پایگاه دانش


راهنمای خدمات و سرویس های ابرآروان

مقابله ابر آروان با حملات منع سرویس توزیع شده(DDOS )

مقابله ابر آروان با حملات منع سرویس توزیع شده(DDOS )

حملات منع سرویس ( [denial-of-service [DOS)  و منع سرویس توزیع شده ( [Distributed denial-of-service [DDOS ) به مجموع حملاتی گفته می شود که به کمک آن هکرها تلاش می کنند یک سرویس خاص و یا یک سیستم خاص را  از دسترس خارج و اتصال کاربران به آن را کاملا مختل  و یا با مشکل مواجه سازند.

انگیزه هکرها از این گونه حملات متفاوت می باشد، اما همانند دیگر انواع حملات خودنمایی، رقابت تجاری-سیاسی و بدخواهی از مهم ترین انگیزه های به وجود آمدن چنین حملاتی است. در طی سالیان گذشته با افزایش منابع پهنای باند و تعدد سرویس گیرندگان اینترنتی حملات منع سرویس نیز افزایش چشم گیری داشته اند. شما در هر لحظه می توانید نقشه لحظه ای (و البته تقریبی) برخی از این حملات را مشاهده کنید.

مقابله با حملات منع سرویس توزیع شده یکی از پیچیده ترین و از مشکلات همیشگی سرویس دهندگان بزرگ اینترنتی است. به شکلی که هیچگاه نمی توان با اطمینان از مقابله 100 درصدی با آن سخن گفت. اما روش های پیچیده ی نوینی وجود دارد که از بیشتر حملات DDOS جلوگیری می کند، آروان به کمک این روش ها، از شما دربرابر این حملات محافظت خواهد کرد. در این مقاله تلاش می کنیم برخی از این حملات و راه های مقابله آروان با آن ها را تشریح کنیم.

 

به دلیل مسائل امنیتی امکان ارائه برخی از جزئیات فنی در این مقاله وجود ندارد. بدیهی است در جلسات فنی با مشتریان سازمانی جزئیات معماری آروان در مقابله با حملات DDOS تشریح خواهد شد.

 

حملات لایه 3 و 4

جریان سیل آسای سین (SYN Flood)

آشنایی با این نوع حمله نیاز به دانش درباره ساختار برقراری ارتباط پروتوکل TCP دارد. ایجاد یک اتصال پایدار در پروتوکل TCP به کمک یک گفتوگوی 3 قسمتی آغاز می شود. در این نوع حمله نفوذگر تعداد بیشماری بسته TCP/SYN با آدرس فرستنده جعلی تولید و به قربانی ارسال می کند. قربانی با فرستادن SYN ACK تلاش می کند که این ارتباط را ایجاد کند، اما از آنجایی آدرس فرستنده بسته ها جعلی بوده است ارتباط نیمه باز باقی می ماند. در این صورت 2 اتفاق مهم میوفتد، یکی اینکه ممکن است تعداد connection های مجاز به پایان برسد و دیگر اینکه تمام یا اکثر منابع سرور صرف این اتصالات جعلی شده و امکان سرویس دهی عادی سلب شود.

جریان سیل آسای UDP

در این روش نفوذگر اقدام به ارسال بیش از حد بسته های UDP به پورت های مختلف و تصادفی می کند. در این حالت سیستم عامل ابتدا تلاش می کند که از باز بودن پورت مورد نظر اطمینان حاصل کند، پس از این کار و اطمینان از اینکه هیچ سرویسی برروی این پورت به حالت شنود قرارنگرفته است، بسته های ICMP از نوع  Destination Unreachable ارسال می کند که مقدار زیادی از منابع سرور را به خود اشغال می کند.

حملات انعکاسی  و انعکاسی افزاینده ( Reflected Attack and Amplification )

در این نوع حملات که یکی از خطرناک ترین نوع حملات منع سرویس است نفوذگر تعداد زیادی بسته جعلی با IP قربانی را به سرورها و کامپیوترهای مختلف ارسال می کند، سپس تمام این کامپیوترها پاسخ خود را به آدرس قربانی ارسال می کنند. به این ترتیب به تعداد بیشماری سیستم شروع به ارسال بسته های اطلاعاتی کرده و در نتیجه پهنای باند و سایر منابع قربانی مصرف شده و سرویس دهی مختل می شود.

در نوع پیشرفته تر این نوع حملات که به amplification مرسوم است، هکر از درخواست هایی استفاده می کنند که پاسخ بزرگ تری در پی داشته باشند. این پاسخ ها در نوع NTP amplification تا 556 برابر و در نوع DNS amplification تا 179 برابر بسته ارسالی خواهند بود. به طور مثال یک هکر می تواند با صرف 1 گیگ پهنای باند 556 گیگابایت اطلاعات را به سمت قربانی شناور کند.

مقابله با این حملات

در حالت عادی سرور شما بدون هیچ محافظی ( و یا تنها با firewall های عادی) در حال سرویس دهی به کاربران است. هر نوع حمله منع سرویس می تواند به طور کلی سیستم شما را با اختلال کامل مواجه کند.

دفع حملات DDOS به کمک آروان

 

اما وقتی شما از سرویس ابری آروان جهت محافظت استفاده می کنید تمام اتصالات ابتدا و با توجه به موقعیت جغرافیایی وارد ابر آروان می شوند. در این مرحله کلیه حملات توسط ابر آروان جذب شده، رقیق شده و از ترافیک عادی تفکیک می شوند. ترافیک عادی به سمت سرورشما ارسال و ترافیکی مربوط به حمله نابود می شود. و البته مهم است که بدانید در هر صورت و در هر شدتی حملات مناطق مختلف برروی سایر مناطق بی اثر خواهند بود. به طور مثال بات های استخدام شده در چین هیچگونه تاثیری در سرویس دریافتی کاربرانی که در ایران هستند نخواهد داشت.

 

حملات لایه 7

اما شاید پیچیده ترین نوع حملات DDOS از نوع حملات لایه 7 باشد. فرض کنید بیش از چند صد هزار سیستم آلوده شده متشکل از کامپیوترهای خانگی، سرورهای مختلف و یا حتی مودم های اینترنت خانگی­ ای که درست تنظیم نشده باشند، به سمت یک سایت یک درخواست قانونی ارسال کنند. در این حالت اکثر روش های ذکر شده در بالا ناکارآمد بوده و سرور یا وبسایت مورد هدف قرارگرفته،به راحتی از دسترس خارج خواهد شد. البته که به کمک ابر آروان می توان با این مسئله نیز به راحتی مقابله کرد. در تنظیمات مربوط به مقابله به حملات منع سرویس پنل کاربری ابر آروان سه سطح در جهت مقابله با این امر در نظر گرفته شده است:

جملات منع سرویس لایه 7

عمومی:

در این حالت کاربران متوجه هیچ تغییری در سایت شما نخواهند شد، اما از ورود بسیاری از بات ها که توانایی تنظیم cookie و استفاده از آن در سایر اتصالات را نداشته باشند جلوگیری خواهد شد.

حرفه ای:

اگر بات های حمله کننده به سایت شما  از نوع هوشمند تری باشند جهت مقابله با آن ها می توانید از این سطح از مقابله استفاده کنید. به کمک این روش حتی از بات هایی که تلاش می کنند رفتار انسان را شبیه سازی کنند به کمک یک نوع عملیات رمزنگاری جلوگیری می شود. کاربران شما اولین اتصال خود به سایت شما برای چند لحظه صفحه ­ای را مشاهده می­کنند که تلاش می کند غیر ربات بودن آن­ها را تشخیص دهد.

پیشرفته:

فرض کنیم که بات های طراحی شده جهت حمله به سایت شما از انتظار ما قدرتمند تر بودند.  در این حالت با تنظیم حالت مقابله برروی حالت پیشرفته به کاربر یک کد امنیتی یاcaptcha  نمایش داده می شود و از او خواسته می شود چند تصویر را به درستی تشخیص دهد. از آنجایی که ترافیک نمایش این صفحات و پردازش آن­ها خارج از سرور شما صورت می­گیرد، می توان این روش را از پیشرفته ترین و کارآمد ترین روش های مقابه با حملات منع سرویس لایه 7 محسوب کرد.

چاکش captcha در آروان

 

حملات منسوخ شده

گاهاً از حملاتی چون Nuke, Ping of Death, Teardrop, Nuke, SMURF, … به عنوان سایر روش های منع سرویس یاد می شود. این حملات قالباً منسوخ شده اند و یا تاثیر گذاری خود را از دست داده، برروی تجهیزات و زیرساخت های قدیمی کاربرد دارند و به راحتی قابل جلوگیری هستند.. آروان کلیه این حملات را نیز بررسی کرده و تدابیر لازم در جهت مقابله با آن ها را در نظر گرفته است.

حملات برپایه Exploit

گاهی حملات منع سرویس به کمک اجرای یک کد مخرب (Exploit) که بر پایه یک آسیب پذیری بالقوه به وجود آمده است صورت می گیرد. به طور مثال نفوذگر به کمک یک آسیب پذیری قدیمی کشف شده و یا یک آسیب پذیری 0-day برروی یک وب سرور ( مثلا IIS و یا Apache) کدی را برروی وب سرور اجرا می کند و باعث از کار افتادن آن سرویس و یا سرور می شود.

کلیه ترافیکی ارسالی به سرورشما ابتدا از ابر آروان عبور می کند و سپس به سرور شما وارد می شود. در این مرحله و در لایه بررسی امنیتی آروان کلیه آسیب پذیری های کشف شده را شناسایی می کند و در مورد آسیب پذیری های کشف نشده نیز تلاش می کند برپایه رفتار شناسی از انجام یک حمله موفق جلوگیری کند.