دیداس چیست؟ انواع روش‌های مقابله با DDOS

اگر به دنبال این هستید که بدانید دیداس چیست و چگونه بر روی عملکرد یک وب سایت تاثیر می‌گذارد، این مقاله مناسب شماست! دیداس، یکی از رایج‌ترین جرم‌های سایبری است که در آن، مهاجم سرور سایت را با ترافیک اینترنتی غیر واقعی پر می‌کند تا کاربران نتوانند از خدمات آنلاین سایت استفاده کنند. این حملات، انگیزه‌های متفاوتی نظیر انتقام، آسیب‌های مالی، اخاذی و… دارند و حتی بزرگترین شرکت‌های جهانی نیز از آن‌ها مصون نیستند. در ادامه، می‌خواهیم به طور مفصل درباره اینکه دیداس چیست و چگونه انجام می‌شود صحبت کنیم. با ما همراه باشید…

DDOS چیست؟

حملات انکار سرویس توزیع شده (DDoS) در زیر‎کلاس حملات انکار سرویس (DoS) قرار دارند. در حملات DDoS، چندین دستگاه آنلاین که با عنوان بات‎نت (botnet) نیز شناخته می‌شوند، به هم متصل شده و با هدف قرار دادن یک وب سایت، ترافیک جعلی ایجاد می‌کنند.
از آنجایی که تا الان یک دید کلی درباره اینکه دیداس چیست بدست آورده‌اید، حتما متوجه شده‌اید که این حملات برخلاف سایر حملات سایبری، نقصی در محیط امنیتی وب سایت شما بوجود نمی‌آورند. در عوض، هدف حملات دیداس این است که وب سایت شما را از دسترس کاربران قانونی، خارج کنند.

حملات دیداس بر روی کل پایگاه کاربر آنلاین تاثیر می‌گذارند و ممکن است در فواصل کوتاه انجام و یا به صورت مکرر تکرار شوند. در هر صورت، این حملات بر روی وب سایت یا کسب و کار شما تاثیرات منفی قابل توجهی خواهند داشت که می‌تواند برای روزها، هفته‌ها یا ماه‌ها ادامه داشته باشند. حملات DDoS می‌توانند منجر به از دست دادن درآمد، آسیب‌های طولانی مدت، کاهش اعتماد مصرف کنندگان و ایجاد هزینه‌های اضافی شوند. این حملات حتی برای وب سایت‌هایی که با سرور مجازی راه‌‎اندازی و اداره می شوند نیز خطراتی را در پی دارد.
حال که به طور کامل متوجه شده‌اید DDoS چیست، وقت آن رسیده که با عملکرد آن بیشتر آشنا شوید…

حملات دیداس چگونه انجام می‌شود؟

حملات DDoS با استفاده از شبکه‌ای از ماشین‌های متصل به اینترنت انجام می‌شوند. به عبارتی دیگر، مجموعه‌ای از رایانه‌ها و سایر دستگاه‌ها (مانند دستگاه‌های IoT) که به بدافزار‌ها آلوده شده‌اند (بات‎نت)، مانند یک ربات از راه دور توسط یک مهاجم کنترل می‌شوند. برای اینکه بهتر متوجه شوید که دیداس چیست و چگونه عمل می‌کند، می‌توانید این دستگاه‌ها را مانند گروهی از زامبی‌ها تصور کنید که به وب سایت حمله کرده و آن را از دسترس خارج می‌کنند.

هر کدام از این دستگاه‌ها، درخواست‌هایی را به آدرس IP مورد نظر ارسال کرده و شبکه را تحت فشار قرار می‌دهند تا از ترافیک عادی منع شود. از آنجایی که این ربات‌ها، دستگاه‌های اینترنتی قانونی به شمار می‌روند، جداسازی ترافیک حمله از ترافیک عادی، کاری بسیار دشوار است.

یکی از بهترین اقدامات برای مقابله با چنین حملاتی این است که سیستم و سرور مجازی ویندوز خود را همیشه به روز نگه داشته و قوانین پیکربندی شبکه را به صورت دستی تنظیم کنید.

نحوه تشخیص حمله دیداس

سوالی که ممکن است برای شما پیش آمده باشد این است که ابزارهای تشخیص حمله دیداس چیست و چطور می‌توانیم بین این حملات و سایر حملات سایبری تمایز قائل شویم؟
یکی از بارزترین نشانه‌های حملات DDoS این است که در سرعت سایت یا سرویس، کندی قابل توجهی مشاهده می‌کنید و یا وب سایت شما به طور کلی از دسترس خارج می‌شود. با این حال، از آنجایی که کندی یا از دسترس خارج شدن، دلایل مختلفی می‌تواند داشته باشد، باید تحقیقات بیشتری انجام دهید.
یکی از راهکار‌های ممکن برای تشخیص این حملات، استفاده از ابزار‌های تجزیه و تحلیل ترافیک وب سایت است. در این ابزارها، می‌توانید به دنبال موارد زیر باشید:

• تعداد زیادی از ترافیک مشکوک که از یک آدرس IP یا محدوده IP ثبت شده است.
• ترافیک بالا از سمت کاربرانی که الگوهای رفتاری مشترک (مانند نوع دستگاه، موقعیت مکانی یا نسخه مرورگر وب) دارند.
• افزایش درخواست‌ها برای بازدید از یک صفحه یا خدمات خاص.
• برخی الگوهای رفتاری عجیب مانند افزایش بازدید در یک ساعت مشخص در روز یا تکرار بازدید‌ها در یک دوره زمانی مشخص (مثلا هر 10 دقیقه یکبار).

علاوه بر موارد بالا، نشانه‌های دیگری از این حملات وجود دارد که بسته به نوع حمله، می‌تواند متفاوت باشد.
برای تشخیص تعداد کانکشن هایی که به پورت وب سرور متصل هستند و IP های مشکوک در سرور مجازی لینوکس، می توانید با استفاده از برخی دستورات، تعداد کانکشن های بالایی که از IP های خاص ارسال شده اند را شناسایی کرده و آن ها را مسدود نمایید.

مهمترین انواع حملات ddos چه چیزهایی هستند؟

حال می‌خواهیم بررسی کنیم که انواع مختلف حملات دیداس چیست و چگونه می‌توانیم آن‌ها را دسته‌بندی کنیم؟

برای درک عملکرد این حملات، باید کمی از اتصال شبکه صحبت کنیم. یک اتصال شبکه در اینترنت، از 7 لایه یا جزء مختلف تشکیل شده است که هر کدام از این لایه‌ها، هدف متفاوتی دارند. این لایه‌ها به ترتیب عبارتند از:

1. لایه فیزیکی
2. لایه دیتا لینک
3. لایه شبکه
4. لایه انتقال
5. لایه جلسه
6. لایه ارائه
7. لایه کاربردی (اپلیکیشن)

به طور کلی، حملات دیداس را می‌توان به 2 دسته تقسیم‌بندی کرد:

حملات لایه زیرساختی (معروف به حملات لایه 3 و 4)

حملات لایه‌های 3 و 4 معمولا به عنوان حملات لایه‌های زیرساختی شبکه شناخته می‌شوند. حملات لایه زیرساختی، رایج‌ترین نوع حملات دیداس هستند و شامل جریان‌های همزمان (SYN) و سایر حملات بازتابی مانند جریان‌های (UDP) می‌شوند. حجم حملات لایه زیرساختی معمولا زیاد بوده و هدف آن‌ها بارگذاری بیش از حد ظرفیت سرورها یا شبکه کاربردی است. خوشبختانه، به دلیل امضای واضح این نوع حملات، تشخیصشان آسانتر است و می‌توانید در کمترین زمان ممکن، مشکلات را برطرف نموده و وب سایت خود را مجددا راه‎اندازی نمایید.

حملات لایه کاربردی (اپلیکیشن)

حملات لایه کاربردی در لایه‌های 6 و 7 شبکه رخ می‌دهند. این حملات نسبت به حملات لایه زیرساختی، رواج کمتری دارند، اما پیچیدگی‌شان بیشتر بوده و به همان نسبت، تشخیصشان سخت‌تر است.

حملات لایه کاربردی نسبت به حملات لایه زیرساختی، حجم کمتری دارند و معمولا بر روی ‌بخش‌های هزینه‎بر‌تر برنامه متمرکز هستند. به عنوان مثال، جریان درخواست‌های HTTP به یک صفحه ورود، یا یک API جستجوی گران‎قیمت و یا جریان وردپرس XML-RPC (که با نام حملات پینک بک معروف است) جزو حملات لایه کاربردی به شمار می‌روند.

نحوه جلوگیری از حملات دیداس چگونه است؟

حملات DDoS می‌توانند مسیر موفقیت یک کسب و کار را منحرف کرده و آسیب‌های زیادی را وارد کنند. اما آیا می‌توان با آن‌ها مقابله کرد؟ راه‌های جلوگیری از حمله دیداس چیست و چگونه می‌توان این راهکار‌ها را پیاده‌سازی کرد؟

خبر خوبی که برایتان داریم این است که راهکار‌های زیادی برای مقابله با این نوع حملات وجود دارد. برخی از مهم‌ترین راهکارها برای جلوگیری از حمله دیداس عبارتند از:

کاهش سطح حمله

یکی از اولین و ساده‌ترین تکنیک‌ها برای کاهش این نوع حملات، به حداقل رساندن سطحی است که ممکن است مورد حمله قرار بگیرد. با این راهکار، مهاجمان گزینه‌های محدود‎تری در اختیار دارند. برای این کار، می‌توانید منابع محاسباتی خود را در پشت شبکه‌های توزیع محتوا (CDN) یا Load Balancer‌ها قرار دهید و همچنین، ترافیک مستقیم به‌ بخش‌های خاصی از زیرساخت‌های وب سایت (مانند سرور‌های پایگاه داده) را محدود کنید. استفاده از فایروال‌ها یا لیست‌های کنترل دسترسی (ACL) برای کنترل ترافیک برنامه‌های کاربردی، تکنیک دیگری است که می‌توانید پیاده‎سازی کنید.

افزایش مقیاس‎پذیری

برای کاهش این نوع حملات، می‌توانید از دو راهکار عالی استفاده کنید:

• افزایش ظرفیت پهنای باند: در زمان معماری اپلیکیشن‌های خود، مطمئن شوید که ارائه دهنده هاستینگ شما، اتصال به اینترنت زائد فراوانی را فراهم می‌کند. این ویژگی، به شما اجازه می‌دهد تا حجم زیادی از ترافیک را اداره کنید.
• افزایش ظرفیت سرور: اکثر حملات DDoS، حجم زیادی از منابع را مصرف می‌کنند. بنابراین، مهم است که بتوانید بلافاصله پس از حمله، منابع محاسباتی خود را افزایش یا کاهش دهید.

فرق بین ترافیک عادی و غیر عادی را بدانید

باید بتوانید اندازه ترافیکی که به یک هاست برخورد می‌کند را متوجه شوید و با میزان ترافیکی که هاست می‌تواند بدون از دسترس خارج شدن تحمل کند، آشنا باشید. به این مفهوم، “محدودیت نرخ” گفته می‌شود. تکنیک‌های محافظتی پیشرفته‌تر، به طور هوشمندانه عمل کرده و فقط ترافیکی را می‌پذیرند که با تجزیه و تحلیل‌هایشان مطابقت داشته باشد. برای انجام این کار، باید ویژگی‌های ترافیک خوبی که معمولا هدف دریافت می‌کند را درک کرده و بتوانید هر بسته را با آن مقایسه کنید.

فایروال را مستقر کنید

یکی از راهکارهای خوب، استفاده از فایروال اپلیکیشن وب (WAF) است. این فایروال از وب سایت شما در برابر حملاتی مانند تزریق SQL یا جعل درخواست بین سایتی محافظت می‌کند.

ارزیابی ریسک

بهتر است از تمام نقاط قوت و ضعف دارایی‌های نرم‎افزاری و سخت‎افزاری خود آگاه باشید و برای کاهش خسارت‌های احتمالی، راهکارهایی را آماده کنید تا در صورت حمله، بدون هدر دادن وقت، خسارت‌ها را مدیریت کرده و کمترین آسیب را ببینید.

سوالات متداول

راه حل‌های حفاظتی مبتنی بر ابر دیداس چیست و آیا این راه حل ها موثرتر از سایر اقدامات هستند؟

یک استدلال رایج که توسط ارائه دهندگان سرویس‌های مبتنی بر ابر عنوان می‌شود این است که حملات دیداس در مقیاس بزرگ، قبل از شناسایی، منابع محلی را تحت تاثیر قرار می‌دهند. بنابراین، به جای سیستم‌های تشخیص محلی، بهتر است مسیریابی ترافیک را از طریق یک سرویس حفاظتی ابری که ترافیک مخرب را قبل از ورود به شبکه فیلتر می‌کند، انجام داد.

در جواب این ادعا باید گفت درست است که خدمات ابری در برابر حملات DDoS مفید هستند، اما نباید تمام ترافیک از طریق این سرویس هدایت شوند؛ چرا که این کار، باعث افزایش هزینه‌ها و ایجاد تاخیر می‌شود.

آیا ISP می‌تواند وب سایت را در برابر حملات DDoS محافظت کند؟

ISP‌ها به عنوان دروازه‌های اینترنتی عمل کرده و می‌توانند در برابر تهدیدات DDoS مفید واقع شوند. با این حال، به دلیل عبور حجم زیادی از ترافیک مخرب و پیچیده‌تر شدن حملات DDoS در طی سال‎های اخیر، به تنهایی برای محافظت از وب سایت کافی نیستند.

تفاوت های DoS و دیداس چیست؟

اکثر مردم زمانی که “انکار سرویس” را می‌شوند، بلافاصله به DDoS فکر می‌کنند. البته چندان هم اشتباه نیست. DoS مخفف عبارت Denial of Service است و به دسته‌ای از حملات سایبری که شامل طیف گسترده‌ای از تکنیک‌ها، از جمله DDoS یا DoS توزیع شده هستند، گفته می‌شود. حمله DDoS یک حمله DoS است که از منابع متعددی سرچشمه می‌گیرد و در مکان‌های مختلفی پخش شده است.