زنگ

کسانی هستند که قبل از شما این خبر را می خوانند.
برای دریافت آخرین مقالات مشترک شوید.
پست الکترونیک
نام
نام خانوادگی
چگونه می خواهید زنگ را بخوانید
بدون هرزنامه

FSB پرونده جنایی را در مورد حمله گسترده DDoS به بانک های روسیه باز کرد. حملات DOS و DDoS: مفهوم، انواع، روش‌های شناسایی و حفاظت حملات گسترده ddos

اشتراک گذاری
اشتراک گذاری
توییت
پسندیدن
پسندیدن

وضعیت ناپایدار اقتصادی دو سال اخیر منجر به افزایش قابل توجه سطح رقابت در بازار شده است که در نتیجه محبوبیت حملات DDoS افزایش یافته است. روش موثرایجاد خسارت اقتصادی

در سال 2016، تعداد سفارشات تجاری برای سازماندهی حملات DDoS چندین برابر افزایش یافت. حملات DDoS گسترده از ناحیه فشار سیاسی هدفمند، به عنوان مثال، در سال 2014، به بخش تجاری انبوه منتقل شده است. وظیفه اصلی مهاجمان در سریع ترین زمان ممکن و با آن است حداقل هزینهغیرقابل دسترس کردن یک منبع به منظور دریافت پول از رقبا برای آن، فراهم کردن شرایط برای اخاذی و غیره. حملات DDoS بیشتر و بیشتر مورد استفاده قرار می گیرند، که جستجو برای ابزارهای در مقیاس بزرگتر و بیشتر برای محافظت از تجارت را تحریک می کند.

در همان زمان، حتی با وجود موفقیت های قابل توجه در مبارزه با DDoS، تعداد حملات همچنان در حال افزایش است. طبق تحقیقات Qrator Labs، حملات DDoS در سال 2015 100 درصد افزایش یافته است. و جای تعجب نیست، زیرا هزینه آنها به حدود 5 دلار در ساعت کاهش یافته است و ابزارهای اجرای آنها وارد بازار سیاه گسترده شده است. در اینجا برخی از روندهای اصلی حملات انکار سرویس توزیع شده که برای چند سال آینده پیش‌بینی می‌شوند، آورده شده است.

حملات تقویت UDP

حملات کاهش ظرفیت شامل تقویت UDP است. چنین حوادثی در سال 2014 رایج ترین بود و در سال 2015 به یک روند روشن تبدیل شد. با این حال، تعداد آنها در حال حاضر به اوج خود رسیده است و به تدریج در حال کاهش است - منابع برای انجام چنین حملاتی نه تنها محدود است، بلکه به شدت در حال کاهش است.

تقویت کننده یک سرویس UDP عمومی است که بدون احراز هویت کار می کند، که می تواند پاسخ بسیار بزرگتری را به یک درخواست کوچک ارسال کند. مهاجم با ارسال چنین درخواست هایی، آدرس IP خود را با آدرس IP قربانی جایگزین می کند. در نتیجه، ترافیک بازگشتی بسیار زیاد است توان عملیاتیکانال مهاجم به منبع وب قربانی هدایت می شود. DNS، NTP، SSDP و سایر سرورها برای شرکت ناخواسته در حملات استفاده می شوند.

حملات برنامه های وب L7

در ارتباط با کاهش تعداد تقویت کننده ها، سازماندهی حملات به برنامه های وب در سطح L7 با استفاده از بات نت های کلاسیک دوباره به منصه ظهور می رسد. همانطور که می دانید، یک بات نت قادر به انجام حملات شبکه با استفاده از دستورات از راه دور است و صاحبان رایانه های آلوده حتی ممکن است از این موضوع آگاه نباشند. در نتیجه بارگیری بیش از حد سرویس با درخواست‌های «زباله»، درخواست‌های کاربران قانونی معمولاً بدون پاسخ می‌مانند یا زمان زیادی برای پاسخ‌ها نیاز است.

بات‌نت‌ها امروزه هوشمندتر می‌شوند. هنگام سازماندهی حملات مربوطه، از فناوری پشته مرورگر کامل پشتیبانی می شود، یعنی شبیه سازی کامل کامپیوتر کاربر، مرورگر و توسعه اسکریپت جاوا. تکنیک هایی مانند این در پنهان کردن حملات L7 عالی هستند. تشخیص دستی یک ربات از یک کاربر تقریبا غیرممکن است. این امر مستلزم سیستم هایی است که از فناوری یادگیری ماشینی استفاده می کنند که به لطف آن سطح مقاومت در برابر حملات افزایش می یابد، مکانیسم ها بهبود می یابد و دقت آزمایش افزایش می یابد.

مسائل BGP

در سال 2016، روند جدیدی ظهور کرد - حملات به زیرساخت شبکه، از جمله حملات مبتنی بر بهره برداری از آسیب پذیری ها در پروتکل BGP. مشکلات پروتکل مسیریابی BGP که کل اینترنت بر اساس آن است، چندین سال است که شناخته شده است، اما در سال های اخیر به طور فزاینده ای منجر به عواقب منفی جدی شده است.

ناهنجاری های شبکه مرتبط با مسیریابی در لایه شبکه بین دامنه ای می تواند بر تعداد زیادی از میزبان ها، شبکه ها و حتی اتصال جهانی و در دسترس بودن اینترنت تأثیر بگذارد. رایج ترین نوع مشکل، نشت مسیر است - "نشت" یک مسیر که در نتیجه تبلیغات آن در جهت اشتباه رخ می دهد. تا کنون، آسیب‌پذیری‌های BGP به ندرت عمداً مورد استفاده قرار می‌گیرند: هزینه سازمان‌دهی چنین حمله‌ای بسیار زیاد است و حوادث عمدتاً به دلیل خطاهای بی‌اهمیت در تنظیمات شبکه رخ می‌دهند.

با این حال، جرایم سازمان‌یافته در اینترنت در سال‌های اخیر رشد قابل‌توجهی داشته است، بنابراین انتظار می‌رود حملات مربوط به BGP در آینده قابل پیش‌بینی محبوب شوند، آزمایشگاه‌های Qrator پیش‌بینی می‌کنند. یک مثال قابل توجه ربودن آدرس های IP توسط گروه سایبری معروف تیم هک است که با دستور دولتی انجام شد: پلیس ایتالیا مجبور شد چندین رایانه را تحت کنترل بگیرد که در رابطه با صاحبان آنها اقدامات تحقیقاتی انجام شد.

حوادثTCP

پشته شبکه TCP/IP دارای تعدادی مشکلات است که امسال به خصوص حاد خواهد شد. به منظور حفظ رشد فعال در سرعت، زیرساخت اینترنت نیاز به به روز رسانی مداوم دارد. سرعت ارتباط فیزیکیبه اینترنت هر چند سال در حال رشد هستند. در اوایل دهه 2000. 1 گیگابیت بر ثانیه استاندارد شد، امروزه محبوب ترین رابط فیزیکی 10 گیگابیت بر ثانیه است. با این حال، معرفی گسترده استاندارد جدید برای رابط فیزیکی، 100 گیگابیت بر ثانیه، در حال حاضر آغاز شده است، که باعث ایجاد مشکلاتی در پروتکل قدیمی TCP / IP می شود، که برای چنین سرعت بالایی طراحی نشده است.

به عنوان مثال، در عرض چند دقیقه می توان یک شماره دنباله TCP را انتخاب کرد - یک شناسه عددی منحصر به فرد که به شرکای یک اتصال TCP / IP اجازه می دهد (یا بهتر است بگوییم، مجاز است) به طور متقابل در زمان برقراری اتصال احراز هویت کنند و داده ها را مبادله کنند. ، حفظ نظم و یکپارچگی آنها. با سرعت 100 گیگابیت بر ثانیه، یک خط در فایل های گزارش سرور TCP درباره اتصال باز و/یا داده های ارسال شده از طریق آن دیگر تضمین نمی کند که آدرس IP ثابت واقعاً یک اتصال برقرار کرده و این داده ها را منتقل کرده است. بر این اساس، فرصتی برای سازماندهی حملات یک کلاس جدید باز می شود و کارایی فایروال ها می تواند به میزان قابل توجهی کاهش یابد.

آسیب پذیری های TCP/IP توجه بسیاری از محققین را به خود جلب کرده است. آنها معتقدند که در سال 2016 ما در مورد حملات "پرمخاطب" مربوط به بهره برداری از این "حفره ها" خواهیم شنید.

آینده نزدیک

امروزه توسعه فناوری ها و تهدیدها در امتداد مارپیچ "کلاسیک" پیش نمی رود، زیرا سیستم بسته نیست - تحت تأثیر بسیاری از عوامل خارجی است. نتیجه یک مارپیچ با دامنه در حال گسترش است - به سمت بالا می رود، پیچیدگی حملات افزایش می یابد و دسترسی به فناوری به طور قابل توجهی گسترش می یابد. اجازه دهید به چندین عامل که تأثیر جدی بر توسعه سیستم دارند توجه کنیم.

البته یکی از اصلی ترین آنها مهاجرت به پروتکل حمل و نقل جدید IPv6 است. در پایان سال 2015، IPv4 منسوخ شد و IPv6 در حال ظهور است و چالش‌های جدیدی را به همراه دارد: اکنون هر دستگاه یک آدرس IP دارد و همه آنها می‌توانند مستقیماً با یکدیگر ارتباط برقرار کنند. بله، توصیه‌های جدیدی در مورد نحوه عملکرد دستگاه‌های نهایی وجود دارد، اما اینکه صنعت چگونه با همه این‌ها کنار می‌آید، به ویژه اپراتورهای مخابراتی، بخش محصولات انبوه و فروشندگان چینی، یک سوال باز است. IPv6 یک تغییر دهنده بازی است.

چالش دیگر رشد چشمگیر شبکه های تلفن همراه، سرعت و «استقامت» آنهاست. اگر قبلاً بات نت تلفن همراه مشکلاتی را پیش از هر چیز برای خود اپراتور مخابراتی ایجاد می کرد، اکنون که ارتباطات 4G سریعتر از اینترنت سیمی شده است. شبکه های تلفن همراهبا تعداد زیادی دستگاه، از جمله دستگاه های ساخت چین، به یک پلت فرم عالی برای انجام DDoS و حملات هکرها... و مشکلات نه تنها برای اپراتور مخابراتی، بلکه برای سایر فعالان بازار نیز ایجاد می شود.

دنیای نوظهور «اینترنت اشیا» یک تهدید جدی است. بردارهای حمله جدید با تعداد زیاد دستگاه ها و استفاده از آنها در حال ظهور هستند فناوری بی سیمارتباطات واقعاً چشم اندازهای بی پایانی را برای هکرها باز می کند. همه دستگاه های متصل به اینترنت به طور بالقوه می توانند بخشی از زیرساخت مهاجم باشند و در حملات DDoS شرکت کنند.

متأسفانه، سازندگان انواع لوازم خانگی متصل به شبکه (کتری، تلویزیون، اتومبیل، مولتی اجاق، ترازو، سوکت "هوشمند" و غیره) همیشه سطح مناسبی از محافظت خود را ارائه نمی دهند. اغلب، چنین دستگاه هایی از نسخه های قدیمی سیستم عامل های محبوب استفاده می کنند و فروشندگان به به روز رسانی منظم آنها اهمیتی نمی دهند - آنها را با نسخه هایی جایگزین می کنند که آسیب پذیری ها را از بین برده اند. و اگر دستگاه محبوب و گسترده باشد، هکرها فرصت سوء استفاده از آسیب پذیری های آن را از دست نخواهند داد.

منادی مشکل اینترنت اشیا قبلاً در سال 2015 ظاهر شد. طبق داده های اولیه، آخرین حمله به بلیزارد Entertainment با استفاده از دستگاه های IoT انجام شده است. کد مخربی شناسایی شده است که روی قوری‌ها و لامپ‌های مدرن اجرا می‌شود. چیپست ها نیز کار را برای هکرها آسان می کنند. چندی پیش، یک چیپست ارزان قیمت منتشر شد که برای تجهیزات مختلفی طراحی شده بود که می توانند با اینترنت "ارتباط" کنند. بنابراین، مهاجمان نیازی به هک کردن 100 هزار سیستم عامل سفارشی ندارند - آنها فقط باید یک چیپست را "شکن" کنند و به تمام دستگاه هایی که بر اساس آن ساخته شده اند دسترسی پیدا کنند.

پیش بینی می شود که به زودی تمام گوشی های هوشمند بر اساس قدیمی نسخه های اندرویدحداقل عضو یک بات نت خواهند بود. آنها توسط تمام شاخه های "هوشمند"، یخچال و فریزر و غیره دنبال می شوند لوازم خانگی... در چند سال آینده، بات نت هایی از قوری، مانیتور کودک و مولتی پز در انتظار ما هستند. "اینترنت اشیا" نه تنها راحتی و راحتی را برای ما به ارمغان می آورد ویژگی های اضافی، بلکه مشکلات زیادی نیز دارد. وقتی چیزهای زیادی در اینترنت اشیا وجود داشته باشد و هر پین بتواند 10 بایت ارسال کند، چالش‌های امنیتی جدیدی به وجود می‌آیند که باید برطرف شوند. و ما باید امروز برای این آماده باشیم.

برایان کربس زمانی برای واشنگتن پست کار می کرد و تحقیقاتی را برای آنها در مورد امنیت اینترنت انجام می داد. بعداً، روزنامه نگار برای راه اندازی وبلاگ خود استعفا داد. این روزنامه‌نگار سابق تغییری در تخصص خود نداد و در ماه سپتامبر با افشای کلاهبرداری دو نوجوان اسرائیلی هزینه آن را پرداخت کرد.

بنابراین، برایان کربس به دنبال کسب و کار معمول خود رفت و جنایات اینترنتی را بررسی کرد. در این زمان، لیست پرونده های حل شده او شامل پرونده ویروس استاکس نت بود که داده ها را از رایانه های خانگی و کارخانه های صنعتی جمع آوری می کرد. کربس اولین کسی بود که در سال 2010 به طور علنی درباره این ویروس صحبت کرد. سه سال بعد، برایان مردی را که اطلاعات کارت را برای خریداران تارگت می فروخت، کشف کرد. انتقام جنایتکاران اینترنتی مشخص بود، پلیس به خانه او فراخوانده شد.

بنابراین فکر می‌کنم برایان فهمیده بود که هکرها چه توانایی‌هایی دارند، اگرچه به سختی می‌توانست مقیاس احتمالی را تصور کند که در سپتامبر پستی درباره نوجوانان اسرائیلی درگیر در حملات DDoS منتشر کرد. در همان روز، هکرها دستگیر شدند، اما بعدا با قرار وثیقه آزاد شدند. تصادفی یا نه، از آن نقطه به بعد، سایت برایان مجبور شد از یک حمله DDoS عظیم که یکی از شرکت های امنیت اینترنتی پیشرو در جهان با آن مقابله کند، جلوگیری کند. Akamai حفاظت DDoS را برای وبلاگ Krebs به مدت چهار سال فراهم کرده است. در انتشارات خود، یک متخصص امنیت اینترنت در مورد سرویس vDOS صحبت کرد که، با توجه به نسخه رسمیبارها را روی سایت ها آزمایش کرد، اما در واقع کار آنها را مختل کرد. بر اساس یک برآورد تقریبی، سازندگان این سرویس موفق به تصاحب حدود 600 هزار دلار شدند.

دستیاران کربس موفق به دانلود پایگاه های داده شدند که با کمک آنها آدرس های واقعی سرورهای بلغارستان که حملات DDoS از آنها انجام شده بود، شناسایی شد. همانطور که می توانید تصور کنید، هکرها علاقه مند هستند که آدرس های IP واقعی خود را مخفی کنند. پس از تجزیه و تحلیل داده‌ها، برایان توانست نام و حتی شماره تلفن اسرائیلی‌هایی را که می‌توانند صاحب این سرویس باشند را مشخص کند.

بعداً مشخص شد که در روز انتشار این پست، دو نوجوان دستگیر شدند که به زودی آزاد شدند. و قبلاً در 10 سپتامبر ، سایت برایان کربس شروع به مشکلات کرد. حداکثر قدرت حمله به 140 گیگابیت در ثانیه می رسید. هکرهای توهین شده در ترک پیام های کربس "godiefaggot" کوتاهی نکردند. برای مدتی، وبلاگ حتی از کار افتاد، اما متخصصان Akamai موفق به بازیابی آن شدند. اما حملات به همین جا ختم نشد. و تا 20 سپتامبر، ظرفیت آن در حال حاضر 665 گیگابیت بر ثانیه بود. Akamai مجبور شده است از حفظ وبلاگ کربس برای ایمن نگه داشتن مشترکین پرداخت خودداری کند. قدرت حمله ای که سایت در معرض آن قرار گرفت دو برابر قوی تر از آنچه که Akamai تاکنون مشاهده کرده بود بود. برخی از روزنامه نگاران موافق بودند که این بزرگترین حمله در کل تاریخ اینترنت است. به عنوان مثال در اوایل سال 2016 وب سایت بی بی سی با نرخ 602 گیگابیت در ثانیه مورد حمله قرار گرفت. این رکورد چند ماه بعد شکسته شد.

ظاهرا پست کربس خیلی سریع به مهاجمان صدمه زد. این حمله با استفاده از دوربین های IP، مسیریاب ها و سایر «اینترنت اشیا» انجام شد که کاربران رمزهای عبور استانداردی را برای آن تعیین می کردند. هکرها حتی سعی نکردند ردپای خود را بپوشانند و آدرس اکثر دستگاه‌هایی را که هنوز هم می‌توانستند برای سایر حملات مالی استفاده شوند، روشن کردند. باز هم، ما از فرم های کلمه استفاده نکردیم. نام مستعار یکی از سازندگان vDOC - AppleJ4ck - را می توان در برخی از درخواست های POST حمله حاوی رشته "freeapplej4ck" خواند. تنها مداخله گوگل اجازه داد تا سایت با تحقیقات کربس بازیابی شود. Project Shield غول اینترنتی از وب سایت های روزنامه نگاران و رسانه های مستقل در برابر حملات سایبری محافظت می کند.

و در اولین انتشار، پس از بازسازی سایت، برایان کربس در مورد سانسور در اینترنت صحبت کرد. ابزارهای مؤثر نه تنها برای دولت، بلکه برای جنایتکاران نیز در دسترس است. حملات DDoS می تواند مانعی جدی برای تحقیقات مستقل در اقتصاد بازار امروزی باشد. همه رسانه ها بودجه دفاع سایبری 200 هزار دلاری ندارند.

اشتباه در متن؟ آن را با ماوس خود انتخاب کنید! و کلیدهای Ctrl + Enter را فشار دهید

آندری گولواچف در صفحه فیس بوک خود یادآوری کرد که مشاغل سیاسی همه روسای جمهور اوکراین با فاجعه پایان یافت. به گفته کارشناس سیاسی، لئونید کوچما یک

حدود شش ماه پیش، مردم متوجه شدند که آناستازیا زاوروتنیوک، بازیگر مشهور روسی، به تومور بدخیم مغزی مبتلا شده است. از امروز، خیر

برخی از ناظران در بحث نگرانی‌های رئیس‌جمهور ولادیمیر زلنسکی در سفرش به واتیکان خاطرنشان کردند که این اولین بار در تاریخ است که مقامات در سن پترزبورگ.

حملات DoS و DDoS تأثیرات خارجی تهاجمی بر منابع محاسباتی یک سرور یا ایستگاه کاری، با هدف به شکست کشاندن دومی انجام شد. منظور ما از شکست، خرابی فیزیکی یک ماشین نیست، بلکه عدم دسترسی به منابع آن برای کاربران با وجدان است - شکست سیستم در سرویس دهی به آنها ( دیلغو o f اس ervice، که مخفف DoS است).

اگر چنین حمله ای از یک کامپیوتر منفرد انجام شود، به عنوان DoS (DoS) طبقه بندی می شود، اگر از چندین - DDoS (DDoS یا DDoS)، که به این معنی است "دیتوزیع می شود دیلغو o f اسسرویس "- انکار خدمات توزیع شده. در مرحله بعد، بیایید در مورد اینکه چرا مهاجمان چنین اقداماتی را انجام می دهند، چه هستند، چه آسیبی به حمله شده وارد می کنند و چگونه مهاجمان می توانند از منابع خود محافظت کنند، صحبت کنیم.

چه کسانی ممکن است از حملات DoS و DDoS رنج ببرند

حملات سرورهای شرکتی شرکت ها و وب سایت ها را هدف قرار می دهند، بسیار کمتر - رایانه های شخصی اشخاص حقیقی... هدف از چنین اقداماتی، به عنوان یک قاعده، یکی است - وارد کردن آسیب اقتصادی به حمله شده و ماندن در سایه. در برخی موارد حملات DoS و DDoS یکی از مراحل هک سرور بوده و با هدف سرقت یا از بین بردن اطلاعات انجام می شود. در واقع، یک تجارت یا وب سایت متعلق به هر کسی می تواند قربانی مجرمان سایبری شود.

نموداری که ماهیت یک حمله DDoS را نشان می دهد:

حملات DoS و DDoS اغلب با تحریک رقبای نادرست انجام می شود. بنابراین، با "پر کردن" وب سایت یک فروشگاه آنلاین که محصول مشابهی را ارائه می دهد، می توانید به طور موقت یک "انحصارگر" شوید و مشتریان آن را برای خود انتخاب کنید. با "از کار انداختن" سرور شرکت، می توان در کار یک شرکت رقیب اختلال ایجاد کرد و در نتیجه موقعیت آن را در بازار کاهش داد.

حملات در مقیاس بزرگکه می تواند آسیب قابل توجهی ایجاد کند، معمولاً توسط مجرمان سایبری حرفه ای با پول زیادی انجام می شود. اما نه همیشه. هکرهای آماتور Homebrew همچنین می توانند به منابع شما حمله کنند - از روی علاقه، و انتقام جویان از میان کارکنان اخراج شده، و به سادگی کسانی که نظرات شما را در مورد زندگی مشترک ندارند.

گاهی اوقات ضربه با هدف اخاذی انجام می شود، در حالی که مهاجم آشکارا از صاحب منبع پول می خواهد تا حمله را متوقف کند.

سرورهای شرکت‌های دولتی و سازمان‌های معروف اغلب توسط گروه‌های ناشناس از هکرهای بسیار ماهر با هدف تأثیرگذاری بر مقامات یا ایجاد اعتراض عمومی مورد حمله قرار می‌گیرند.

حملات چگونه انجام می شود

اصل حملات DoS و DDoS ارسال یک جریان بزرگ از اطلاعات به سرور است که تا حداکثر (تا جایی که توانایی هکر اجازه می دهد)، منابع محاسباتی پردازنده، RAM را بارگیری می کند، کانال های ارتباطی را مسدود می کند یا پر می شود. فضای دیسک ماشین مورد حمله نمی تواند داده های دریافتی را مدیریت کند و به درخواست های کاربر پاسخ نمی دهد.

به نظر می رسد کار معمولیسرور در برنامه Logstalgia تجسم شده است:

اثربخشی حملات تک DOS خیلی زیاد نیست. علاوه بر این، حمله از طریق رایانه شخصی، مهاجم را در معرض خطر شناسایی و دستگیری قرار می دهد. حملات توزیع شده (DDoS) از شبکه های به اصطلاح زامبی یا بات نت ها سود بسیار بیشتری را ارائه می دهند.

به این صورت است که سایت Norse-corp.com فعالیت بات نت را نشان می دهد:

شبکه زامبی (بات نت) به گروهی از رایانه ها گفته می شود که هیچ ارتباط فیزیکی با یکدیگر ندارند. آنها با این واقعیت متحد شده اند که همه آنها تحت کنترل مهاجم هستند. کنترل از طریق انجام می شود اسب تروا، که در حال حاضر ممکن است به هیچ وجه خود را نشان ندهد. هنگام انجام یک حمله، هکر به رایانه های آلوده دستور می دهد تا درخواست هایی را به وب سایت یا سرور قربانی ارسال کنند. و او که نمی تواند در برابر هجوم مقاومت کند، از پاسخ باز می ایستد.

Logstalgia اینگونه حمله DDoS را نشان می دهد:

هر رایانه ای می تواند به بات نت بپیوندد. و حتی یک گوشی هوشمند. کافی است تروجان را بگیرید و به موقع آن را شناسایی نکنید. به هر حال، بزرگترین بات نت تقریباً 2 میلیون دستگاه در سراسر جهان داشت و صاحبان آنها نمی دانستند چه کاری باید انجام دهند.

روش های حمله و دفاع

قبل از شروع یک حمله، یک هکر نحوه انجام آن را با حداکثر اثر مشخص می کند. اگر گره مورد حمله چندین آسیب پذیری داشته باشد، ضربه را می توان در جهات مختلف انجام داد که به طور قابل توجهی پاسخ را پیچیده می کند. بنابراین، برای هر مدیر سرور مهم است که همه آن را مطالعه کند. مکان های باریک»و در صورت امکان آنها را تقویت کنید.

سیل

سیل به زبان ساده، اطلاعاتی است که بار معنایی ندارد. در زمینه حملات DoS/DDoS، سیل عبارت است از بهمنی از درخواست‌های خالی و بی‌معنی در یک سطح که گره دریافت‌کننده مجبور به پردازش آن‌ها می‌شود.

هدف اصلی استفاده از flooding مسدود کردن کامل کانال های ارتباطی، اشباع حداکثری پهنای باند است.

انواع سیل:

  • سیل MAC - تأثیر بر ارتباطات شبکه (مسدود کردن پورت ها با جریان داده).
  • ICMP flood - پر کردن قربانی با درخواست‌های اکو سرویس با استفاده از یک شبکه زامبی یا ارسال درخواست‌ها «از طرف» میزبان مورد حمله به طوری که همه اعضای بات‌نت به طور همزمان برای او یک پاسخ اکو ارسال کنند (حمله Smurf). یک مورد خاص از ICMP flooding، ping flooding (ارسال درخواست های پینگ به سرور) است.
  • SYN flood - ارسال چندین درخواست SYN به قربانی، پر کردن صف اتصال TCP با ایجاد تعداد زیادی اتصال نیمه باز (در انتظار تأیید مشتری).
  • UDP flood - طبق طرح حملات Smurf عمل می کند، جایی که دیتاگرام های UDP به جای بسته های ICMP ارسال می شوند.
  • سیل HTTP - پر شدن سرور با پیام های HTTP متعدد. یک گزینه پیچیده تر، سیل HTTPS است که در آن داده های ارسالی از قبل رمزگذاری شده است و قبل از اینکه میزبان مورد حمله آن را پردازش کند، باید آن را رمزگشایی کند.


چگونه از خود در برابر سیل محافظت کنیم

  • تأیید اعتبار و فیلتر آدرس MAC را روی سوئیچ های شبکه پیکربندی کنید.
  • پردازش درخواست‌های اکو ICMP را محدود یا رد کنید.
  • مسدود کردن بسته‌هایی که از یک آدرس یا دامنه خاص می‌آیند، که باعث سوء ظن عدم اطمینان می‌شود.
  • محدودیتی برای تعداد اتصالات نیمه باز با یک آدرس تعیین کنید، زمان نگهداری آنها را کاهش دهید، صف اتصال TCP را طولانی کنید.
  • خدمات UDP را از دریافت ترافیک از خارج غیرفعال کنید یا تعداد اتصالات UDP را محدود کنید.
  • از CAPTCHA ها، تاخیرها و سایر تکنیک های حفاظتی ضد ربات استفاده کنید.
  • افزایش دادن بیشترین مقداراتصالات HTTP، کش درخواست را با استفاده از nginx پیکربندی کنید.
  • پهنای باند را گسترش دهید کانال شبکه.
  • در صورت امکان، یک سرور جداگانه برای پردازش رمزنگاری اختصاص دهید (در صورت وجود).
  • ایجاد یک کانال پشتیبان برای دسترسی مدیریت به سرور در شرایط اضطراری.

بارگذاری بیش از حد منابع سخت افزاری

انواعی از سیل وجود دارد که نه کانال ارتباطی، بلکه بر منابع سخت افزاری رایانه مورد حمله تأثیر می گذارد و آنها را به حداکثر می رساند و باعث یخ زدن یا خراب شدن آنها می شود. برای مثال:

  • ایجاد یک اسکریپت که در یک انجمن یا سایتی که در آن کاربران این فرصت را دارند که نظرات خود را بگذارند، پست می شود، بی معنی است. اطلاعات متنیتا زمانی که تمام فضای دیسک پر شود.
  • همین مورد، فقط لاگ های سرور درایو را پر می کند.
  • بارگذاری سایت، جایی که مقداری تبدیل داده های وارد شده در آن انجام می شود، با پردازش مداوم این داده ها (ارسال بسته های به اصطلاح "سنگین").
  • بارگیری پردازنده یا حافظه با اجرای کد از طریق رابط CGI (پشتیبانی از CGI به شما امکان می دهد هر برنامه خارجی را روی سرور اجرا کنید).
  • راه اندازی یک سیستم امنیتی، که سرور را از بیرون غیر قابل دسترس می کند و غیره.


نحوه محافظت در برابر بارگذاری بیش از حد منابع سخت افزاری

  • عملکرد سخت افزار و فضای دیسک را افزایش دهید. هنگامی که سرور در حالت عادی کار می کند، حداقل 25-30٪ از منابع باید رایگان باقی بماند.
  • سیستم هایی را برای تجزیه و تحلیل و فیلتر کردن ترافیک قبل از انتقال آن به سرور درگیر کنید.
  • محدود کردن استفاده از منابع سخت افزاری توسط اجزای سیستم (تعیین سهمیه).
  • فایل های گزارش سرور را در یک درایو جداگانه ذخیره کنید.
  • منابع را در چندین سرور مستقل پراکنده کنید. به طوری که اگر یک قسمت از کار بیفتد، بقیه فعال می مانند.

آسیب پذیری در سیستم عامل ها، نرم افزارها، سیستم عامل دستگاه

گزینه های بی اندازه برای انجام چنین حملاتی نسبت به استفاده از سیل وجود دارد. اجرای آنها به مهارت و تجربه مهاجم، توانایی او در یافتن خطاها در کد برنامه و استفاده از آنها به نفع خود و به ضرر صاحب منبع بستگی دارد.

پس از اینکه یک هکر یک آسیب پذیری را کشف کرد (یک خطای نرم افزاری که می تواند برای ایجاد اختلال در سیستم استفاده شود)، تنها کاری که باید انجام دهد ایجاد و اجرای یک اکسپلویت است - برنامه ای که از این آسیب پذیری سوء استفاده می کند.

سوء استفاده از آسیب‌پذیری‌ها همیشه به‌منظور انکار سرویس نیست. اگر هکر خوش شانس باشد، می تواند بر منابع کنترل داشته باشد و این "هدیه سرنوشت" را به صلاحدید خود دفع کند. به عنوان مثال، برای توزیع استفاده کنید بد افزار، سرقت و از بین بردن اطلاعات و غیره

روش های مقابله با بهره برداری از آسیب پذیری ها در نرم افزار

  • به‌روزرسانی‌ها را برای بستن آسیب‌پذیری‌ها در سیستم‌عامل‌ها و برنامه‌ها به‌موقع نصب کنید.
  • تمام خدمات اداری را از دسترسی شخص ثالث جدا کنید.
  • از ابزارهای نظارت مداوم سیستم عامل و برنامه های سرور (تحلیل رفتار و غیره) استفاده کنید.
  • برنامه های بالقوه آسیب پذیر (رایگان، خودنوشته، به ندرت به روز شده) را به نفع برنامه های اثبات شده و به خوبی محافظت شده کنار بگذارید.
  • از ابزارهای آماده برای محافظت از سیستم ها در برابر حملات DoS و DDoS استفاده کنید که هم در قالب سیستم های سخت افزاری و هم نرم افزاری وجود دارد.

نحوه تشخیص اینکه آیا یک منبع توسط هکر مورد حمله قرار گرفته است یا خیر

اگر مهاجم موفق به رسیدن به هدف شود، غیرممکن است که متوجه حمله نشوید، اما در برخی موارد مدیر نمی تواند دقیقاً تعیین کند که چه زمانی شروع شده است. یعنی گاهی از شروع حمله تا علائم قابل توجه چندین ساعت طول می کشد. با این حال، در هنگام قرار گرفتن در معرض پنهان (تا زمانی که سرور "دراز بکشد")، علائم خاصی نیز وجود دارد. برای مثال:

  • رفتار غیر طبیعی برنامه های کاربردی سروریا سیستم عامل(انجماد، خاموش شدن با خطا و غیره).
  • بار CPU رمو انباشته به شدت از سطح اولیه بالا می رود.
  • حجم ترافیک در یک یا چند پورت به میزان قابل توجهی افزایش می یابد.
  • تماس های متعددی از مشتریان با منابع یکسان وجود دارد (باز کردن یک صفحه از سایت، دانلود یک فایل).
  • تجزیه و تحلیل گزارش های سرور، فایروال و دستگاه های شبکه تعداد زیادی درخواست یکنواخت از آدرس های مختلف را نشان می دهد که اغلب به یک پورت یا سرویس خاص هدایت می شوند. به خصوص اگر هدف سایت مخاطب محدودی باشد (مثلاً روسی زبان)، و درخواست هایی از سراسر جهان ارائه شود. در عین حال، تجزیه و تحلیل کیفی ترافیک نشان می دهد که درخواست ها برای مشتریان معنای عملی ندارند.

همه موارد فوق نشانه صد در صد حمله نیست، اما همیشه دلیلی برای توجه به مشکل و انجام اقدامات حفاظتی مناسب است.

چه کسی مورد حمله قرار می گیرد؟

طبق گزارش بانک مرکزی، در سال 2016 تعداد مؤسسات مالی روسیه تقریباً دو برابر شد. در ماه نوامبر، حملات DDoS پنج بانک بزرگ روسیه را هدف قرار دادند. در پایان سال گذشته، بانک مرکزی از حملات DDoS به موسسات مالی از جمله بانک مرکزی گزارش داد. «هدف از این حملات مختل کردن خدمات و در نتیجه تضعیف اعتماد به این سازمان‌ها بود. این حملات به این دلیل قابل توجه بود که این اولین استفاده گسترده از اینترنت اشیا در روسیه بود. سرویس های امنیتی بانک های بزرگ خاطرنشان کردند که اساساً این حمله شامل دوربین های اینترنتی و روترهای خانگی بود.

در عین حال، حملات DDoS آسیب قابل توجهی به بانک ها وارد نکرد - آنها به خوبی محافظت می شوند، بنابراین چنین حملاتی، اگرچه باعث ایجاد مشکل شدند، حیاتی نبودند و یک سرویس واحد را مختل نکردند. با این وجود می توان گفت که فعالیت ضد بانکی هکرها به میزان قابل توجهی افزایش یافته است.

در فوریه 2017، خدمات فنی وزارت بهداشت روسیه بزرگترین حمله DDoS در سال های اخیر را دفع کردند که به 4 میلیون درخواست در دقیقه رسید. حملات DDoS به رجیستری های دولتی وجود داشته است، اما آنها نیز ناموفق بودند و منجر به تغییر داده ها نشدند.

با این حال، قربانیان حملات DDoS سازمان‌ها و شرکت‌های متعددی هستند که چنین «دفاع» قدرتمندی دارند. در سال 2017، انتظار می رود آسیب های ناشی از تهدیدات سایبری افزایش یابد - باج افزار، DDoS و حملات به دستگاه های IoT.


دستگاه های اینترنت اشیا به عنوان ابزاری برای انجام حملات DDoS محبوبیت پیدا می کنند. یک رویداد قابل توجه حمله DDoS بود که در سپتامبر 2016 با استفاده از کد مخرب Mirai راه اندازی شد. در آن، صدها هزار دوربین و دستگاه های دیگر از سیستم های نظارت تصویری به عنوان ابزار حمله عمل کردند.

علیه ارائه دهنده میزبانی فرانسوی OVH انجام شد. این قدرتمندترین حمله DDoS بود - تقریباً 1 ترابیت بر ثانیه. هکرها با استفاده از بات نت از 150 هزار استفاده کردند. دستگاه های اینترنت اشیا، عمدتا دوربین های مدار بسته. حملات با استفاده از بات نت Mirai باعث ایجاد بات نت های بسیاری از دستگاه های IoT شده است. به گفته کارشناسان، در سال 2017، بات نت های اینترنت اشیا همچنان یکی از تهدیدهای اصلی در فضای مجازی خواهند بود.


بر اساس گزارش رخداد نقض داده های Verizon در سال 2016 (DBIR)، تعداد حملات DDoS در سال گذشته به میزان قابل توجهی افزایش یافته است. در جهان، صنعت سرگرمی، سازمان‌های حرفه‌ای، آموزش، فناوری اطلاعات و خرده‌فروشی بیشترین آسیب را متضرر می‌کنند.

یک روند قابل توجه در حملات DDoS گسترش "فهرست قربانیان" است. در حال حاضر نمایندگانی از تقریباً همه صنایع را شامل می شود. علاوه بر این، روش های حمله در حال بهبود است.
به گفته Nexusguard، در پایان سال 2016، افزایش قابل توجهی در تعداد حملات مختلط DDoS که شامل آسیب‌پذیری‌های متعدد است، مشاهده شد. اغلب آنها در معرض سازمان های مالی و دولتی قرار می گرفتند. انگیزه اصلی مجرمان سایبری (70 درصد موارد) سرقت اطلاعات یا تهدید به نابودی آن به منظور باج گیری است. کمتر رایج، اهداف سیاسی یا اجتماعی. به همین دلیل است که استراتژی دفاعی مهم است. او می تواند برای حمله آماده شود و عواقب آن را به حداقل برساند، خطرات مالی و اعتباری را کاهش دهد.

پیامد حملات

عواقب حمله DDoS چیست؟ در طول یک حمله، قربانی مشتریان خود را از دست می دهد کند کاریا عدم دسترسی کامل به سایت، شهرت کسب و کار لطمه می زند. ارائه دهنده خدمات می تواند آدرس IP قربانی را مسدود کند تا آسیب به سایر مشتریان به حداقل برسد. بازیابی همه چیز به زمان و احتمالاً پول نیاز دارد.
بر اساس یک نظرسنجی شرکتی، حملات DDoS توسط نیمی از سازمان ها به عنوان یکی از جدی ترین تهدیدات سایبری تلقی می شود. تهدید DDoS حتی بالاتر از تهدید دسترسی غیرمجاز، ویروس‌ها، کلاهبرداری و فیشینگ است.

میانگین تلفات ناشی از حملات DDoS در سراسر جهان برای سازمان‌های کوچک 50000 دلار و برای شرکت‌های بزرگ نزدیک به 500000 دلار برآورد شده است. از بین بردن پیامدهای حمله DDoS مستلزم زمان کار اضافی برای کارمندان، منحرف کردن منابع از پروژه های دیگر برای اطمینان از امنیت، توسعه یک برنامه به روز رسانی نرم افزار، ارتقاء تجهیزات و غیره است.


شهرت سازمان مورد حمله نه تنها به دلیل عملکرد ضعیف وب سایت، بلکه به دلیل سرقت اطلاعات شخصی یا اطلاعات مالی می تواند آسیب ببیند.
بر اساس نظرسنجی این شرکت، تعداد حملات DDoS سالانه 200 درصد در حال افزایش است و هر روز 2000 حمله از این نوع در جهان گزارش می شود. هزینه سازماندهی یک حمله DDoS هفتگی تنها حدود 150 دلار است و میانگین تلفات قربانیان بیش از 40000 دلار در ساعت است.

انواع حملات DDoS

انواع اصلی حملات DDoS عبارتند از حملات گسترده، حملات پروتکلی و حملات برنامه. در هر صورت، هدف غیرفعال کردن سایت یا سرقت اطلاعات است. نوع دیگری از جرایم سایبری، تهدید حمله باج خواهی DDoS است. گروه های هکری مانند Armada Collective، Lizard Squad، RedDoor و ezBTC به این دلیل مشهور هستند.

سازماندهی حملات DDoS بسیار ساده تر شده است: اکنون ابزارهای خودکار به طور گسترده ای در دسترس هستند که عملاً به دانش خاصی از مجرمان سایبری نیاز ندارند. نیز وجود دارد خدمات پولی DDoS برای حمله به هدف ناشناس. به عنوان مثال، سرویس vDOS خدمات خود را بدون بررسی اینکه آیا مشتری مالک سایت است، که می خواهد آن را "تحت بار" آزمایش کند یا با هدف حمله انجام می شود، ارائه می دهد.


حملات DDoS حملاتی از منابع بسیاری هستند که از دسترسی کاربران قانونی به سایت مورد حمله جلوگیری می کنند. برای انجام این کار، تعداد زیادی درخواست به سیستم حمله شده ارسال می شود که نمی تواند با آنها مقابله کند. معمولاً از سیستم های در معرض خطر برای این منظور استفاده می شود.

رشد سالانه تعداد حملات DDoS 50% تخمین زده می شود (طبق اطلاعات)، اما داده های منابع مختلف متفاوت است و همه حوادث مشخص نمی شوند. میانگین قدرت حملات DDoS لایه 3/4 در سال های اخیر از 20 به چند صد گیگابایت در ثانیه افزایش یافته است. در حالی که حملات گسترده DDoS و سطح پروتکل به خودی خود ناخوشایند هستند، مجرمان سایبری به طور فزاینده ای آنها را با حملات DDoS لایه 7، یعنی در سطح برنامه، با هدف تغییر یا سرقت داده ها ترکیب می کنند. چنین حملات "چند برداری" می تواند بسیار موثر باشد.


حملات چند برداری حدود 27 درصد از تعداد کل حملات DDoS را تشکیل می دهند.

در مورد یک حمله DDoS عظیم (بر اساس حجم)، تعداد زیادی درخواست استفاده می شود که اغلب از آدرس های IP قانونی ارسال می شوند، به طوری که سایت در ترافیک "غرق" می شود. هدف از چنین حملاتی "انسداد" تمام پهنای باند موجود و مسدود کردن ترافیک قانونی است.

در یک حمله در سطح پروتکل (مانند UDP یا ICMP)، هدف تخلیه منابع سیستم است. برای این، درخواست های باز ارسال می شود، به عنوان مثال، درخواست های TCP / IP با IP جعلی، و در نتیجه تمام شدن منابع شبکه، پردازش درخواست های قانونی غیرممکن می شود. نمایندگان معمولی حملات DDoS هستند که در حلقه‌های باریک به نام‌های Smurf DDos، Ping of Death و SYN flood شناخته می‌شوند. نوع دیگری از حمله DDoS لایه پروتکل شامل ارسال تعداد زیادی بسته تکه تکه شده است که سیستم قادر به مدیریت آنها نیست.

حملات DDoS لایه 7 ارسال درخواست های به ظاهر بی ضرری است که به نظر می رسد نتیجه فعالیت عادی کاربر باشد. معمولاً از بات نت ها و ابزارهای خودکار برای پیاده سازی آنها استفاده می شود. نمونه های قابل توجه Slowloris، Apache Killer، Cross-site scripting، SQL-injection، Remote file injection هستند.

در سال‌های 2012-2014، بیشتر حملات DDoS گسترده، حملات Stateless (بدون وضعیت و ردیابی جلسه) بودند - آنها از پروتکل UDP استفاده کردند. در مورد Stateless، بسیاری از بسته ها در یک جلسه گردش می کنند (مثلاً باز کردن یک صفحه). چه کسی جلسه را شروع کرد (صفحه را درخواست کرد)، دستگاه های بدون تابعیت، به عنوان یک قاعده، نمی دانند.

پروتکل UDPمستعد جعل - جایگزینی آدرس. به عنوان مثال، اگر می خواهید با استفاده از حمله DNS Amplification به سرور DNS در 56.26.56.26 حمله کنید، می توانید مجموعه ای از بسته ها را با آدرس فرستنده 56.26.56.26 ایجاد کنید و آنها را به سرورهای DNS در سراسر جهان ارسال کنید. این سرورها پاسخی را به 56.26.56.26 ارسال می کنند.

همین روش برای سرورهای NTP، دستگاه‌های دارای SSDP فعال است. NTP شاید محبوب ترین روش باشد: در نیمه دوم سال 2016، در 97.5٪ از حملات DDoS استفاده شد.
بهترین روش فعلی (BCP) 38 به ISP ها توصیه می کند که دروازه ها را برای جلوگیری از جعل پیکربندی کنند - آدرس فرستنده، شبکه منبع نظارت می شود. اما این رویه در همه کشورها رعایت نمی شود. علاوه بر این، مهاجمان با سوئیچ کردن به حملات Stateful در لایه TCP، کنترل‌های BCP 38 را دور می‌زنند. به گفته مرکز عملیات امنیتی F5 (SOC)، چنین حملاتی در پنج سال گذشته غالب بوده است. در سال 2016، حملات TCP دو برابر حملات UDP بود.

حملات لایه 7 بیشتر توسط هکرهای حرفه ای استفاده می شود. اصل به شرح زیر است: یک URL "سنگین" گرفته می شود (با فایل پی دی افیا درخواست به یک پایگاه داده بزرگ) و ده ها یا صدها بار در ثانیه تکرار می شود. حملات لایه 7 وحشتناک هستند و تشخیص آنها دشوار است. آنها در حال حاضر حدود 10 درصد از حملات DDoS را تشکیل می دهند.


همبستگی انواع مختلف حملات DDoS بر اساس گزارش بررسی نقض داده های Verizon (DBIR) (2016).

اغلب، حملات DDoS با دوره‌های اوج ترافیک، مانند روزهای فروش آنلاین، همزمان می‌شوند. جریان های بزرگ داده های شخصی و مالی در این زمان هکرها را جذب می کند.

حملات DDoS به DNS

سیستم نام دامنه (DNS) نقش اساسی در عملکرد و در دسترس بودن یک سایت دارد. در نهایت - در موفقیت کسب و کار شما. متأسفانه، زیرساخت DNS اغلب هدف حملات DDoS است. با سرکوب زیرساخت DNS، مهاجمان می توانند به وب سایت، شهرت شرکت و عملکرد مالی شما آسیب بزنند. زیرساخت DNS باید بسیار انعطاف پذیر و مقیاس پذیر باشد تا بتواند در برابر تهدیدات امروزی مقاومت کند.
اساسا DNS - پایگاه توزیع شدهداده هایی که از جمله، نام سایت های خوانا را به آدرس های IP نگاشت می کند و به کاربر این امکان را می دهد که پس از وارد کردن URL به سایت مورد نظر حرکت کند. اولین تعامل کاربر با سایت با درخواست های DNS ارسال شده به سرور DNS با آدرس دامنه اینترنتی سایت شما آغاز می شود. پردازش آنها می تواند تا 50 درصد از زمان بارگذاری صفحه وب را تشکیل دهد. بنابراین، کاهش عملکرد DNS می تواند منجر به خروج کاربر از سایت و ضرر برای کسب و کار شود. اگر سرور DNS شما در نتیجه یک حمله DDoS پاسخ ندهد، هیچ کس نمی تواند به سایت دسترسی پیدا کند.

شناسایی حملات DDoS دشوار است، به خصوص در ابتدای کار که ترافیک عادی به نظر می رسد. زیرساخت DNS می تواند در معرض انواع مختلفی از حملات DDoS قرار گیرد. گاهی اوقات این یک حمله مستقیم به سرورهای DNS است. در موارد دیگر، از اکسپلویت ها استفاده می شود و از سیستم های DNS برای حمله به سایر عناصر زیرساخت یا خدمات فناوری اطلاعات استفاده می شود.


حملات DNS Reflection هدف را در معرض پاسخ‌های جعلی DNS عظیم قرار می‌دهند. برای این کار از بات نت ها استفاده می شود که صدها و هزاران رایانه را آلوده می کند. هر ربات در چنین شبکه ای چندین درخواست DNS تولید می کند، اما از همان آدرس IP هدف به عنوان IP منبع (جعل) استفاده می کند. سرویس DNS به این آدرس IP پاسخ می دهد.

این به یک اثر دوگانه دست می یابد. سیستم هدفهزاران و میلیون‌ها پاسخ DNS بمباران می‌شوند و سرور DNS می‌تواند بدون مقابله با بار «دراز بکشد». خود کوئری DNS معمولاً کمتر از 50 بایت است و پاسخ ده برابر بیشتر است. علاوه بر این، پیام های DNS می توانند حاوی اطلاعات زیادی باشند.

فرض کنید یک مهاجم 100000 پرسش کوتاه 50 بایتی DNS (در کل 5 مگابایت) صادر کرده است. اگر هر پاسخ حاوی 1 کیلوبایت باشد، مجموع آن در حال حاضر 100 مگابایت است. از این رو به آن Amplification می‌گویند. ترکیبی از حملات DNS Reflection و Amplification می تواند عواقب بسیار جدی داشته باشد.


درخواست ها مانند ترافیک معمولی به نظر می رسند و پاسخ ها مجموعه ای از پیام ها هستند سایز بزرگبه سیستم هدف هدایت می شود.

چگونه از خود در برابر حملات DDoS محافظت کنیم؟

چگونه از خود در برابر حملات DDoS محافظت کنید، چه اقداماتی باید انجام دهید؟ اول از همه، آن را "برای بعد" موکول نکنید. هنگام پیکربندی شبکه، راه اندازی سرورها و استقرار نرم افزار باید برخی ملاحظات را در نظر گرفت. و هر تغییر بعدی نباید آسیب پذیری در برابر حملات DDoS را افزایش دهد.
  • امنیت کد هنگام نوشتن نرم افزار باید ملاحظات امنیتی را در نظر گرفت. توصیه می شود از استانداردهای "کدگذاری امن" پیروی کنید و نرم افزار خود را به طور کامل تست کنید تا از مشکلات و آسیب پذیری های رایج مانند اسکریپت بین سایتی و تزریق SQL جلوگیری کنید.

  • یک برنامه اقدام به روز رسانی نرم افزار تهیه کنید. در صورت بروز مشکل، همیشه باید فرصتی برای "بازگشت" وجود داشته باشد.

  • نرم افزار خود را به روز نگه دارید. اگر امکان دانلود به روز رسانی ها وجود داشت، اما مشکلاتی ظاهر شد، به مورد 2 مراجعه کنید.

  • فراموش نکنید که دسترسی را محدود کنید. ادمین و/یا حساب‌ها باید با گذرواژه‌های قوی و مرتباً تغییر یافته محافظت شوند. ممیزی دوره ای حقوق دسترسی، حذف به موقع حساب های کارکنان بازنشسته نیز مورد نیاز است.

  • رابط مدیریت فقط باید از شبکه داخلی یا از طریق VPN قابل دسترسی باشد. دسترسی به موقع به VPN برای کارمندانی که شغل خود را ترک کرده اند و حتی بیشتر از آن برای کسانی که اخراج شده اند.

  • کاهش DDoS را در برنامه بازیابی فاجعه خود لحاظ کنید. این طرح باید شامل راه هایی برای شناسایی واقعیت چنین حمله ای، مخاطبین برای ارتباط با اینترنت یا ارائه دهنده هاست، درخت "تشدید مشکل" برای هر بخش باشد.

  • اسکن آسیب پذیری ها به شناسایی مشکلات در زیرساخت و نرم افزار شما و کاهش خطرات کمک می کند. یک تست ساده آسیب پذیری 10 برتر OWASP بحرانی ترین مسائل را شناسایی می کند. تست های نفوذ نیز مفید خواهند بود - آنها به شما کمک می کنند پیدا کنید نقاط ضعیف.

  • حفاظت سخت افزاری DDoS می تواند گران باشد. اگر بودجه شما این را فراهم نمی کند، یک جایگزین خوب وجود دارد - حفاظت از DDoS "در صورت تقاضا". چنین سرویسی را می توان به سادگی با تغییر طرح مسیریابی ترافیک در آن فعال کرد موقعیت اضطراری، یا به طور دائم محافظت می شود.

  • از یک شریک CDN استفاده کنید. شبکه های تحویل محتوا امکان تحویل محتوای سایت را از طریق یک شبکه توزیع شده فراهم می کنند. ترافیک در چندین سرور توزیع می‌شود و تاخیر دسترسی کاربر را کاهش می‌دهد، از جمله سرورهایی که از نظر جغرافیایی دور هستند. بنابراین، در حالی که مزیت اصلی CDN سرعت است، به عنوان یک مانع بین سرور اصلی و کاربران نیز عمل می کند.

  • از فایروال برنامه های وب استفاده کنید - یک فایروال برای برنامه های کاربردی وب. ترافیک بین یک سایت یا برنامه و مرورگر را کنترل می کند و مشروعیت درخواست ها را بررسی می کند. WAF با کار در لایه برنامه می تواند حملات علیه الگوهای ذخیره شده را شناسایی کرده و رفتار غیرعادی را آشکار کند. حملات لایه برنامه در تجارت الکترونیک غیر معمول نیست. همانند CDN ها، می توانید از خدمات WAF در فضای ابری استفاده کنید. با این حال، پیکربندی قوانین نیاز به تجربه دارد. در حالت ایده آل، تمام برنامه های کاربردی اصلی باید با WAF محافظت شوند.

    • حفاظت از DNS

    چگونه از زیرساخت DNS خود در برابر حملات DDoS محافظت کنیم؟ فایروال های معمولی و IPS در اینجا کمکی نمی کنند، آنها در برابر حمله DDoS پیچیده به DNS ناتوان هستند. در واقع، فایروال ها و سیستم های جلوگیری از نفوذ، خود در برابر حملات DDoS آسیب پذیر هستند.
    آنها می توانند به کمک بیایند خدمات ابریترافیک پاکسازی: به مرکز خاصی فرستاده می شود و در آنجا بررسی می شود و به مقصد هدایت می شود. این سرویس ها برای ترافیک TCP مفید هستند. کسانی که زیرساخت DNS خود را مدیریت می کنند می توانند اقدامات زیر را برای کاهش تأثیر حملات DDoS انجام دهند.
  • نظارت بر سرورهای DNS برای فعالیت مشکوک اولین گام در ایمن سازی زیرساخت DNS شما است. راه‌حل‌های DNS تجاری و محصولات منبع باز مانند BIND آماری را در زمان واقعی ارائه می‌کنند که می‌تواند برای شناسایی حملات DDoS استفاده شود. نظارت بر حملات DDoS می تواند یک کار فشرده منابع باشد. بهترین کار این است که در شرایط عملیاتی معمولی یک نمایه خط پایه زیرساخت ایجاد کنید و سپس با تکامل زیرساخت و تغییر الگوهای ترافیک، هر از چند گاهی آن را به روز کنید.

  • منابع سرور DNS اضافی می توانند با ارائه زیرساخت های اضافی DNS به مقابله با حملات در مقیاس کوچک کمک کنند. منابع سرور و شبکه باید برای رسیدگی به درخواست های بیشتر کافی باشد. البته، افزونگی هزینه دارد. شما برای منابع سرور و شبکه ای که به طور معمول در شرایط عادی استفاده نمی شوند، پرداخت می کنید. و با وجود "ذخیره" قابل توجهی از قدرت، بعید است که این رویکرد موثر باشد.

  • فعال کردن DNS Response Rate Limiting (RRL) با کاهش سرعت پاسخ به درخواست‌های مکرر، احتمال درگیر شدن سرور در حمله DDoS Reflection را کاهش می‌دهد. بسیاری از پیاده سازی های DNS از RRL پشتیبانی می کنند.

  • از تنظیمات با دسترسی بالا استفاده کنید. شما می توانید با استقرار DNS بر روی یک سرور با دسترسی بالا (HA) در برابر حملات DDoS دفاع کنید. اگر یک سرور فیزیکی در نتیجه حمله از کار بیفتد، سرویس DNS می تواند به سرور پشتیبان بازیابی شود.

    • بهترین راه برای محافظت از DNS در برابر حملات DDoS استفاده از یک شبکه Anycast پراکنده جغرافیایی است. شبکه های DNS توزیع شده را می توان با استفاده از دو رویکرد مختلف پیاده سازی کرد: آدرس دهی Unicast یا Anycast. پیاده سازی روش اول بسیار ساده تر است، اما روش دوم در برابر حملات DDoS بسیار مقاوم تر است.

    در مورد Unicast، هر یک از سرورهای DNSشرکت شما یک آدرس IP منحصر به فرد دریافت می کند. DNS جدولی از سرورهای DNS دامنه شما و آدرس های IP مربوطه را نگهداری می کند. هنگامی که کاربر یک URL را وارد می کند، یکی از آدرس های IP به طور تصادفی برای اجرای درخواست انتخاب می شود.

    با طرح آدرس دهی Anycast، سرورهای DNS مختلف یک آدرس IP مشترک را به اشتراک می گذارند. هنگامی که کاربر URL را وارد می کند، آدرس جمعی سرورهای DNS برگردانده می شود. شبکه IP درخواست را به نزدیکترین سرور هدایت می کند.

    Anycast مزایای امنیتی اساسی را نسبت به Unicast فراهم می کند. Unicast آدرس های IP سرورهای فردی را فراهم می کند، بنابراین مهاجمان می توانند حملات هدفمندی را علیه سرورهای فیزیکی خاص انجام دهند و ماشین های مجازی، و هنگامی که منابع این سیستم تمام می شود، یک سرویس خراب می شود. Anycast می تواند با توزیع درخواست ها در گروهی از سرورها به کاهش حملات DDoS کمک کند. Anycast همچنین برای جداسازی اثرات یک حمله مفید است.

    حفاظت DDoS توسط ارائه دهنده

    طراحی، استقرار و راه اندازی یک شبکه جهانی Anycast زمان، هزینه و دانش لازم دارد. اکثر سازمان های فناوری اطلاعات مهارت و بودجه لازم برای انجام این کار را ندارند. می‌توانید به یک ارائه‌دهنده خدمات مدیریت شده که در زمینه DNS متخصص است اعتماد کنید تا زیرساخت‌های DNS خود را در حال اجرا نگه دارد. آنها دانش لازم را برای محافظت از DNS در برابر حملات DDoS دارند.

    ارائه دهندگان خدمات DNS مدیریت شده شبکه های Anycast در مقیاس بزرگ را اداره می کنند و نقاط حضور در سراسر جهان را دارند. کارشناسان امنیت شبکه شبکه را 24/7/365 نظارت می کنند و ابزارهای ویژه ای را برای کاهش تأثیر حملات DDoS به کار می گیرند.


    خدمات نیز توسط برخی از ارائه دهندگان میزبانی ارائه می شود: ترافیک شبکه 24/7 تجزیه و تحلیل می شود، بنابراین سایت شما نسبتا ایمن خواهد بود. چنین حفاظتی قادر به مقاومت در برابر حملات قدرتمند - تا 1500 گیگابیت در ثانیه است. در عین حال ترافیک پرداخت می شود.

    گزینه دیگر محافظت از آدرس های IP است. ارائه دهنده آدرس IP را که مشتری به عنوان یک آدرس محافظت شده انتخاب کرده است را در یک شبکه تحلیلگر ویژه قرار می دهد. این حمله ترافیک مشتری را با الگوهای حمله شناخته شده مطابقت می دهد. در نتیجه، مشتری فقط ترافیک تمیز و فیلتر شده را دریافت می کند. بنابراین، کاربران سایت ممکن است ندانند که حمله ای به آن صورت گرفته است. برای سازماندهی این امر، یک شبکه توزیع شده از گره های فیلتر ایجاد می شود تا برای هر حمله، بتوان نزدیک ترین گره را انتخاب کرد و تاخیر در انتقال ترافیک را به حداقل رساند.

    نتیجه استفاده از خدمات حفاظتی در برابر حملات DDoS، شناسایی و پیشگیری به موقع از حملات DDoS، تداوم سایت و در دسترس بودن دائمی آن برای کاربران، به حداقل رساندن ضرر مالی و اعتباری ناشی از خرابی سایت یا پورتال خواهد بود.

    اشتراک گذاری
    اشتراک گذاری
    توییت
    پسندیدن
    پسندیدن

    همچنین بخوانید

    زنگ

    کسانی هستند که قبل از شما این خبر را می خوانند.
    برای دریافت آخرین مقالات مشترک شوید.
    پست الکترونیک
    نام
    نام خانوادگی
    چگونه می خواهید زنگ را بخوانید
    بدون هرزنامه