نویسنده : Arvan

حمله HTTP flood چیست؟

linkedin

حمله‌ی HTTP flood در دسته‌ی حمله‌های DDOS قرار می‌گیرد و هدف اصلی این حمله، مشغول نگه‌داشتن منابع یک سرور از طریق ارسال درخواست‌ با پروتکل HTTP (پروتکل لایه‌ی هفت مدل OSI)‌ است.

زمانی که حمله‌کننده می‌خواهد با استفاده از حمله‌ی HTTP flood، یک سرویس را از دسترس خارج کند، درخواست‌های HTTP زیادی را (که عمومن متد‌های GET و POST هستند) برای سرور ارسال می‌کند. درخواست‌های ارسال شده، می‌توانند کاملن مشابه یک درخواست‌ معتبر ارسال شده به‌وسیله‌ی یک کاربر واقعی باشند. از طرفی، این حمله نیاز به پهنای باند کم‌تری نسبت به بسیاری از حمله‌های دیگر دارد. این دو موضوع سبب شده است تا تشخیص و جلوگیری از این حمله به امری دشوار مبدل شود.

 

انواع حمله‌‌های HTTP flood

استفاده از متد‌های GET و POST، رایج‌ترین انواع استفاده از پروتکل HTTP برای مشغول نگه‌داشتن سرور هستند. در ادامه توضیح می‌دهیم که هرکدام از این متد‌ها چگونه می‌توانند باعث منع سرویس بشوند.

۱- متد GET:‌ این متد، برای گرفتن اطلاعات از سرور استفاده می‌شود. در این نوع حمله، حمله‌کننده شروع به ارسال تعداد زیادی درخواست (برای نمونه درخواست برای عکس، یک فایل متنی یا …) می‌کند.  حمله با استفاده از متد GET نسبت به متد POST ، به منابع بیش‌تری برای پیاده‌سازی نیاز دارد اما پیچیدگی کم‌تری دارد. گاهی برای پیاده‌سازی این نوع حمله، از botnet استفاده می‌شود. در این حالت، حمله‌کننده تعدادی کامپیوتر را از طریق بدافزار‌ها آلوده می‌کند. دستگاه‌های آلوده شده، بدون اطلاع صاحب دستگاه، شروع به ارسال درخواست برای سرور می‌کنند و وقتی این کار از چندین دستگاه انجام شود، بیش‌تر منابع سرور درگیر پاسخ‌گویی خواهند شد و حمله‌ی DDOS اتفاق می‌افتد.

۲- متد POST: برخلاف متد قبلی، این متد برای ارسال یک فرم یا اطلاعات برای سرور استفاده می‌شود. هر فرمی که برای سرور ارسال می‌شود،‌ نیاز به ثبت شدن در یک پایگاه داده دارد که این فرآیند، تقریبن زمان‌بر و از نظر پردازشی سنگین محسوب می‌شود. ارسال درخواست‌های POST به سرور تا آن‌جا ادامه پیدا می‌کند که یا پهنای باند سرور برای درخواست‌های ورودی پاسخ‌گو نباشد یا سرور با درخواست‌های زیادی به پایگاه داده مشغول باشد و توان پاسخ‌گویی به درخواست دیگری را نداشته باشد. اگرچه برای این حمله، نیاز به ارسال تعداد کم‌تری درخواست برای سرور وجود دارد ولی با توجه به ماهیت متد POST که نیاز است اطلاعاتی برای سرور ارسال شود، پیچیدگی بیش‌تری دارد.

 

چگونه می‌توان از حمله‌ی HTTP flood جلوگیری کرد؟

همان‌طور که گفته شد، سختی تشخیص این حمله، در شبیه بودن ترافیک حمله‌کننده به ترافیک کاربر عادی است. اگر با کمک روشی بتوان این دو ترافیک را از یک‌دیگر جدا کرد، تا حدودی جلوی حمله گرفته می‌شود.

با توجه به این‌که در این حمله و به‌خصوص دراستفاده از GET، از بات‌ها استفاده می‌شود، می‌توان با استفاده از یک چالش (برای نمونه استفاده از یک captcha یا یک معما)، تا حدودی کاربر واقعی را تشخیص داد.

 یکی دیگر از راه‌ها، استفاده  از چالش‌های JavaScript است. از آن‌جایی که بیش‌‌تر کاربر‌ها از مرورگرهای وب استفاده می‌کنند و مرورگرها هم از JavaScript پشتیبانی می‌کنند، ارسال چالش هم می‌تواند موثر باشد. بسیاری از botnetها قادر به حل این چالش‌ها نیستند. در حالی‌که مرور‌گر‌ها، بدون آن‌که تغییری در عملکرد احساس بشود، می‌توانند این چالش‌ها را حل کنند.

با استفاده از سرویس WAF یا web application firewall می‌توان با بررسی رفتار کاربران، رفتار‌های نزدیک به حمله یا مهاجم را تشخیص داد و از ورود ترافیک مربوط به آن‌ها جلوگیری کرد. این فایروال‌ها با فایروال‌های عادی تفاوت‌هایی دارد و عمومن کاربرد لایه‌ی ۷، یعنی لایه‌ی application دارند. این فایروال ، ترافیک ورودی یک web application و IP کاربران ارسال‌کننده‌ی آن‌ها را تحت‌نظر دارد و IPها در یک پایگاه داده ذخیره می‌کند. با استفاده از این اطلاعات و با استفاده از قوانین و الگو‌هایی که از قبل برای فایروال تعریف شده است، هر زمان که فایروال رفتاری مانند حمله یا نزدیک به آن مشاهده کند، ترافیک ورودی مربوط به آن را مسدود می‌کند و به این شکل از حمله جلوگیری می‌شود. هم‌چنین آن فایروال‌ها، می‌توانند با تحلیل محتوای درخواست‌های HTTP، جلوی بسیاری از حمله‌های این لایه مانند SQL Injection یا حمله‌ی XSS را، از طریق تشخیص کاراکتر‌های غیر مجاز و یا کد جاوا اسکریپت، بگیرند.

ابر آروان در راستای محافظت هرچه بیش‌تر از کسب و کارهای آنلاین مشتریان با بهره‌گیری از محصول امنیت ابری و WAF اختصاصی خود، این‌گونه حملات را شناسایی و دفع می‌کند.

 

مطالب مرتبط