چگونه با حملات انکار سرویس توزیع شده (DDoS) مقابله کنیم؟

1- حملات انکار سرویس توزیع شده چه هستند؟

آیا تا کنون پیش آمده است که بخواهید یک تماس تلفنی برقرار نمایید ولی به دلیل مشغول بودن تمام مسیرهای ارتباطی نتوانید این کار را انجام دهید؟ گاهی چنین اتفاقی در برخی تعطیلات و روزهای خاص مانند نوروز رخ می دهد. دلیل این مشکل آن است که سیستم تلفن طوری طراحی شده است که می تواند تعداد محدودی تماس را در یک زمان واحد برقرار کند. این حد بر اساس تخمین تعداد تماسهای همزمان و حجم ترافیکی که سیستم دریافت می کند تعیین می شود. اگر تعداد تماسها همیشه زیاد باشد، از نظر اقتصادی برای شرکت مخابرات مقرون به صرفه است که ظرفیت بیشتری را برای سرویس دادن به این تماسها ایجاد نماید. ولی اگر تعداد تماسها در روزهای عادی کم و فقط در برخی روزهای خاص زیاد باشد، شرکت مخابرات شبکه ای ایجاد می کند که ظرفیت کمتری داشته باشد و از کاربران می خواهد که از برقراری تماس در ساعات اوج ترافیک تلفنی خودداری نمایند. حال تصور کنید که یک فرد نفوذگر بخواهد به سیستم تلفن حمله کرده و آن را برای مشترکان تلفن غیر قابل استفاده نماید. یکی از روشهای حمله آن است که تماسهای مکرر و پشت سر هم برقرار کرده و تمامی خطوط تلفن را اشغال کند. این نوع از حمله به حمله انکار سرویس یا DoS مشهور است که قبلا در مقاله ای راجع به آن توضیح داده ایم. در حقیقت فرد مهاجم کاری کرده است که سیستم تلفن مجبور شود تماسهای تلفنی مشترکان را رد و انکار نماید. البته واقعیت این است که احتمال اینکه یک فرد به تنهایی بتواند تمامی مسیرهای تلفن را مشغول کند بسیار کم است. برای انجام این کار باید تعداد بسیار زیادی تماس از تعداد بسیار زیادی تلفن برقرار گردد. به این کار حمله انکار سرویس توزیع شده یا DDoS گفته می شود. سیستمهای کامپیوتری نیز ممکن است دچار حملات DoS یا DDoS گردند. برای مثال، ارسال حجم زیادی پست الکترونیکی برای یک نفر می تواند حافظه کامپیوتری را که پست الکترونیک در آن قرار دارد پر کند. این بدان معناست که افرادی که از آن کامپیوتر استفاده می کنند قادر نخواهند بود هیچ ایمیل جدیدی دریافت کنند مگر اینکه شرایط به نوعی تغییر نماید. این یکی از انواع قدیمی حملات DoS است. علاوه بر این، افراد نفوذگر تلاش خود را بر روی حملات انکار سرویس روی شبکه های کامپیوتری معطوف کرده اند. از جمله این شبکه ها می توان به World Wide Web، سرویسهای اشتراک فایلها و سرویسهای نام دامنه((DNS اشاره کرد. از آنجایی که تعداد بسیار زیادی کامپیوتر از طریق اینترنت به یکدیگر متصلند، حمله به یکی از این سرویسها می تواند تاثیر زیادی روی کل جامعه اینترنتی داشته باشد. برای مثال با ایجاد یک حمله DoS روی یک شبکه فروش مشهور در زمان اوج فروش آن، نه تنها فروشنده تحت تاثیر قرار می گیرد، بلکه تمامی کسانی که نمی توانند مایحتاج خود را خریداری نمایند نیز تحت تاثیر قرار می گیرند. افراد نفوذگر برای انکار سرویسهای مورد نیاز کاربران یک سرویس کامپیوتری، برنامه های کامپیوتری خاصی را اجرا می کنند که درخواستهای اینترنتی بسیار زیادی را به کامپیوتری که آن سرویسها را ارائه می دهد ارسال می کند. این کار دقیقا شبیه همان کاری است که در مورد سیستم تلفن اتفاق می افتد. زمانی که یک کامپیوتر به چنین درخواستی پاسخ می دهد، در اغلب موارد کسی در طرف دیگر تماس قرار ندارد و در نتیجه پاسخ دادن به این درخواست فقط تلف شدن زمان است. متاسفانه در این موارد سرویسی که مورد حمله قرار می گیرد نمی تواند تفاوتی بین یک تماس واقعی و چنین تماسی قائل شود و در نتیجه مجبور است به تمامی درخواستها پاسخ دهد. علاوه بر این ممکن است حجم ترافیک چنان بالا باشد که شبکه های متصل کننده کامپیوترهای مهاجمان به کامپیوترهای قربانی نیز با مشکل کمبود ظرفیت مواجه شوند. درست مانند سیستم تلفن و کامپیوترهای سرویس دهنده، این شبکه ها نیز نمی توانند بیش از حد مشخصی ترافیک را تحمل کنند. در نتیجه درخواست کاربرانی که سرویسهایی از کامپیوترهای آن شبکه ها بخواهند، نیز رد خواهد شد و این شبکه ها نیز قربانی این حملات DDoS محسوب می شوند.

2- افراد نفوذگر چگونه از حملات انکار سرویس توزیع شده بر علیه کامپیوتر یک قربانی استفاده می کنند؟

ابتدا افراد مهاجم شبکه ای از کامپیوترهایی که برای تولید ترافیک مورد نیاز برای انکار سرویس لازم است ایجاد می کنند. به این شبکه یک شبکه حمله گفته می شود. برای ساختن این شبکه حمله، افراد نفوذگر به دنبال کامپیوترهایی می گردند که به لحاظ امنیتی ضعیف هستند. برای مثال کامپیوترهایی که اصلاحیه ها را نصب نکرده اند و یا کامپیوترهایی که آنتی ویروس قوی و به روز ندارند برای این کار مناسب هستند. زمانی که افراد نفوذگر این کامپیوترها را پیدا کردند، برنامه های جدیدی روی این کامپیوترها نصب می کنند تا از راه دور برای انجام حملات قابل کنترل باشند. قبلا افراد نفوذگر کامپیوترهای مورد استفاده در شبکه حمله را به صورت دستی انتخاب می کردند. اما این روزها عملیات ساختن یک شبکه حمله بصورت خودکار و با استفاده از برنامه هایی که خود را منتشر می کنند انجام می گیرد. این برنامه ها به صورت خودکار کامپیوترهای آسیب پذیر را پیدا کرده و به آنها حمله می کنند و سپس برنامه های لازم را نصب می کنند. سپس تمام این عملیات به وسیله این کامپیوترهای جدید تکرار شده و آنها نیز کامپیوترهای آسیب پذیر دیگری را می یابند. زمانی که یک برنامه DDoS روی یک کامپیوتر نصب می شود، این برنامه این کامپیوتر را به عنوان یکی از اعضای شبکه حمله معرفی می کند. از آنجایی که این برنامه ها این ویژگی را دارا هستند که خودشان را منتشر می کنند، یک شبکه حمله بزرگ به سرعت ساخته می شود. عملیات ساختن یک شبکه حمله به خودی خود نیز یک حمله DDoS است. چراکه جستجو برای یافتن کامپیوترهای آسیب پذیر دیگر ترافیک سنگینی ایجاد می کند. وقتی که یک شبکه حمله ساخته شد، فرد نفوذگر آماده حمله به قربانی یا قربانیان منتخب است. برخی متخصصین امنیت اطلاعات معتقدند که بسیاری از شبکه های حمله در حالت عادی وجود دارند و مانند آتش زیر خاکسترند. این شبکه ها منتظر دریافت دستوری برای ایجاد یک حمله بر علیه کامپیوترهای قربانی هستند. برخی دیگر اعتقاد دارند که شبکه حمله پس از شناسایی یک قربانی ساخته شده و سپس حمله آغاز می گردد. نفوذگران برای اینکه امکان شناسایی خود را کم کنند، حملات خود را روی کامپیوترهای مختلف در حوزه های زمانی مختلف، در حوزه های قضایی متفاوت و با مدیریت های متفاوت توزیع می کنند. همچنین نفوذگران کاری می کنند که به نظر برسد ترافیک تولیدشده از منبعی به جز منبع حقیقی آن ارسال شده است. به این کار جعل IP گفته می شود و روشی مرسوم برای پنهان کردن منبع حمله است. طبیعی است که اگر منبع حمله ناشناس باقی بماند، متوقف کردن آن نیز کار دشواری خواهد بود. ویروس MyDoom یک مثال از چنین شبکه های حمله ای است. شبکه حمله MyDoom به جای آسیب پذیریهای فنی بر اساس آسیب پذیریهای خود کاربران (روشهای مهندسی اجتماعی) ساخته شده بود. کاربران سیستم کامپیوتر ترغیب می شدند که یک برنامه خرابکار را اجرا کنند که به عنوان یک ضمیمه پست الکترونیک ارسال شده و یا به عنوان یک فایل از طریق ارتباط نقطه به نقطه دریافت شده بود. این برنامه کامپیوتر آنها را به شبکه حمله اضافه می کرد. ولی به جای اینکه برنامه خرابکار نصب شده از راه دور کنترل شود، فرد نفوذگر طوری برنامه ریزی کرده بود که این برنامه به طور خودکار حجم بالایی از ترافیک را در تاریخ 1 فوریه 2004 به سایت www.sco.com و در تاریخ 3 فوریه 2004 به سایت www.microsoft.com ارسال نماید.

3- چه کاری برای مقابله با حملات انکار سرویس توزیع شده می توان انجام داد؟

در واقع راه مشخصی برای حذف حملات DDoS وجود ندارد. بهترین راه آن است که کامپیوترها و شبکه ها را در مقابل حملات مقاوم کنیم. به این مساله قابلیت بقا (survivability) گفته می شود. تمامی سیستمها محدودیتهای خود را دارا هستند. یک راه برای افزایش قابلیت بقای یک سیستم این است که ظرفیت آن را افزایش دهیم. هر چه منابع موجود بیشتر باشند، شانس بقای سیستم در مقابل افزایش درخواستها بیشتر می شود. برای افزایش ظرفیت سیستم تلفن، شرکت مخابرات مسیرهای ارتباطی تلفنها را افزایش می دهد. در مورد یک سرویس وب نیز ممکن است مدیر شبکه تعداد ارتباطاتی را که یک سرویس وب می تواند قبول کند افزایش دهد. برای مثال یک سایت می تواند وب سرورهای بیشتری را اضافه نماید. این کار باعث می شود که بار ترافیک بین کامپیوترهای بیشتری تقسیم شود و احتمال رسیدن به نقطه ای که این سایت نتواند پاسخگوی درخواستهای کاربران خود باشد کمتر گردد. هر چه ظرفیت تمام سیستمهایی که بطور بالقوه در معرض خطرند بالاتر باشد، امکان بقای شبکه در زمان حمله DDoS افزایش می یابد. برای اطمینان از اینکه کامپیوتر شما بخشی از یک شبکه حمله DDoS نیست می توانید راهکارهای ارائه شده در این مطلب را مطالعه نمایید. سوالهای زیر را از خود بپرسید:

• آیا کامپیوترهای شما خیلی کندتر از حالت معمول کار می کنند؟
• آیا اینترنت شما کندتر از حالت معمول است؟
• آیا چراغهای مودم شما بیشتر مواقع ثابت یا روشن هستند؟

هر کدام از موارد فوق می تواند نشان دهنده این موضوع باشد که کامپیوتر شما عضوی از یک شبکه حمله DDoS است. اگر چنین اتفاقی رخ داده است با یک متخصص امنیت تماس گرفته و به توصیه های وی عمل نمایید. علاوه بر این حتما موقتا کامپیوتر یا مودم خود را خاموش نمایید تا از ادامه جریان ترافیک DDoS جلوگیری کنید. اگر کامپیوتر شما عضوی از یک شبکه حمله DDoS است به این معناست که سیستم شما مورد سوء استفاده قرار گرفته و ابزارهای حمله روی کامپیوتر شما نصب شده است. شما ابتدا باید بفهمید که نفوذگران چه کاری انجام داده اند و سپس خرابی ایجاد شده را ترمیم نمایید. حملات انکار سرویس توزیع شده یک مشکل جدی هستند و با اینکه تحقیقات زیادی برای جلوگیری از آنها انجام شده، هنوز دردسر ساز می شوند.

منبع:
http://www.cert.org