چگونه حملات DDoS را متوقف کنیم؟ نکات مقابله با حملات DDoS

19آذر
مقابله با حملات ddos
مقالات 0 نظرات

دانستن اینکه چگونه می‌توانید به سرعت (در سریع‌ترین زمان ممکن) یک  حمله «از کاراندازی توزیع‌شده سرویس»
(Distributed Denial of Service – به اختصار DDoS) را متوقف کنید، می‌تواند مرز بین پیشرفت سازمان یا شکست کسب و کار شما باشد. دلیل آن این است که تأثیرات یک حمله DDoS موفقیت‌آمیز می‌تواند بسیار مخرب باشد و منجر به توقف فعالیت سازمان شما از بستر اینترنت و عدم برقراری ارتباط و تعامل با مشتریان سازمان شود.

اگر قربانی یک حمله DDoS شدید، تنها نیستید. سازمان‌ها و سایت‌های متعددی همچون گوگل، آمازون، پلی‌استیشن، پینترست و گیت‌هاب نیز در سال 2018 از جمله قربانیان این حملات بودند که بیشترین حجم حملات DDoS را دریافت کردند.

همچنین بخوانید: حمله DDos چیست؟

آنچه در این مقاله می خوانید

حمله DDos چیست؟

یک حمله «از کاراندازی سرویس» (Denial-of-Service – به اختصار DoS) شامل ارسال تعداد زیادی درخواست به نشانی IP سرویس‌دهنده است که موجب مصرف بیش از حد منابع سرور و حجم زیادی از ترافیک می‌شود. در این صورت به دلیل حجم بالای ترافیک غیرمنتظره، سرور از دسترس خارج شده و سایت از کار می‌افتد.

یک حمله DDoS نیز نوع خاصی از حمله DoS است که بر همین اساس عمل می‌کند، با این تفاوت که درخواست‌ها و ترافیک مخرب و هماهنگ از چندین مبدا مختلف ارسال می‌شود. این واقعیت که منابع ترافیک در حملات DDoS اغلب در سراسر جهان توزیع می‌شوند، جلوگیری از این گونه حملات را نسبت به حملات DoS که تنها از یک نشانی IP واحد نشات گرفته، بسیار دشوارتر می‌کند.

احتمال افزایش حملات DDoS در آینده  

بر اساس تحقیقات منتشر شده، تعداد حملات DDoS به طور فزاینده‌ای رو به افزایش است. یکی از دلایل شیوع فزاینده آنها، افزایش تعداد دستگاه‌های ناامن اینترنت اشیا (IoT) است که پس از آلودگی عضوی از شبکه‌های مخربی (Botnet) همچون Reaper می‌شوند.

امروزه، حجم داده‌ها و ترافیک غیرواقعی ایجاد شده در حملات DDoS نیز که عمدتاً از اجرای حملات تقویت شده‌ای نظیر Memcached Amplification Attack نشات می‌گیرند، به طور قابل توجهی افزایش یافته است. در اواخر سال 1396، مجرمان سایبری حملاتی از نوع تقویت‌شده علیه Github با سرعت 1.35 ترابایت بر ثانیه انجام دادند.

امروزه با توجه به اینکه مهاجمان می‌توانند حملاتی با سرعت بیش از 1 ترابایت در ثانیه در سرورهای شما راه‌اندازی و اجرا کنند، جلوگیری از حمله DDoS تقریباً غیرممکن یا بسیار دشوار به نظر می‌رسد. این بدان معنی است که درک چگونگی متوقف‌سازی حمله DDoS پس از شروع و اجرا در سازمان شما بیش از هر زمان دیگری مهم است.

چگونه یک حمله DDoS را متوقف کنیم؟

1) حمله DDoS را در سریع‌ترین زمان ممکن شناسایی کنید.

اگر سرورهای شما در محل سازمان در حال سرویس‌دهی بر روی اینترنت هستند، باید بتوانید زمان دقیق حمله را تشخیص دهید. هر چه زودتر بتوانید حمله DDoS و مشکلات بوجود آمده از آن را شناسایی کنید، سریع‌تر نیز می‌توانید آن حمله DDoS را متوقف کنید. بدین منظور بهترین راهکار این است که از میزان ترافیک ورودی سازمان خود مطلع باشید. هرچه بیشتر بدانید ترافیک عادی و معمول شما به چه میزانی است، تشخیص اینکه چه زمانی ترافیک بصورت غیرعادی تغییر می‌کند، آسان‌تر می‌شود. اکثر حملات DDoS با افزایش ناگهانی ترافیک شروع می‌شوند و تشخیص تفاوت بین افزایش ناگهانی تعداد بازدیدکنندگان متداول سایت، نقطه آغاز تشخیص یک حمله DDoS است.

همچنین توصیه می‌شود که اگر مورد حمله DDoS قرار گرفتید، از یک متخصص در این زمینه در سازمان خود کمک بگیرید تا مسئولیت بررسی، پیشگیری و مسدودسازی آن را بر عهده بگیرد.

پیشگیری از حملات با افزایش پهنای باند

۲) پهنای باند را بیشتر از میزان مورد نیاز خود در نظر بگیرید.

به طور کلی کاملاً منطقی است که پهنای باند بیشتری به سرورهای فعال بر روی وب اختصاص دهید. به این ترتیب، با داشتن پهنای باند بیشتر، می‌توانید افزایش ناگهانی و غیرمنتظره ترافیک را که می‌تواند نتیجه یک کارزار تبلیغاتی، یک پیشنهاد ویژه یا حتی تبلیغات سازمان شما در رسانه‌ها باشد، مدیریت کنید. حتی اگر پهنای باندی به میزان 100 درصد یا 500 درصد بیش از حد نیاز تأمین شود، همچنان احتمال وقوع حمله DDoS وجود خواهد شد. اما ممکن است چند دقیقه بیشتر به شما فرصت دهد تا قبل از اینکه منابع شما به طور کامل درگیر شوند، نسبت به شناسایی و متوقف‌سازی آن اقدام نمایید.

۳) مستحکم کردن سازوکار دفاعی در تجهیزات شبکه سازمان.

با اعمال برخی تدابیر فنی زیر که بعضی از آنها بسیار ساده هستند، می‌توان اثر حمله را به ویژه در دقایق اول به میزان نسبی کاهش داد:

  • با محدود نمودن نرخ روتر، می‌توان از افزایش ترافیک غیرعادی به سرور سازمان جلوگیری کرد.
  • با اضافه نمودن فیلترها به مسیریاب (Router)، بسته‌های مخرب را از منابع حمله حذف نمایید.
  • مدت Time out تمامی ارتباطات موسوم به Open Connection (timeout half-open connection) را به صورت سختگیرانه لحاظ کنید.
  • ترافیک‎‌های مربوط به بسته‌های جعلی یا دستکاری شده را متوقف کنید.
  • آستانه‌ها را برای SYN Flood، ICMP و UDP به میزان پایین‌تری تنظیم کنید.

اما حقیقت این است که با این که اعمال این موارد در گذشته بسیار موثر بوده است، در حال حاضر حملات DDoS معمولاً بسیار بزرگ و مخرب‌تر می‌باشند و نمی‌توانند به طور کامل یک حمله DDoS را متوقف نمود. بیشترین امیدی که می‌توانید از اعمال این نکات فنی داشته باشید این است که با افزایش حمله DDoS، کمی زمان برای خود بخرید.

4) با ISP یا Hosting Provider سازمان تماس بگیرید.

گام بعدی این است که به سرعت با ISP (سرویس‌دهنده‌های اینترنت) یا Hosting Provider (سرویس‌دهنده میزبانی کننده سرورهای شما بر روی اینترنت) سازمان – در صورتی که سرور وب خود را درون سازمان میزبانی نمی‌کنید – تماس بگیرید و به آنها اطلاع دهید که مورد حمله قرار گرفته‌اید و درخواست کمک کنید. بسته به شدت و وسعت حمله، ممکن است پیش‌تر ISP یا Hosting Provider، حمله مذکور را شناسایی کرده باشند یا حتی ممکن است حمله‌ برای آنها نیز در شرف وقوع باشد.

اگر سرور وب شما توسط یک Hosting Provider تامین شده باشد، شانس بیشتری جهت مقاومت و مقابله در برابر حملات DDoS، نسبت به حالتی که سرور در سازمان باشد، دارید. دلیل آن این است که مرکز داده آن سرویس‌دهنده نسبت به سازمان شما احتمالاً دارای پهنای باند بیشتر و روترهایی با ظرفیت بالاتری خواهد بود و کارکنان آن نیز احتمالاً تجربه بیشتری در برخورد با حملات DDoS خواهند داشت.

همچنین قرار دادن سرور وب سازمان در Hosting Provider باعث می‌شود که ترافیک DDoS به سمت سرور وب شما از شبکه LAN سازمان خارج شود. بنابراین حداقل بخشی از کسب و کار شما از جمله ایمیل و احتمالاً تماس‌های مبتنی بر VOIP در طول حمله از کار نمی‌افتند.

اگر یک حمله DDoS به اندازه کافی بزرگ باشد، اولین کاری که احتمالاً ISP یا Hosting Provider سازمان انجام می‌دهد، اعمال فرایند موسوم به «null route» است که می‌تواند منجر به مسدودسازی ترافیک غیرواقعی قبل از رسیدن به سرور وب سازمان شود. البته برای Hosting Provider، این ترفند که به یک حمله DDoS روی شبکه خود اجازه ورود می‌دهد، می‌تواند بسیار پرهزینه باشد زیرا پهنای باند زیادی مصرف می‌شود و می‌تواند روی مشتریان دیگر نیز تأثیر بگذارد، بنابراین اولین کاری که ممکن است انجام دهند این است که منجر به توقف سرویس‌دهی سازمان شما برای مدتی شود.

مدیرISP  و مدیر شرکت میزبان ServerSpace نیز ضمن تائید این موضوع عنوان نموده که اولین پاسخ هنگام حمله DDoS به مشتریانشان، لاگین به مسیریاب‌ها (Router) و تنظیم آنها جهت متوقف‌سازی ترافیک ورودی به شبکه است. این کار حدود دو دقیقه زمان می‌برد تا با استفاده از پروتکل مسیریابی BGP  (Border Gateway Protocol)در سطح جهان منتشر شود و پس از آن ترافیک غیرمنتظره کاهش و مسدود می‌شود.

با انجام اینکار عملاً حمله DDoS موفقیت‌آمیز خواهد بود چون سرویس شما عملاً از دسترس خارج شده است. شما ممکن است ترافیک را به سمت شرکتهای متخصص در زمینه پیشگیری از حملات DDoS هدایت کنید، جایی که ترافیک مخرب قبل از ارسال به سرور شما حذف می‌شود. این شرکتها با بکارگیری ابزارهایی که در اختیار دارند ترافیک مخرب را از ترافیک معتبر تشخیص داده و آن را پالایش می‌کنند.

5) از یک متخصص حملات DDoS کمک بگیرید.

برای حملات بسیار بزرگ، این احتمال وجود دارد که بهترین شانس سازمان شما برای آنلاین ماندن، استفاده از یک شرکت تخصصی در زمینه کاهش اثرات مخرب حملات DDoS باشد. این سازمان‌ها زیرساخت‌های مجهزی دراختیار دارند و از فناوری‌های مختلفی از جمله پاکسازی داده‌ها جهت کمک به آنلاین نگه داشتن ‌سایت سازمان استفاده می‌کنند. ممکن است لازم باشد مستقیماً با متخصصان حرفه‌ای در این زمینه تماس بگیرید و یا جهت مدیریت حملات بزرگ با ISP یا Hosting Provider سازمان، تفاهم‌نامه مشارکت داشته باشد.

گرچه خدمات تخصصی ارائه شده در زمینه مقابله با حملات DDoS  توسط ISP یا Hosting Provider رایگان نمی‌باشند و سفارش آن ممکن است چند صد دلار در ماه هزینه داشته باشد. ولی این به سیاست‌های سازمان شما بستگی دارد که آیا می‌خواهید برای آنلاین ماندن پولی بپردازید و جلوی پیشروی حمله را بگیرید و یا منتظر باشید تا حمله DDoS قبل از ازکاراندازی کل سرویس سازمان، کاهش یابد.

کتابچه راهنما حملات ddos

6) یک کتابچه راهنما برای حملات DDoS ایجاد کنید.

بهترین راهکار جهت اطمینان از واکنش سریع و مؤثر سازمان شما در برابر حملات DDoS و متوقف‌سازی این گونه حملات، ایجاد یک مجموعه دستورالعمل (Playbook) است که با جزئیات در هر مرحله، شناسایی و پاسخ‌دهی به حملات مذکور را از پیش، برنامه‌ریزی و مستند کرده باشد.

این کتابچه راهنما بایستی شامل تمام اقداماتی که در بالا توضیح داده شده است، باشد. همچنین اسامی و شماره تماس تمامی افرادی که در مراحل مختلف شناسایی و پاسخ‌دهی به حملات DDoS به آنها نیاز است را دارا باشد.

از سویی شرکت‌های ارائه دهنده خدمات تخصصی در زمینه مقابله با حملات DDoS می‌توانند با اجرای حملات DDoS شبیه‌سازی شده، به سازمان شما در جهت توسعه رویه‌ای سریع برای واکنش به یک حمله واقعی کمک کنند.

در کتابچه راهنمای مذکور، بخش مهمی از پروسه برنامه‌ریزی شده جهت پاسخ‌دهی به یک حمله DDoS که نباید نادیده گرفته شود، به حداقل رساندن اثرات سوء آن بر روی سرویس‌دهی به مشتریان سازمان است. یک حمله DDoS ممکن است حتی تا 24 ساعت به طول انجامد و برقرار بودن ارتباطات سازمان با مشتریان در دوران حمله، می‌تواند ضمن تضمین تداوم کسب و کار سازمان، هزینه‌های انجام شده در آن زمان را به حداقل برساند.

منبع: esecurityplanet

مطالب مرتبط

فایروال اندروید چیست
16بهمن

فایروال اندروید چیست؟ معرفی بهترین فایروال اندروید

فایروال اندروید چیست؟ به زبان ساده، فایروال اندروید اپلیکیشنی است که به کاربران... ادامه مطلب

پیشگیری از حملات ddos
05شهریور

6 راهکار برای پیشگیری از حملات DDoS

قربانی شدن در یک حمله DDoS «از کاراندازی توزیع‌شده سرویس» (Distributed Denial... ادامه مطلب

بهترین فایروال 2021-وبسایت فایروال
30آذر

بهترین فایروال 2021

هر شبکه ای برای دفاع کردن از داده های سازمان خود در... ادامه مطلب