6 راهکار برای پیشگیری از حملات DDoS

قربانی شدن در یک حمله DDoS «از کاراندازی توزیع‌شده سرویس» (Distributed Denial of Service) می‌تواند فاجعه بار باشد. به نقل از شرکت امنیتی کِلود‌فِلِر (Cloudflare, Inc.)، میانگین زیان یک سازمان در یک حمله موفق DDoS حدود 100 هزار دلار به ازای هر ساعت حمله است. البته هزینه‌های بلندمدتی همچون خدشه وارد شدن به اعتبار برند و از دست دادن مشتریان نیز وجود دارد، که همگی منجر به شکست کسب‌و‌کار می‌شوند. به همین دلیل ضروری است به جای تمرکز بر نحوه متوقف سازی یک حمله DDoS، منابع لازم را برای جلوگیری از این نوع حملات یا حداقل کاهش آثار سوء حملات DDoS تخصیص دهید.

برای مطالعه بیشتر در رابطه با حملات DDoS و انواع آن مقاله حمله DDos چیست؟ بررسی انواع حملات DDoS مطالعه نمایید.

راه‌های پیشگیری از حملات DDoS چیست؟

1. خرید پهنای باند بیشتر
2. ایجاد افزونگی در زیرساخت
3. پیکربندی مناسب تجهیزات شبکه در برابر حملات DDoS
4. پیاده‌سازی ماژول‌های سخت‌افزاری و نرم‌افزاری ضد حملات DDoS
5. پیاده‌سازی ابزار یا یک محصول اختصاصی ضد حملات DDoS
6. محافظت از سرورهای DNS

1) خرید پهنای باند بیشتر

در میان تمام راه‌های جلوگیری از حملات DDoS، اساسی‌ترین قدمی که می‌توانید به منظور مقاوم‌سازی زیرساخت VPS Hosting بردارید، این است که اطمینان حاصل کنید که پهنای باند کافی برای مدیریت حجم بالای ترافیک ایجاد شده در اثر فعالیت‌های مخرب را دارید.

در گذشته، با اطمینان از اینکه پهنای باند بیشتری نسبت به هر یک از مهاجمین در اختیار داشتید، امکان جلوگیری از حملات DDoS وجود داشت. اما با افزایش حملات تقویت شده، این روش دیگر عملی نیست. در عوض، با خرید پهنای باند بیشتر اکنون مهاجمان باید تلاش بیشتری برای اجرای یک حمله DDoS موفق انجام دهند، پس به خودی خود، خرید پهنای باند بیشتر راهکار پیشگیری از حمله DDoS نیست.

2) ایجاد افزونگی در زیرساخت

برای اینکه حمله موفق‌ آمیز DDoS علیه سرورها تا حد ممکن دشوار شود، اطمینان حاصل کنید که سرورها را با بکارگیری یک سیستم توازن بار در چندین مرکز داده جهت توزیع متعادل ترافیک پخش کرده‌اید. در صورت امکان، این مراکز داده باید در کشورهای مختلف یا حداقل در مناطق مختلف یک کشور باشند.

برای اینکه این استراتژی واقعاً مؤثر باشد، لازم است اطمینان حاصل شود که مراکز داده به شبکه‌های مختلف متصل شده و هیچ گلوگاه (Bottleneck) یا نقطه شکست (Single Point of Failure) آشکاری در این شبکه‌ها وجود نداشته باشد. توزیع سرورها از نظر جغرافیایی و توپوگرافی، حمله موفقیت‌آمیز به بخش اعظم سرورها را برای مهاجم دشوار می‌کند و اکثر سرورها را تحت تأثیر قرار نمی‌دهد. در این صورت این سرورها قادر به پردازش حداقل بخشی از ترافیک اضافی که سرورهای آسیب‌پذیر معمولاً مدیریت می‌کنند، می‌باشند.

3) پیکربندی مناسب تجهیزات شبکه در برابر حملات DDoS

با اعمال تغییراتی ساده در پیکربندی سخت‌افزاری، می‌توان از حمله DDoS جلوگیری کرد. برای مثال، پیکربندی دیواره آتش (Firewall) یا روتر (Router) شبکه را جهت توزیع بسته‌های ICMP ورودی یا متوقف‌سازی پاسخ‌های DNS از خارج از شبکه (با مسدود کردن پورت 53 UDP) تغییر داد. این امر می‌تواند مانع از حملات مبتنی بر ping و تقویت شده DNS شود.

4) پیاده‌سازی ماژول‌های سخت‌افزاری و نرم‌افزاری ضد حملات DDoS

سرورهای شما باید توسط فایروال‌های شبکه و فایروال‌های مجهز به قابلیت WAF (Web Application Firewall) محافظت شوند و احتمالاً باید از سرویس‌های متعادل‌کننده بار نیز استفاده شود. بسیاری از سازندگان سخت‌افزار در حال حاضر با بکارگیری نرم‌افزارهایی از حملاتDDoS  همچون  SYN Flood Attack پیشگیری می‌کنند. برای مثال، با نظارت بر تعداد اتصالات ناتمام موجود و خاتمه دادن به آنهایی که تعدادشان به مقدار آستانه تنظیم‌شده رسیده است.

ماژول‌های نرم‌افزاری خاص نیز می‌توانند به برخی از نرم‌افزارهای سرور وب اضافه شوند تا از حملات DDoS جلوگیری شود. به عنوان مثال، Apache 2.2.15 با ماژولی به نام mod_reqtimeout ارائه می‌شود که می‌تواند از خود در برابر حملات در سطح نرم‌افزار (Application-layer attack) همچون حمله Slowloris محافظت کند. این ماژول، اتصالات را به یک سرور وب برقرا نموده و سپس تنها تا زمانی که سرور توانایی پاسخگویی به درخواست‌ها را دارد، اتصالات جدیدی را می‌پذیرد.

همچنین بخوانید: فایروال وب اپلیکیشن چیست؟

 

5) پیاده‌سازی ابزار یا یک محصول اختصاصی ضد حملات DDoS

بسیاری از سازندگان محصولات امنیتی از جمله NetScout Arbor، Fortinet، Check Point،Cisco  وRadware ، دستگاه‌هایی را ارائه می‌کنند که در مقابل فایروال‌های شبکه قرار می‌گیرند و برای جلوگیری از حملات DDoS قبل از شناسایی این نوع حملات توسط فایروال‌ها طراحی شده‌اند. آنها این کار را با بکارگیری تکنیک‌ها و معیارهایی همچون تعریف مبنای رفتاری ترافیک (Traffic Behavioral Baseline) و سپس مسدودسازی ترافیک غیرعادی و شناسایی ترافیک‎های متداول براساس امضاء، انجام می‌دهند. ضعف اصلی این رویکرد در جلوگیری از حملات DDoS این است که خود این دستگاه‌ها در میزان ترافیکی که می‌توانند مدیریت کنند، دارای محدودیت می‌باشند.

با اینکه که دستگاه‌های رده بالا ممکن است بتوانند ترافیک ورودی را با سرعت 80 گیگابیت بر ثانیه یا بیشتر بررسی کنند، حملات DDoS امروزی به راحتی می‌توانند بسیار سریعتر از این باشند.

6) محافظت از سرورهای DNS

فراموش نکنید که مهاجم می‌تواند با حملات DDoS بر روی سرورهای DNS، سرورهای وب را از کار بیندازد. به همین دلیل توصیه می‌شود برای سرور DNS چندین نسخه در نظر گرفته شود و در عین حال نسخه‌های مختلف سرور DNS در مراکز داده مختلف از  سیستم‌های متعادل کننده بار استفاده کنند.

راهکار بهتر حتی ممکن است بکارگیری یک DNS مبتنی بر ابر باشد که می‌تواند پهنای باند بالا و حضور در چندین مراکز داده در سراسر جهان را فراهم کند. سرویس‌های مبتنی بر ابر به طور خاص جهت پیشگیری از DDoS طراحی شده‌اند.

 

منبع: eSecurity Planet