حملات DDOS چیست ؟
حملات DOS و DDOS حملاتی هستند که به صورت روزانه در حال رشد می باشند و به صورت مداوم زیر ساخت های ارتباطی را مورد هدف قرار می دهند.
شرکت های ارتباطی و سرویس دهندگان اینترنت هزینه های زیادی را صرف جلوگیری از این حملات و جلوگیری از صدمه زدن به مشتری های خود می کنند اما تا به امروز راه حل
راه اندازی فایروال جامع و مقرون به صرفه ای برای جلوگیری از این حملات ارایه نشده است.
نحوه ی عملکرد ان این حملات به سرعت در حال تغییر و پیچیده تر شدن است بنابراین دفاع در برابر این حملات کار بسیار دشواری است
حمله ی DOS چیست؟
در حمله ی DOS از یک سیستم برای ارسال ترافیک به یک سرور یا زیرساخت
راه اندازی فایروال شبکه ای برای از دسترس خارج کردن ان و جلوگیری از سرویس دادن به کاربران استفاده می شود.
حمله ی DOS به دو روش انجام می شود:
1⃣ روش اول این است که ضعف امنیتی در سرور یا سرویس مورد نظر پیدا شود و با نوشتن Exploit برای ان باعث از دسترس خارج کردن ان یا ایجاد کندی در عملکرد ان استفاده کرد.
2⃣ روش دوم از دسترس خارج کردن منابع شبکه ای (Network resource ) سرور است این کار با ارسال حجم عظیمی از ترافیک جعلی میسر می شود. با از دسترس خارج کردن منابع شبکه ای ان سرویس عملا غیر قابل دسترس خواهد بود.
-حمله ی DDOS چیست؟
همان حمله ی DOS است با این تفاوت که ترافیک غیر مجاز مورد نظر از سیستم و سرور های مختلف ارسال خواهد شد .این سیستم ها و سرور ها
راه اندازی فایروال معمولا در مناطق جغرافیایی متفاوتی قرار دارند.
دسته بندی حملات DDOS:
حملات DDOS به سه دسته ی اصلی زیر تقسیم می شوند:
حمله از نوعDirect Flooding Attacks:
حمله ی Direct Flooding Attacks ساده ترین نوع حملات DOS و DDOS است که در ان ترافیک به صورت مستقیم از سیستم یا سرور attacker خارج می شود.
در این نوع حملات به راحتی می توان ادرس IP ارسال کننده ترافیک را در پروتکل های ICMP و UDP و TCP جعل کرد.
حمله از نوع Remote Controlled Network Attacks :
در این روش attacker با نفوذ به تعدادی از سیستم ها کد خاصی را جایگزاری می کند .
این سیستم های الوده با دریافت پیام مشخصی از attacker شروع به ارسال ترافیک مخرب خواهند کرد. ارتباط این سیستم ها با attacker معمولا با استفاده از channel های IRC یا ICMP انجام می شود.
در روش های پیچیده تر سیستم های الوده برروی پورت خاصی در حات listen قرار می گیرند زمانی که ارتباط TCP SYN روی ان پورت قرار گرفت شروع به ارسال ترافیک مخرب می کند.
شناسایی منشا این حملات به دلیل اینکه سیستم های زیادی در حمله مشارکت داشتند کار بسیار دشواری است.
حمله از نوع Reflective Flooding Attacks:
در این روش attacker ترافیک مخرب مورد نظر خود را با ادرس IP سرور قربانی به یک سیستم ثانویه ارسال می کند. وقتی که سیستم ثانویه این ترافیک را دریافت می کند reply ان را به سرور قربانی ارسال می کند.
در این روش نیز چون ترافیک اصلی از سیستم ثانویه ارسال می شود ردیابی منشا حمله کار بسیار دشواری خواهد بود.
در این نوع حملات معمولا سرویس دهنده های معروف مثل google و yahoo به عنوان سیستم های ثانویه استفاده می شوند چون
راه اندازی فایروال معمولا دسترسی سیستم قربانی به این سرویس ها محدود نمی باشد.
در این نوع حملات سرعت ملاک مهمی برای ارزیابی تاثیر حمله می باشد معمولا DNS server و Web server ها از نظر سرعت سیستم های خوبی برای ارسال ترافیک هستند همچنین از سیستم هاییی که از سخت افراز های ASIC در ان ها استفاده شده است نیز در این نوع حمله می توان استفاده کرد چرا که سرعت خوبی را در ارسال ترافیک ارایه می کنند معمولا در تجهیزات شبکه مثل فایروال و روتر از این نوع سخت افزار استفاده می شود در نتیجه اگر این تجهیرات به درستی پیکربندی نشده باشند در حملات Reflective Flooding Attacks می توانند شرکت کنند.