نویسنده : Arvan

انواع حملات ‏DDoS

linkedin

در نوشته‌‌ی «DDoS چیست»، به حمله‌ی DDoS و به‌‌شکل خلاصه، راه‌های مقابله با آن پرداخته شد. در این نوشته، تعدادی از مهم‌ترین و رایج‌ترین حملات DDoS معرفی می‌شوند.

به‌شکل کلی می‌توان این حملات را از نظر روش حمله، در سه دسته قرار داد. دسته‌ی اول حملاتی هستند که با ارسال ترافیک بسیار به زیرساخت شبکه، سعی دارند پهنای باند را به خود اختصاص دهند تا شبکه را به نقطه‌ی اشباع یا saturate برسانند. به این ترتیب، کاربران با کندی شدید یا قطعی سرویس مواجه خواهند شد. در دسته‌ی دوم این حملات، مهاجم سعی می‌کند تا با درگیر کردن منابع پردازشی،‌ توان سرور در پاسخ‌گویی به درخواست‌های کاربران را به حداقل برساند. دسته‌ی سوم نیز حملاتی هستند که با پیدا کردن یک آسیب‌پذیری در یک برنامه‌ی نوشته شده، اجرای وب‌سرویس را با مشکل مواجه می‌کنند. در تمام این موارد، سرویس‌دهی به کاربر دچار اختلال می‌شود و در نتیجه همه‌ی این‌ها در دسته‌ی حملات منع سرویس (denial of service) قرار می‌گیرند.

 

حمله‌ی SYN Flood

این حمله بر پایه‌ی شیوه‌ی عملکرد پروتکل TCP در ایجاد یک connection ساخته شده است. فرض کنید که قرار است یک client و یک server بر بستر پروتکل TCP به تبادل داده بپردازند. برای آن‌که این ارتباط برقرار شود، TCP از یک راه شناسایی اولیه به نام three-way handshake استفاده می‌کند که در آن، نخست client یک عدد را با پیام (SYN (Synchronization برای سرور ارسال می‌کند تا از این پس، سرور از این عدد برای شماره‌گذاری بسته‌های ارسالی به سمت این client استفاده کند. سپس server در جواب، یک پیام (ACK (Acknowledge در تایید دریافت SYN و یک پیام SYN با هدفی مشابه پیام SYN قبلی برای کاربر ارسال می‌کند و در نهایت اگر کاربر هم جواب ACK ارسال کند، اتصال TCP برقرار می‌شود.

حالتی را فرض کنید که کاربر پیام SYN اولیه را ارسال و جواب درستی هم از server دریافت کرده است، اما ACK نهایی مورد نیاز برای برقراری ارتباط را برای server ارسال نکرده است. به همین دلیل سرور connection را باز نگه می‌دارد و برای دریافت پاسخ منتظر می‌ماند.

اگر این کار به‌شکل هم‌ز‌مان و به تعداد دفعات زیاد انجام شود، در واقع سرور همواره مشغول انتظار برای دریافت پاسخ مربوط به هر connection است و با توجه به منابع محدود، قادر به شروع connection با کاربر دیگری نیست. به این حمله، حمله‌ی SYN Flood گفته می‌شود که با ارسال تعداد بسیاری بسته‌ی SYN به یک سرور و ارسال نکردن ACK مورد نیاز پیاده‌سازی می‌شود (یکی از راه‌های ساده برای این‌ کار، تغییر IP مبدا است (IP Spoofing) تا پیام SYN/ACK هیچ‌وقت به مهاجم بازنگردد).

 

حمله‌‌ی Slowloris

این حمله در لایه‌ی application انجام می‌شود و معمولن با پروتکل HTTP پیاده‌سازی می‌شود. حمله به این شکل است که بعد از ایجاد connection موفق میان مهاجم و سرور، مهاجم سعی می‌کند تا حد امکان connection را باز نگه دارد. برای این‌ کار، لازم است تا درخواست‌هایی ناکامل و با سرعت بسیار کم برای سرور ارسال شود. به این ترتیب سرور بخشی از منابع پردازشی خود را برای باز نگه داشتن این connection صرف می‌کند و منتظر دریافت request ‌هایی از کاربر خواهد بود که در واقع هیچ‌وقت قرار نیست به درستی ارسال شوند. طبیعتن اگر مهاجم تعداد زیادی از این کاربر‌ها را ایجاد کند، بسیاری از منابع پردازشی سرور را در اختیار خود خواهد داشت.

 

حمله‌ی DNS Flood

یکی از سخت‌ترین حمله‌ها برای تشخیص و جلوگیری، حمله‌ی DNS Flood است. این حمله در دسته‌ی حمله‌هایی قرار می‌گیرد که amplification attack نام دارند. در این نوع از حمله، مهاجم می‌تواند با ارسال بسته‌هایی با طول بسیار کم، باعث شود تا سرور مورد هدف، پاسخ‌هایی با طول زیاد را دریافت یا تولید کند که پردازش این بسته‌ها، منابع زیادی از سرور را درگیر می‌کنند.

به‌شکل خاص در DNS Flood، مهاجم درخواست‌های DNS بسیاری را با کمک مکانیزم IP Spoofing، با source IP سرور مورد هدف، برای یک DNS Server ارسال می‌کند و در نتیجه پیام‌های پاسخ DNS که معمولن طول بسیار بیش‌تری از request‌های آن دارد، برای سرور مورد هدف حمله ارسال می‌شوند و پردازش آن‌ها باعث می‌شود تا سرور نتواند منابع پردازشی بیش‌تری برای درخواست‌های کاربران اختصاص دهد.

یکی دیگر از حمله‌های مشابه، به این شکل است که حمله کننده پس از ارسال درخواست برای سرور،‌ با minimum کردن سایز پنجره‌ی TCP یا همان TCP Window Size، سرعت دریافت و خواندن پیام را بسیار کند می‌کند و به این ترتیب سرور را با یک connection، مشغول نگه می‌دارد. این حمله به Slow Read Attack معروف است.

محصول DDoS protection امنیت ابری آروان در چهار سطح مختلف از کسب‌وکارهای آنلاین در برابر انواع حملات DDoS محافظت می‌کند.

مطالب مرتبط