Arvan Blog

بلاگ

اتفاقات روزمره، اخبار مهم و دیگر مطالب ابر آروان

Open Categories
Close Categories
دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ

Date ۲ تیر ۱۳۹۴
Category مقاله‌
Avatar فرهاد فاطمی
Date ۲ تیر ۱۳۹۴
Category مقاله‌
منع سرویس توزیع شده

حملات منع سرویس (denial-of-service یا DOS)  و منع سرویس توزیع شده (Distributed denial-of-service یا DDoS) به مجموعه حملاتی گفته می‌شود که به کمک آن هکرها تلاش می‌کنند یک سرویس خاص و یا یک سیستم خاص را  از دسترس خارج کرده و اتصال کاربران به آن را با مشکل مواجه ساخته یا کاملا مختل کنند.

انگیزه هکرها از این گونه حملات متفاوت است، اما همانند دیگر انواع حملات، خودنمایی، رقابت تجاری-سیاسی و بدخواهی از مهم‌ترین انگیزه‌های پدید آمدن چنین حملاتی است. در چند سال گذشته با افزایش منابع پهنای باند و تعدد سرویس‌گیرندگان اینترنتی حملات منع سرویس نیز افزایش چشم‌گیری داشته است. می‌توانید نقشه لحظه‌ای (و البته تقریبی) برخی از این حملات را مشاهده کنید.

مقابله با حملات منع سرویس توزیع شده یکی از پیچیده‌ترین مشکلات همیشگی سرویس‌دهندگان بزرگ اینترنتی است. به شکلی که هیچگاه نمی‌توان با اطمینان از مقابله صد درصدی با آن سخن گفت. اما روش‌های پیچیده‌ی نوینی وجود دارد که از بیشتر حملات DDoS جلوگیری می‌کند، و ابر آروان به کمک این روش‌ها از شما دربرابر این حملات محافظت خواهد کرد. در این مقاله تلاش می‌کنیم برخی از این حملات و راه‌های مقابله ابر آروان با‌آن ها را تشریح کنیم.

به دلیل مسائل امنیتی امکان ارائه برخی از جزئیات فنی در این مقاله وجود ندارد. بدیهی است در جلسات فنی با مشتریان سازمانی جزئیات معماری ابر آروان برای مقابله با حملات DDoS تشریح خواهد شد.

حملات DDoS لایه ۳ و ۴

جریان سیل‌آسای سین (SYN Flood)

آشنایی با این نوع حمله نیاز به کمی آشنایی با ساختار برقراری ارتباط پروتوکل TCP دارد. ایجاد یک اتصال پایدار در پروتوکل TCP به کمک یک گفتگوی سه قسمتی آغاز می‌شود. در این نوع حمله نفوذگر تعداد بی‌شماری بسته TCP/SYN با آدرس فرستنده جعلی تولید کرده و برای قربانی ارسال می‌کند. قربانی با فرستادن بسته پاسخ SYN ACK تلاش می‌کند که ارتباط مورد نظر را ایجاد کند، اما از آنجایی آدرس فرستنده بسته‌ها جعلی بوده است ارتباط نیمه باز باقی می‌ماند. در این صورت دو اتفاق مهم می‌افتد، یکی اینکه ممکن است تعداد اتصال یا connection مجاز به پایان برسد و دیگر اینکه تمام یا اکثر منابع سرور صرف این اتصالات جعلی شده و امکان سرویس‌دهی عادی سلب شود.

جریان سیل آسای UDP

در این روش نفوذگر اقدام به ارسال بیش از حد بسته‌های UDP به پورت‌های مختلف و تصادفی می‌کند. در این حالت سیستم عامل ابتدا تلاش می‌کند که از باز بودن پورت مورد نظر اطمینان حاصل کند، پس از این کار و اطمینان از اینکه هیچ سرویسی برروی این پورت به حالت شنود قرارنگرفته است، بسته‌های ICMP از نوع Destination Unreachable می‌فرستد که مقدار زیادی از منابع سرور را به خود مشغول می‌کند.

حملات انعکاسی  و انعکاسی افزاینده (Reflected Attack and Amplification)

در این نوع حملات که یکی از خطرناک‌ترین انواع حملات منع سرویس است نفوذگر تعداد زیادی بسته جعلی با IP قربانی را به سرورها و کامپیوترهای مختلف ارسال می‌کند، سپس تمام این کامپیوترها پاسخ خود را به آدرس قربانی ارسال می‌کنند. به این ترتیب سیستم قربانی به تعداد بی‌شماری سیستم شروع به ارسال بسته‌های اطلاعاتی کرده و در نتیجه پهنای باند و سایر منابع قربانی مصرف شده و سرویس‌دهی مختل می‌شود.

در نوع پیشرفته‌تر این نوع حملات که به amplification موسوم است، هکر از درخواست‌هایی استفاده می‌کند که پاسخ بزرگ‌تری در پی داشته باشد. این پاسخ‌ها در نوع NTP amplification تا ۵۵۶ برابر و در نوع DNS amplification تا ۱۷۹ برابر بسته ارسالی خواهد بود. به طور مثال یک هکر می‌تواند با صرف یک گیگابایت پهنای باند به اندازه ۵۵۶ گیگابایت اطلاعات را به سمت قربانی گسیل کند.

مقابله با حملات DDoS

در حالت عادی سرور شما بدون هیچ محافظی (و یا تنها با firewall عادی) در حال سرویس‌دهی به کاربران است. هر نوع حمله منع سرویس می‌تواند سیستم شما را با اختلال کامل مواجه کند.

دفع حملات DDOS به کمک آروان

اما زمانی که شما از سرویس امنیت ابری آروان جهت محافظت استفاده می‌کنید تمام اتصالات ابتدا و با توجه به موقعیت جغرافیایی وارد ابر آروان می‌شود. در این مرحله کلیه حملات توسط ابر آروان جذب شده، رقیق شده و از ترافیک عادی تفکیک می‌شوند. ترافیک عادی به سمت سرورشما ارسال گشته و ترافیک مربوط به حمله نابود می‌شود. و البته مهم است که بدانید در هر صورت و با هر شدتی حملات مناطق مختلف بر روی سایر مناطق بی‌اثر خواهد بود. به‌طور مثال بات‌های به‌کار گرفته شده در چین هیچگونه تاثیری در سرویس دریافتی کاربران داخل ایران نخواهد داشت.

حملات DDoS لایه ۷

اما شاید پیچیده‌ترین نوع حملات DDOS از نوع حملات لایه 7 باشد. فرض کنید بیش از چند صد هزار سیستم آلوده متشکل از کامپیوترهای خانگی، سرورهای مختلف و یا حتی مودم‌های اینترنت خانگی­ که درست تنظیم نشده بوده‌اند، به سمت یک سایت یک درخواست قانونی ارسال کنند. در این حالت اکثر روش‌های ذکر شده در بالا ناکارآمد بوده و سرور یا وبسایت مورد هدف قرارگرفته به راحتی از دسترس خارج خواهد شد. اما به کمک ابر آروان می‌توان با این مسئله نیز به راحتی مقابله کرد. در تنظیمات مربوط به مقابله با حملات منع سرویس در پنل کاربری ابر آروان، سه سطح در جهت مقابله با این نوع حملات در نظر گرفته شده است:

جملات منع سرویس لایه 7

عمومی:

در این حالت کاربران متوجه هیچ تغییری در سایت شما نخواهند شد، اما از ورود بسیاری از بات‌ها که توانایی تنظیم cookie و استفاده از آن در سایر اتصالات را نداشته باشد جلوگیری خواهد شد.

حرفه‌ای:

اگر بات‌های حمله‌کننده به سایت شما از نوع هوشمندتری باشد، جهت مقابله با آن‌ها می‌توانید از این سطح محافظتی استفاده کنید. به کمک این روش حتی از بات‌هایی که تلاش می‌کنند رفتار انسان را شبیه‌سازی کنند نیز به کمک یک نوع عملیات رمزنگاری جلوگیری می‌شود. کاربران شما در اولین اتصال خود به سایت شما برای چند لحظه صفحه‌ای را مشاهده می‌­کنند که تلاش می‌کند غیر ربات بودن آن­ها را تشخیص دهد.

پیشرفته:

فرض کنیم که بات‌های طراحی شده جهت حمله به سایت شما از سطح انتظار قدرتمندتر باشد.  در این حالت با تنظیم حالت مقابله برروی حالت پیشرفته به کاربر یک کد امنیتی یا captcha نمایش داده می‌شود و از او خواسته می‌شود چند تصویر را به درستی تشخیص دهد. از آنجایی که ترافیک نمایش این صفحات و پردازش آن­ها خارج از سرور شما صورت می‌­گیرد، می‌توان این روش را از پیشرفته‌ترین و کارآمدترین روش‌های مقابله با حملات منع سرویس لایه 7 محسوب کرد.

چاکش captcha در آروان

حملات منسوخ شده

گاهی از حملاتی چون Nuke، Ping of Death، Teardrop، Nuke، SMURF و… به عنوان سایر روش‌های منع سرویس یاد می‌شود. این حملات غالبا منسوخ شده و یا تاثیرگذاری خود را از دست داده است، این حملات بیشتر بر روی تجهیزات و زیرساخت‌های قدیمی کاربرد دارد و به راحتی قابل جلوگیری است. ابر آروان کلیه این حملات را نیز بررسی کرده و تدابیر لازم در جهت مقابله با آن‌ها را در نظر گرفته است.

حملات برپایه Exploit

گاهی حملات منع سرویس به کمک اجرای یک کد مخرب (Exploit) که بر پایه یک آسیب‌پذیری بالقوه به وجود آمده است صورت می‌گیرد. به طور مثال نفوذگر به کمک یک آسیب‌پذیری قدیمی کشف شده و یا یک آسیب‌پذیری 0-day برروی یک وب‌سرور (مثلا IIS و یا Apache) کدی را برروی وب سرور اجرا می‌کند و باعث از کار افتادن آن سرویس و یا سرور می‌شود.

کلیه ترافیکی ارسالی به سرورشما ابتدا از ابر آروان عبور می‌کند و سپس به سرور شما وارد می‌شود. در این مرحله و در لایه بررسی امنیتی ابر آروان کلیه آسیب‌پذیری‌های کشف شده را شناسایی می‌کند و در مورد آسیب‌پذیری‌های کشف نشده نیز تلاش می‌کند برپایه رفتارشناسی از انجام یک حمله موفق جلوگیری کند.

با حملات DDoS سایت خود مقابله کنید

این مقاله را با دوستان خود به اشتراک بگذارید

پاسخ به لغو
Comments نظرات
Avatar علی حاجی خالویی ۱۳ فروردین ۱۳۹۹
Reply پاسخ
ممنون از مقاله خوبتون، ی سوال برای من پیش اومده، در بخش "حملات بر پایه Exploit " من حدس میزم که شما از Intrusion detection/prevention system استفاده می کنید. بیاین فرض کنیم شما از ابزار هایی مثل Suricata یا Snort استفاده کنید. سوال اینه که چطوری میتونید ادعا کنید که در مقابل زیرو دی اتک ها مقاوم هستید؟ بنظرتون ادعای بزرگی نیست؟