اخبار دنياي ديجيتال اینترنت و وب

سرورهاي وب در معرض هجوم حملات Dos 
 
مشغول يك كار روتين هستيم كه در آن مهارت داريم، ناگهان و به‌صورت همزمان، هم تلفن زنگ مي‌خورد، هم گوشي موبايلمان و هم زنگ در را مي‌زنند و يكي هم شروع مي‌كند به صدا كردن ما و... اگر خيلي مهارت داشته باشيم، به يكي‌دو تا از اين فراخوان‌هاي بيروني مي‌توانيم پاسخ بدهيم و در بيشتر مواقع، كار اصلي را فراموش خواهيم كرد. اين همان اتفاقي است كه براي سرورهاي وب در مقابل حملات DoS رخ مي‌دهد.
وب بستري است كه همه چيز در آن مشخص شده، اما به اين معنا نيست كه حفره‌ها و ضعف‌هاي امنيتي ندارد. روش‌هاي زيادي براي سوءاستفاده از وب وجود دارد كه يكي از آنها، حمله عدم پذيرش سرويس يا عدم پذيرش سرويس توزيع‌شده است. حتي مشاهده شده كه سرويس‌هاي بزرگ و قابل اعتماد نيز تحت چنين حملاتي از كار افتاده‌اند. بنابراين بهتر است نگاهي به شيوه كاركرد اين حملات بيندازيم تا با شناخت آنها، بهتر عمل كنيم.

حملات Dos

دو نوع حمله DOS‌ وجود دارد: يكي به ‌نام عدم پذيرش سرويس و ديگري به‌ نام عدم پذيرش سرويس توزيع‌شده. همان‌طور كه از نام اين عبارات برمي‌آيد، تفاوت بين اين دو، ريشه و منبع حملات است. يك حمله Dos معمولا از سوي يك شبكه يا يك شخص وارد مي‌شود؛ در حالي كه يك حمله توزيع‌شده از سوي شبكه‌هايي از تمام نقاط جهان رخ مي‌دهد كه هم وسعت حمله را بيشتر مي‌كند، هم جلوگيري از آن را دشوارتر.

بيشتر حمله‌هاي DoS كه تا به‌ امروز رخ داده‌اند، از نظر فني در دسته حمله‌هاي توزيع‌‌شده قرار مي‌گرفتند چرا كه از شبكه‌هاي رباتي استفاده و عنصري توزيع‌شده براي خود ايجاد مي‌كردند و نيازي به دخالت افراد مختلف نداشتند. اين شبكه‌ها عموما كامپيوتري كه به بات‌نت آلوده شده را با ديگر بدافزارها پر كرده و بدون كسب اجازه كاربر، كنترل سيستم را به ‌دست مي‌گرفتند. اين بخش خطرناك‌ترين بخش حملات است.

در اينجا به هر دوي اين حملات اشاره خواهيم كرد، هر چند كه بيشتر حملات DOS از نوع توزيع‌شده‌ هستند.

شيوه كاركرد حملات Dos

با وجود اين كه تعاريف زيادي از شيوه كاركرد اينگونه حملات وجود دارد، ايده اصلي آن ثابت است: ارسال درخواست‌هاي بي‌فايده فراوان به يك سرور يا يك كامپيوتر به حدي كه ديگران نتوانند به آن وارد شوند.

اين اتفاق مشابه جمعيت انسان‌هايي است كه پشت يك در كوچك گرفتار شده‌اند. از اين رو اتصالات سرور، منابع و پهناي باند آن صرف درخواست‌هايي مي‌شود كه بدون هيچ منظوري ايجاد شده‌اند و كاربران اصلي آن، موقع از استفاده از سرويس بي‌بهره مي‌مانند.

از آنجا كه حتي سرورهاي كوچك مي‌توانند ميزان مشخصي از ترافيك را كنترل كنند، براي حمله به سرور اين روش ناكارآمد است، حتي اگر تمام كامپيوترها نيز تمام تلاش خود را بكنند تا سرور را از كار بيندازند. از اين رو مهاجمين به اين نتيجه رسيده‌اند كه بهتر است راهي را بيابند كه سرور تمام اموري كه براي يك درخواست كاملا معمولي انجام مي‌دهد، براي اين حمله نيز انجام بدهد.

اين روش كه شامل اسپوف ‌كردن آدرس آي‌پي است به ‌روش زير انجام مي‌شود:

ماشين مهاجم يك بسته SYN به سرور مي‌فرستد، اما طوري وانمود مي‌كند كه از جاي ديگري ارسال شده است. سرور، پاسخ اين بسته را با يك بسته SYN/ACK مي‌دهد، اما آدرس تقلبي است و هيچ پاسخي دريافت نمي‌شود. سرور كه نمي‌خواهد فورا اتصال را قطع كند، چند لحظه صبر مي‌كند و اتصال را باز نگه مي‌دارد و در حافظه خود آن را ذخيره مي‌كند تا بسته به پايان عمر خود برسد.

از آنجا كه هر ماشين مي‌تواند تا صدها درخواست تقلبي در لحظه بفرستد، اين باعث مي‌شود سرور با حجم عظيمي از اتصالات باز همزمان مواجه شود (حتي وقتي هيچ پاسخي ارسال نمي‌شود) و نتيجه اين مي‌شود كه تعداد اندكي ماشين قادر خواهند بود يك سرور بزرگ را از كار بيندازند.

اين حمله مي‌تواند توسط يك كامپيوتر، يك بات‌نت كه توسط يك شخص كنترل مي‌شود يا در عمليات بزرگتر، توسط گروهي از افراد انجام شود.

اين استراتژي در سال‌هاي اخير بسيار موثر بوده و سايت‌هاي بسيار بزرگي را كند كرده يا از كار انداخته است، هر چند شركت‌ها و سازمان‌ها در مقابل اين حملات هشيارتر شده‌اند.

دفاع در مقابل DoS

براي دفاع در مقابل يك حمله DoS توزيع‌شده (DDOS)، راه‌هاي مختلفي وجود دارد، البته اگر يكي از اين روش‌ها درست كار نكند، سرور قطعا با مشكل مواجه شده و براي بازه كوتاهي از زمان، زمين‌‌گير حملات خواهد شد. با اين وجود، اگر يكي از حملات رخ داد، 3 حالت براي رفع آن وجود دارد:

فيلترينگ: بيشتر حملات DDOS قابل شناسايي و فيلترشدن هستند. مسيرياب‌هاي لبه شبكه مي‌توانند طوري تنظيم شوند كه اتصالات DDOS را تشخيص داده و قبل از رسيدن به سرور، آنها را از كار بيندازند تا شبكه يا سرور را كند نكنند.

انتقال: اگر حمله به يك آدرس آي‌پي خاص مسيريابي شده، مي‌توان با جابه‌جا كردن سايت به يك شناسه آي‌پي ديگر در همان شبكه، از اين حمله فرار كرد. اين اقدام را يك بار كاخ سفيد در مقابل با حمله ويروسي DDOS به سايت‌هايش انجام داده است.

سياه‌چاله‌سازي: اين روش به عنوان روشي نااميدانه مطرح است، اما صاحب سايت مي‌تواند تمام ترافيك دريافتي را به يك آدرس نامعتبر منتقل كند تا فشار حملات روي سرور خود يا هيچ سرور ديگري تاثير نگذارد.

علاوه بر اين روش‌ها، نرم‌افزارها و سخت‌افزارهاي خاص بسياري توليد شده‌اند كه بتوانند حملات DDoS را تشخيص داده و دفع كنند.

با اين وجود، بيشتر مواقع بايد صبر كرد و منتظر به پايان رسيدن موج حملات بود. بيشتر حملات كوتاه هستند، چرا كه بات‌نت‌ها نمي‌خواهند شبكه‌هاي خود را دچار مشكل كنند و گروه‌هاي مهاجم هم نمي‌توانند به‌صورت پيوسته به حملات ادامه دهند. در نهايت، بزرگ‌ترين و طولاني‌ترين حملات يكي‌دو روز به ‌طول خواهد انجاميد و پس از آن شرايط به حالت سابق باز خواهد گشت.

به‌ هر حال حملات DOS وجهي از وب را نشان مي‌دهد كه متاسفانه وب‌مسترهاي سرورهاي بزرگ و كوچك بايد گاه و بيگاه با آن مواجه شوند. بهتر است به ذهن بسپاريم كه حملات DDOS هك كردن نيستند (سيستم مورد نفوذ قرار نمي‌گيرد، داده‌اي دزديده نمي‌شود و...) بلكه تنها سرور را از سرويس‌دهي درست به كاربران هدف باز مي‌دارند. كساني هم كه از اين حملات استفاده مي‌كنند، هكرهاي ماهري نيستند و ابزارهاي لازم براي اين اقدام‌ها به صورت گسترده در اينترنت پخش‌شده است.