روش جلوگیری از حملات DDoS لایهی شبکه بهکمک آروان
حملهی DoS چیست و با چه هدفی انجام میشود؟
اینگونه حملات با هدف مصرف منابع یک سیستم و با ارسال درخواستهایی در حجم بسیار بالا انجام میشوند که این کار منجر به Overload سیستم میشود. برای نمونه، فروشگاهی را در نظر بگیرید که درِ ورودی آن گنجایش ورود همزمان ۱۰ مشتری را دارد. حالا تصور کنید ۱۰۰۰ نفر بهشکل همزمان قصد ورود به فروشگاه را داشته باشند، چه اتفاقی میافتد؟
جلو درِ فروشگاه ازدحام میشود و مشتریهای واقعی هم نمیتوانند وارد فروشگاه شوند.
حملهی DDoS چیست؟
حملهی DDoS نسخهی توزیعشدهی حملهی DoS است که از منابع مختلف (BotNet) انجام میشود. حملات DDoS در لایههای مختلف مدل TCP/IP انجام میشود (لایهی شبکه و لایهی اپلیکیشن) که راهحل جلوگیری متفاوتی دارند. در این مطلب حملات لایهی شبکه را بررسی میکنیم.
حملات DDoS لایه 3و 4
- جریان سیلآسای سین (SYN Flood)
آشنایی با این نوع حمله نیاز به کمی آشنایی با ساختار برقراری ارتباط پروتکل TCP دارد. ایجاد یک اتصال پایدار در پروتکل TCP بهکمک یک گفتوگوی سه قسمتی آغاز میشود. در این نوع حمله، نفوذگر تعداد بیشماری بسته TCP/SYN با نشانی فرستندهی جعلی تولید و برای قربانی ارسال میکند. قربانی با فرستادن بستهی پاسخ SYN ACK تلاش میکند که ارتباط مورد نظر را ایجاد کند، اما چون نشانی فرستندهی بستهها جعلی است، ارتباط نیمهباز باقی میماند.
در این حالت دو اتفاق مهم میافتد:
- ممکن است تعداد اتصال یا Connection مجاز به پایان برسد.
- تمام یا بیشتر منابع سرور صرف این اتصالات جعلی شود و امکان سرویسدهی عادی سلب شود.
- جریان سیلآسای UDP
در این روش نفوذگر اقدام به ارسال بیش از حد بستههای UDP به پورتهای مختلف و تصادفی میکند. در این حالت سیستمعامل ابتدا تلاش میکند که از باز بودن پورت مورد نظر مطمین شود، پس از این کار و اطمینان از اینکه هیچ سرویسی روی این پورت به حالت شنود قرار نگرفته است، بستههای ICMP از نوع Destination Unreachable میفرستد که میزان بالایی از منابع سرور را به خود مشغول میکند.
- حملات انعکاسی و انعکاسی افزاینده (Reflected Attack and Amplification)
در این نوع حملات که یکی از خطرناکترین انواع حملات منع سرویس است، نفوذگر تعداد فراوانی بستهی جعلی با IP قربانی را به سرورها و کامپیوترهای مختلف ارسال میکند، سپس تمام این کامپیوترها پاسخ خود را به نشانی قربانی ارسال میکنند.
به این ترتیب سیستم قربانی شروع میکند به ارسال بستههای اطلاعات به تعداد بیشماری سیستم و در نتیجه پهنای باند و سایر منابع قربانی مصرف و سرویسدهی مختل میشود.
در نوع پیشرفتهتر این نوع حملات که به Amplification موسوم است، هکر از درخواستهایی استفاده میکند که پاسخ بزرگتری در پی داشته باشد. این پاسخها در نوع NTP Amplification تا ۵۵۶ برابر و در نوع DNS Amplification تا ۱۷۹ برابر بستهی ارسالی خواهد بود. برای نمونه، یک هکر میتواند با صرف یک گیگابایت پهنای باند به اندازهی ۵۵۶ گیگابایت اطلاعات را بهسمت قربانی گسیل کند.
راهحل ابر آروان برای جلوگیری از حملات DDoS
با فعالسازی نماد ابر در تنظیمات DNS تمام Connectionها ابتدا و با توجه به موقعیت جغرافیایی وارد ابر آروان میشوند.
در این مرحله، تمام حملات را ابر آروان جذب و رقیق میکند [ترافیک مسموم با توجه به اینکه از نقاط مختلف جغرافیایی (Different AS) بهسمت سرورهای ابر آروان روانه میشوند بهکمک پروتکل BGP Anycast به چند سرور میانهی ابر آروان ارسال میشوند و در اصطلاح، ترافیک مسموم رقیق میشود] و از ترافیک عادی تفکیک میشوند.
ترافیک عادی بهسمت سرور شما ارسال میشود و ترافیک مربوط به حمله، نابود میشود. البته مهم است که بدانید در هر حالت و با هر شدتی، حملات مناطق مختلف روی سایر مناطق بیاثر خواهد بود. برای نمونه باتهای بهکار گرفته شده در چین، هیچگونه تاثیری در سرویس دریافتی کاربران داخل ایران نخواهند داشت.