خودکار بروزرسانی‌ها را پیدا کرده و آنها را نصب کند. Stacheldraht همچنین یک اتصال telnet امن توسط رمزنگاری کلید متقارن میان مهاجم سیستم‌های گرداننده برقرار می‌کند.

ارتباط از طریق بسته‌های TCP و ICMP ایجاد می‌گردد. بعضی از حملاتی که توسط Stacheldraht می‌توانند راه اندازی شوند شامل سیل UDP ، سیل درخواست

ICMP echo و پخش هدایت شده ICMP می‌شود. شیاطین حمله برای Stacheldraht حملات Smurfوسیل UDP و سیل ICMP را انجام می‌دهند. نسخه‌های جدید برنامه امکانات بیشتر و اثرات مختلفی دارند.

از ابزارهای دیگری که می‌توانیم برای چگونه حمله دیداس بزنیم نام ببریم mstream ، shaft است اما ما به تعریف ابزار‌های بالا بسنده می‌کنیم.

دفاع در برابر DDoS شامل دو مورد می‌شود :

1. دفاع قبل از حمله ی DDoS که شامل استفاده از تجهیزات امنیتی مانند firewall و antiddos و… می‌باشد
2. دفاع در زمان حمله DDoS که موضوع بسیار مهمتر از دفاع قبل از حمله می‌باشد و در زیر چند مکانیزم را ارایه کرده ایم :

۱.فیلترینگ ورودی (Ingress Filtering):

در این روش یک روتر راه اندازی می‌شود که اجازه ورود بسته‌هایی با منبع غیر مجاز را به شبکه نمی‌دهد. فیلترینگ ورودی (Ingress Filtering) یک مکانیزم محدود کننده به منظور جلوگیری از عبور ترافیک‌هایی است که آدرس IP فرستنده بسته با پیشوند دامین متصل به روتر همسان نباشد. این مکانیزم می‌تواند به صورت موثری حملات DDoS ی را که از طریق جعل IP انجام می‌شود کاهش دهد .

۲.فیلترینگ IP بر اساس تاریخچه (History–base Ip filtering):

یکی از مکانیزمهای فیلترینگ دیگری که برای جلوگیری از حملات DDoS ارائه شده است فیلترینگ بر اساس تاریخچه ip می‌باشد بر اساس این روش روتر لبه شبکه بسته‌های ورودی را که از قبل در پایگاه داده آدرسهای IP وجود دارد می‌پذیرد. این پایگاه داده آدرسهای IP بر اساس تاریخچه ارتباطات قبلی روتر لبه شبکه می‌باشد.

۳.تغییر آدرس IP:

یکی از راهکارهای ساده دیگر در مقابل حملات DDoS تغییر آدرس IP است که با تغییر آدرس IP کامپیوترهای قربانی با آدرس جدید باعث می‌شود آدرس قبلی غیر معتبر شود. به این روش دفاع از هدف متحرک گوییم. پس از تغییر آدرس IP تمامی‌روترهای اینترنت از این امر مطلع شده و روتر لبه شبکه بسته‌های حمله را دور خواهد انداخت. اگرچه این عمل کامپیوتر را در معرض تهدید نگه خواهد داشت زیرا حمله کننده یک حمله جدید را به آدرس جدید صورت خواهد داد . این گزینه برای زمانیکه حمله DDoS به صورت محلی و بر اساس آدرس IP باشد کاربردی است. از طرف دیگر حمله کننده می‌تواند با استفاده از افزودن ویژگی ردیابی نام دامنه به ابزار حمله DDoS خود این مکانیزم دفاعی را بی اثر کند.

تفاوت بین DoS و DDoS

حمله‌ی DoS متفاوت‌ از یک حمله‌ی DDoS است و تفاوت آن‌ها در زامبی‌ها است؛ در DoS از یک کامپیوتر و یک اتصال اینترنت برای حمله‌ استفاده می‌شود، در حالی که DDoS چندین کامپیوتر و منابع مختلف را به کار می‌گیرد. حملات DDoS عموما جهانی و دارای بات‌نت‌های توزیع‌شده‌ی متعدد در نقاط مختلف هستند.

انواع مختلف حملات DDoS

این نوع حملات دارای انواع مختلفی هستند اما در کل دو دسته از حمله‌ی DDoS رایج به شرح زیر وجود دارد:

حملات ترافیکی:

در این نوع حمله‌ی DDoS حجم عظیمی از درخواست‌های TCP، UDP و ICPM به سمت سیستم هدف ارسال می‌شود. در این بین، برخی درخواست‌ها گم می‌شوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته می‌شوند.

حملات پهنای باند:‌

در این نوع از حمله، سیستم‌های زامبی حجم زیادی از اطلاعات بدون استفاده را به‌منظور اشغال پهنای باند ماشین قربانی به آن ارسال می‌کند. در نتیجه، هدف کاملا از کار می‌افتد و دسترسی آن به تمامی منابع قطع می‌شود.

پیشگیری از حملات DDoS

موارد زیر در تأمین امنیت سرور تأثیر بسیاری دارند:

1. تأمین امنیت Kernel سیستم عامل
2. تأمین امنیت سرویس php
3. تأمین امنیت وب سرور نصب‌شده nginx ،apache ،litespeed و lighthttpd
4. تأمین امنیت پورت‌های بازِ سرور
5. تأمین امنیت اسکریپت‌های تحت perl که در صورت باز بودن دسترسی خطرساز هستند
6. تأمین امنیت اسکریپت‌های تحت php
7. تأمین امنیت اسکریپت‌های تحت python
8. ایمن‌سازی سرور برای عدم اجرای شل‌های مخرب رایج
9. نصب و کانفیگ حرفه‌ای آنتی‌ویروس برای اسکن خودکار سرور
10. نصب و کانفیگ حرفه‌ای آنتی شل برای اسکن خودکار سرور جهت جلوگیری از فعالیت شل‌ها و فایل‌های مخرب روی سرور
11. ایمن‌سازی symlink جهت عدم دسترسی به هاست‌های دیگری روی سرور
12. بستن دسترسی فایل‌های خطرناک سیستم عامل جهت امنیت بیشتر
13. بستن پورت‌ها و حذف سرویس‌های غیرضروری سرور

 

برای طراحی سایت با امنیت بالا با پشتیبانی ما در ارتباط باشید.