آیا دلیل محدودیت‌های اینترنتی حملات DDoS است؟!

معاون وزیر ارتباطات و فناوری اطلاعات، تأکید کرد: تداوم برخی محدودیت‌‌ها هیچ ارتباطی به شرکت ارتباطات زیرساخت و همچنین حملات DDoS ندارد، لذا شایسته‌ است که مراجع مسئول درخصوص دلایل واقعی و طولانی‌شدن این محدودیت‌ها، شفاف‌سازی کنند. به گزارش مناقصه‌مزایده، بهزاد اکبری؛ مدیرعامل شرکت ارتباطات زیرساخت، در شبکه اجتماعی ایکس نوشت: پیرو توئیت قبلی در مورد افزایش آمار حملات DDoS به زیرساخت‌های کشور، به نظر می‌رسد برخی عزیزان دچار سوءبرداشت شده‌اند. اجازه دهید دو نکته را شفاف‌تر بیان کنم: ‏

۱. این گراف‌‌ها صرفاً حجم و الگوی حملات DDoS را نشان می‌دهند. باید توجه داشت که در پس‌زمینه چنین حملاتی، معمولاً انواع دیگر نفوذها، اسکن‌های مخرب و تلاش برای سوءاستفاده از آسیب‌پذیری‌‌ها هم اتفاق می‌افتد.

‏۲. تداوم برخی محدودیت‌‌ها هیچ ارتباطی به شرکت ارتباطات زیرساخت و همچنین حملات DDoS ندارد، شایسته‌ است که مراجع مسئول درخصوص دلایل واقعی و طولانی‌شدن این محدودیت‌ها، شفاف‌سازی لازم را برای مردم انجام داده و پاسخگو باشند.

اصلاً DDos چیست؟

در این حمله، سرور هدف به‌قدری مشغول پاسخگویی به درخواست‌های جعلی می‌شود که دیگر نمی‌تواند به درخواست‌های واقعی پاسخ دهد.

نوع پیشرفته‌تر این حمله، حمله DDoS (Distributed Denial-of-Service) است که در آن، مهاجم از تعداد زیادی دستگاه آلوده‌شده (بات‌نت) برای ارسال همزمان درخواست‌‌ها استفاده می‌کند.

این حملات می‌توانند باعث کُندی یا از کار افتادن کامل وب‌سایت‌‌ها و خدمات آنلاین شوند و مقابله با آن‌‌ها نیازمند ابزار‌ها و روش‌های خاصی است. در واقع هر حمله‌ای علیه دسترس‌پذیری به‌عنوان حمله منع سرویس تلقی می‌شود. اگرچه منظور از حمله DoS و انگیزه انجام آن ممکن است متفاوت باشد، اما به‌طور کلی شامل تلاش برای قطع موقت یا دایمی یا تعلیق خدمات یک میزبان متصل به اینترنت است. اهداف حمله DoS معمولاً سایت‌‌ها یا خدمات میزبانی وب‌سرور با ویژگی‌های مناسب مانند بانک‌ها، کارت‌های اعتباری و حتی سرورهای ریشه را هدف قرار می‌دهند. یکی از روش‌های معمول حمله شامل اشباع ماشین هدف با درخواست‌های ارتباط خارجی است به‌طوری‌که ماشین هدف، نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ‌‌ها با سرعت کم داده می‌شوند یا در دسترس نمی‌باشند. چنین حملاتی منجر به سربار زیاد سرور می‌شوند. حمله DoS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع‌اش می‌کند، بنابراین نمی‌تواند به سرویس‌های مورد نظرش سرویس بدهد و همچنین سیاست‌های مورد قبول فراهم‌کنندگان سرویس‌های اینترنتی را نقض می‌کنند.

حملات DDoS چگونه رخ می‌دهند؟

حملات DDoS شدید، از طریق یک فرآیند پیچیده و هماهنگ انجام می‌شوند که شامل استفاده از شبکه‌ای از کامپیوترهای آلوده به بدافزار معروف بات‌نت (Botnet) است. این کامپیوتر‌ها برای فرستادن حجم عظیمی از ترافیک به یک هدف خاص مانند وب‌سایت یا سرور استفاده می‌شوند. در اینجا به صورت مرحله‌ای نحوه انجام حملات DDoS را توضیح می‌دهیم:

۱. ساخت بات‌نت (Botnet Creation)

مهاجم با استفاده از بدافزارهای مختلف، مانند ویروس‌های کامپیوتری، کنترل تعداد زیادی کامپیوتر یا دستگاه متصل به اینترنت را به دست می‌گیرد و آن‌‌ها را آلوده می‌کند تا بتواند یک شبکه بات‌نت بسازد.

۲. فرمان حمله (Attack Command)

فرد مهاجم سپس به بات‌نت دستور می‌دهد تا حجم زیادی از ترافیک را به سمت یک هدف مشخص، مانند یک وب‌سایت یا سرور، ارسال کند. زمانی که یک سرور یا وب‌سایت مورد هدف یک بات‌نت قرار می‌گیرد، هر بات به‌صورت جداگانه درخواست‌هایی را به سمت آدرس آی‌پی هدف ارسال می‌کند.

۳. ترافیک سنگین (Traffic Flood)

این دستگاه‌ها به‌صورت همزمان شروع به ارسال درخواست‌‌ها و داده‌ها به سمت هدف می‌کنند، که باعث ایجاد بار ترافیکی غیرقابل‌کنترل بر روی سرور یا شبکه می‌شود.

۴. اختلال در سرویس (Service Disruption)

به دلیل حجم ترافیک وارد شده، سرویس یا سرور مورد هدف نمی‌تواند به درخواست‌های معمولی پاسخ دهد و در نتیجه دچار اختلال یا قطع شدن سرویس می‌شود.

در نهایت، دفاع در برابر حملات DDoS به دلیل پیچیدگی بالایی که دارند، دشوار است. مجموعه‌های مختلف باید به صورت مداوم از راهکارهای امنیتی تست‌شده برای مقابله با این نوع حملات استفاده کنند.

نحوه شناسایی حملات DDoS

برای شناسایی حملات DDoS، باید به دنبال الگوهای غیرعادی در ترافیک شبکه باشیم که در نهایت باعث اختلال در سرویس می‌شوند. در اینجا پنج نشانه کلیدی برای تشخیص حملات DDoS آورده شده است:

۱. افزایش ناگهانی ترافیک

یکی از اصلی‌‌ترین نشانه‌های حمله DDoS، افزایش ناگهانی و قابل‌توجه در ترافیک شبکه است. این موضوع به ویژه زمانی قابل‌توجه است که این افزایش ترافیک متمرکز بر قسمت‌های خاصی از شبکه یا سرویس‌های خاص باشد.

۲. کاهش عملکرد شبکه

گاهی اوقات ممکن است به صورت محسوس احساس کنید که عملکرد سایت کاهش یافته و دسترسی به منابع شبکه تقریباً غیرممکن است. این موضوع به این دلیل است که درخواست‌های مهاجم می‌تواند تمام پهنای باند شبکه را مصرف کند و باعث کند شدن یا در دسترس نبودن آن شود.

۳. خطای ۵۰۳

اگر سرور شما طی یک افزایش ترافیک، خطای «۵۰۳ Service Unavailable» را نشان دهد یا با پیام «The service is not available»  مواجه شدید، احتمالاً با یک حمله DDoS سروکار دارید. این نشانه، نتیجه معمول ارسال درخواست‌های زیاد به سمت IP شماست.

۴. افزایش استفاده از CPU

افزایش مصرف CPU یا حافظه سرور می‌تواند نشان‌دهنده‌ حمله به سایت شما باشد. این اتفاق به این دلیل رخ می‌دهد که درخواست‌های مهاجم می‌تواند تمام منابع موجود در سرور شما را مصرف کند و باعث کند شدن یا از دسترس خارج شدن سایت شما شود.

۱. چگونه می‌توان از حملات DDoS جلوگیری کرد؟

هیچ راه‌حل قطعی برای جلوگیری کامل از حملات DDoS وجود ندارد، اما داشتن یک استراتژی از پیش تعیین‌شده می‌تواند به شما در پیشگیری از نفوذ مهاجمان و مدیریت تهدید کمک کند.

۲. آیا یک مهاجم می‌تواند از انواع حملات DDoS استفاده کند؟

بله، مهاجم می‌تواند از هر سه نوع حمله DDoS (حجمی، پروتکل و برنامه) به‌منظور از ایجاد اختلال در یک سرویس استفاده کند.

۳. هر چند وقت یکبار باید دیتابیس پاسخ DDoS به‌روزرسانی شود؟

جواب این سؤال بستگی به سازمان و زمینه فعالیت وب‌سایت شما دارد. اما حداقل، این طرح باید سالانه مورد بررسی قرار گیرد تا اطمینان پیدا کنید که اطلاعات هنوز به‌روز و قابل‌ اجرا بر هر حمله DDoS هستند.