مرکز آموزش

با توجه به تفاوت عملکرد و مکانیزم حملات، هدف تمام حملات مصرف منابع در شبکه و از کار انداختن سرویس دهی در سرویس دهنده هدف حمله می باشد. این نوع حملات به صورت گسترده به دو نوع تقسیم میشوند:
حمله با هدف کاهش پهنای باند bandwidth depletion
حمله با هدف از کار انداختن منابع سرویس resource depletion
در ادامه انواع مختلف حملات DDOS آشنا می شویم:

۱- حمله سیل آسا بصورت مستقیم (UDP flood and ping flood)
این نوع حمله لایه ۳ و ۴ مدل OSI تمرکز می کند، هدف اصلی حمله سیل آسا به سرور با ارسال ترافیک غیرواقعی و مخرب جهت از کار اندختن منابع سرویس دهنده است. برای مثال اگر شبکه شما قدرت تحمل ۲۰G ترافیک ورودی را داشته باشید، مهاجم با ارسال ۲۱G ترافیک سرویس دهی شبکه شما را مختل میکند.
حملات سیل می تواند بسته های UDP و ICMP به سمت ماشین هدف بصورت مستقیم ارسال کند.
روش جلوگیری:
استفاده از پهنای باند بیشتر
استفاده از load balancer
استفاده از روش های امن سازی شبکه در برابر IP spoofing ( مانند تنظیمات خاص در سوئیچ و روتر)
همکاری با سرویس دهندهای حفاظت در مقابل حملات DOS -DDoS protection service provider
(مانند CloudFlare ) این سرویس دهنده ها سرویس هایی با نام های DDoS Protection یا
DDoS Protection ارائه میدهند.
۲- حمله Reflection
ایده ای که پشت این حمله وجود دارد جعل(spoof) آدرس IP در بسته منبع ارسالی است. بسته ها طوری تغییر میکنند که به نظر میرسد از مقصد خاصی دریافت شده و سرویس دهنده پاسخ بست های دریافتی را به منبع ذکر شده باز میگرداند، با تغییر وسیع IP ها و ارسال آن، دریافت کننده ها پاسخ ها را به سرویس قربانی باز میگردانند، این در حالی است که سرویس دهنده قربانی شده اصلا درخواستی ارسال نکرده است اما با سیلی از پاسخ ها مواجه میشود.
روش جلوگیری:
استفاده از تکنیک های anti spoofing برای شناسایی و عدم پذیرش آدرس IP هایی با source جعلی (spoofed source IP address)
۳- حمله Smurf and Fraggle
در دو حمله از حفره های موجود در broadcast address روتر استفاده میکند.
در حمله smurf تعداد زیادی از ترافیک ICMP جعلی به آدرس broadcast روتر مورد نظر ارسال می شود، در حالی که یک حمله Fraggle ترافیک UDP ساختگی به آدرس broadcast یک روتر ارسال می کند.
روش جلوگیری:
باید روتر خود را طوری کانفیگ نمایید که از Exploit بروی broadcast جلوگیری شود.
۴- حمله سیل آسا (TCP) SYN
این حمله از متد three-way handshake در TCP استفاده میکند. حمله کننده درخواست ارتباط با سرور را با ارسال SYN به سرور ارسال میکند و سرور در پاسخ SYN-ACK را ارسال میکند و منتظر ارسال ACK از سمت کاربر است اما کاربر ACK را ارسال نمیکند و سرور در حالت wait باقی میماند، ارسال تعداد زیاد درخواست ها بدون پاسخ باعث میشود سرور از دسترس خارج شود.
روش دیگر این نوع حمله استفاده از spoofed IP یا IPی جعلی می باشد، یک درخواست با IP جعلی به سرور میرسد و سرور پاسخ را با IP جعل شده ارسال می کند که آن IP درخواست SYN را به سرور ارسال نکرده است، بنابراین client دریافت کننده SYN-ACK هرگز ارتباط را آغاز نمی کند.
روش های زیادی برای پیاده سازی این حمله وجود دارد:
filtering
increasing backlog
reducing SYN-RECEIVED Timer
recycling half-opened TCP connection
SYN caching
SYN cookies
۵ -حمله HTTP Flood (web Spidering
این نوع حمله از طریق crawl کردن وب سایت با استفاده از web spider برای مشغول کردن منابع سرور می باشد.
روش جلوگیری:
اطمینان حاصل کردن از اینکه تنها ربات های شناخته شده امکان دسترسی به وب سایت را دارند.

۶- حمله PUSH and ACK
این حمله مشابه حمله SYN flood است. push flag از سرور گیرنده تقاضا میکند که داده های موجود در این بسته را بافر نکند و در سریع ترین زمان آن ها را جهت پردازش به برنامه کاربردی( سرویس) مرتبط تحویل دهد ( مانند برنامه telnet)
بنابراین سرور مجبور به پردازش اطلاعات بسته ارسالی میشود. زمانی که بسته های TCP حاوی Push و Ack بیش از ظرفیت بافر ماشین(سرور) هدف باشد، سیستم قربانی دچار crash میشود.
از جایی که Push وAck پیام بخشی از ترافیک استاندارد می باشد، سیل عظیم چنین درخواست هایی نشان گر وجود حمله است.
روش جلوگیری:
استفاده از معماری Full-proxy برای مدیریت هر مکالمه بین کلاینت و سرور
استفاده از LTM (Local Traffic Manager) یا مدیریت IP پیشرفته (AFM) جهت استفاده در معماری Full-proxy، جهت شناسایی ترافیک Valid و Drop کردن ترافیک PUSH and ACK

۷- حمله Land
در این حمله قدیمی یک بسته TCP SYN جعلی شامل IP و port های باز سرور مقصد ( به شکلی که یک Loop ایجاد شود)، این گونه به نظر می رسد یک درخواست از سرور(به کمک بسته جعل شده) به همان سرور ارسال شده است، این موضوع باعث میشود ماشین(سرور) مداوم به خود پاسخ دهد و دچار کمبود منابع شود.

۸- حمله DNS amplification
حمله به سرویس DNS با کمک آدرس IP جعلی (آدرس IP ماشین قربانی) تعداد زیادی درخواست به سرور ارسال میکند، از طرفی چنین آدرس هایی روی سرور قرار ندارد، بدین صورت تعداد زیادی درخواست DNS به سیستم قربانی ارسال می‌شود که باعث مصرف ترافیک و بروز اختلال در سیستم قربانی خواهد شد. بنابراین ماشین میزبان در پاسخ گویی به سیل درخواست ها با مشکل مواجه میشود.
روش جلوگیری:

استفاده از DNSSEC
استفاده از تکنیک های anti-spoofing
استفاده از load balancers و یا استفاده از multi DNS و انتقال ترافیک حمله به سرورهای دیگر با استفاده از IP anycast address

۹- حمله Layer 7
حمله به برنامه های کاربردی در لایه هفتم که در آن توابع خاص از یک برنامه تحت وب مورد هدف قرارمیگیرد. ایجاد ترافیک به وب سایت که همانند ترافیک معمولی می باشد و تشخیص آن نیز مشکل خواهد بود. به عنوان مثال حمله میتواند بروی لوگو و یا یک دکمه وب سایت از طریق دانلود مکرر با درخواست های بسیار زیاد انجام شود که منابع سرور را بشدت درگیر کند. ویا ارسال نظر به یک مطلب یا پست خاص بصورت آبشاری و پی در پی در جهت از کار انداختن سرویس دهی.

روش جلوگیری:
بلاک کردن spoofed TCP قبل از وارد شدن به شبکه شما
بستن پورت هایی که استفاده نمیشوند.
محدود کردن تعداد دسترسی ها برای هر source IP
محدود کردن تعداد کانکشن های همزمان برای هر source IP
فیلتر کردن بسته های TCP ناشناخته دارای هدرهای نامعمول
بررسی ترافیک های مشابه

۱۰- حمله Multi-Vector
این یک حمله خاص نیست، بلکه استفاده از چندین نوع حمله بصورت همزمان و توام می باشد.
جلوگیری و کنترل این نوع حملات به هماهنگی و توانایی های بالاتری در شبکه و سیستم نیاز دارد.