- نوشته شده در : 1396/04/10
- تعداد بازدید : 7983
حملات DDoS
راهکارهایی برای مقابله با سیلابی از داده ها
بسیاری از کارشناسان حوزه امنیت آرزو میکنند در مدت زمان حضور در یک سازمان هیچ گاه با واژه DDos روبه رو نشوند. این واژه که ترجمه فارسی آن " حمله منع سرویس انکار شده است" مشابه سیلابی است که به سمت یک خانه روانه میشود. به همان شکلی که یک سیلاب همه چیز را نابود میکند، یک حمله منع سرویس انکار شده نیز ناخواسته به سراغ زیر ساختها و شبکه اطلاعاتی یک سازمان میآید و عملکرد یک سازمان کوچک یا بزرگ را مختل میکند . با وجود آنکه روزانه اخبار زیادی در ارتباط با این مدل حملات میشنویم، اما متاسفانه هنوز هم هستند شرکت هایی که در برابر این مدل حملات هیچ تمهیداتی اتخاذ نکرده اند. زمانی که این حملات شناسایی شده گزارش و در نهایت راهکارهای امنیتی برای مقابله با آن پیشنهاد میشود، در اغلب موارد کار از کار گذشته است. بر همین اساس، کارشناسان امنیتی پیشنهاد کرده اند برای مقابله با چنین تهدیداتی سازمانها باید از ابزارهای کشف و شناسایی این مدل حملات استفاده کنند. ابزارهایی که به صورت بی درنگ این توانایی را دارند تا هرگونه فعالیت مشکوکی در این زمینه را شناسایی کنند و به سرعت گزارش دهند.
زمانی که زیر ساختها و شبکه ارتباطی سازمانی تحت تاثیر حمله منع سرویس انکار شده قرار میگیرند، هر یک ثانیه حکم طلا را دارد . گزارش منتشر شده در این زمینه نشان میدهند در بعضی موارد کارشناسان دپارتمانهای امنیت و شبکه یک سازمان در زمان بروز یک حمله به اشتباه تصور میکنند سرورها یا نرم افزارهایی که از آنها استفاده میکنند دچار مشکل شده است. بدتر آنکه زمانی که این مدل حملات شناسایی شدند باز هم ممکن است زمان بیشتری برای پاسخ گویی و دفع این حملات هدر برود. حملات حجمی (Volumetric Attacks) با وجود آنکه پتانسل بالایی در تخریب دارند، اما در اغلب موارد با تاخیر زیادی کشف میشوند، به واسطه آنکه در حجم کمی به مرحله اجرا در آمده و این توانایی را دارند از مکانیسمهای تشخیص و شناسایی فرار کنند. در چنین شرایطی اگر اقدامات دفاعی در زمان مناسب اجرا نشوند، ممکن است کنترل امور از دست سازمان خارج شده و خسارتهای زیادی به بار آید. در مدت زمان پیاده سازی یک حمله حجمی، جدول وضعیت دیوار آتش (Firewall State Table) انباشته میشود و ممکن است به راه اندازی مجدد نیاز داشته باشد. در موارد بحرانیتر ممکن است سامانه کامل قفل شود و حتی کاربران قانونی نیز قادر نباشند از سرویسها استفاده کنند.
چگونه میتوانیم چنین حملاتی را شناسایی و مکانیسمهای دفاعی را مستقر کنیم؟
تیمهای امنیتی برای آنکه فعالیتهای درون شبکه ای را به شکل دقیقی مورد نظارت قرار دهند، از راهکارهای متنوعی میتوانند استفاده کنند یکی از بهترین و شناخته شدهترین این راهکارها نمونه گیری جریان (Flow Sampling) ترافیک شبکه است. همه مسیریابها از فناوری فوق تحت نام هایی همچون NetFlow، IPFIX یا sFlow پشتیبانی میکنند. در روش فوق، مسیریاب از بستههای ترافیک شبکه نمونه گیری و در ادامه دیتاگرامی را آماده میکند. این دیتاگرام مشتمل بر اطلاعاتی درباره بستهها است. از مزایای فناوری فوق میتوان به در دسترس بودن ، سادگی، گسترش پذیری بالا و همچنین مشاهده روند ترافیک شبکه اشاره کرد. اما به این نکته توجه داشته باشید که برای بررسی عمیق امنیت یک شبکه نمیتوانید تنها به نمونههای ارائه شده از سوی این فناوری بسنده کنید. به دلیل اینکه ممکن است حجم بالایی از اطلاعات را از دست بدهید. در این روش تنها یک بسته از هزاران بسته را ممکن است دریافت کنید و در نتیجه کل ترافیک شبکه از دید شما پنهان خواهد ماند.
راهکار دیگری که در اختیار شما قرار دارد ، یک ابزار تحلیل جریان دادهها است. یک ابزار تحلیل جریان دادهها باید این توانایی را داشته باشند تا الگوی رفتاری دادها را در یک بازه زمانی بلند مدت مورد بررسی قرار داده تا به درستی موارد مشکوک و غیر عادی را شناسایی کرده و هشدارهای مثبت کاذب را تولید نکند.
بسیاری از سازمانها برای ممانعت از بروز حملات DDoS از ابزارها یا دستگاههای تحلیل گر جریان دادهها استفاده میکنند.زمانی که این دستگاهها موفق شدند رفتارهای مشکوک یک هکر را شناسایی کنند، ترافیک سامانه قربانی را به سمت دستگاهی موسوم به دستگاه خنثی ساز هدایت کرده و در ادامه فرمانهای بعدی برای رویارویی با حمله را به مرحله اجرا در میآورند. این تکنیک به منظور جمع آوری ترافیک شبکه، تحلیل و ارائه یک مدل واکنشی در زمان رویارویی با هر گونه ترافیک مشکوک و غیر متعارفی و هدایت ترافیک به مسیر از پیش تعیین شده مناسب خواهد بود. اما به کار گیری این تکنیک برای کسب وکارها با یک ریسک بزرگ همراه است. زیرا ممکن است زمان متوسط برای خنثی سازی یک حمله را به چند دقیقه افزایش دهند.
اما برای شناسایی دقیق و خنثی سازی این گونه تهدیدات در کمترین زمان ممکن راهکار قدرتمند دیگری نیز در اختیار سازمانها قرار دارد. سازمانها میتوانند از دستگاههای خنثی ساز حمله منع سرویس انکار شده که عملکرد بالایی دارند داخل مسیرهای ترافیک داده شبکه استفاده کنند. این دستگاهها قادر هستند به صورت بی درنگ یک حمله منع سرویس را شناسایی و آن را خنثی کنند. استقرار درون شبکه ای این قابلیت را در اختیار یک سازمان قرار میدهد تا تمام ترافیک وارد شونده ( نامتقارن) و همچنین ترافیک خروجی (متقارن) را به طور مستمر و دائم مورد پردازش قرار دهد. این حرف به معنای آن است که دستگاههای فوق در زمان رویارویی با هرگونه فعالیت مشکوکی قادرند یک واکنش بی درنگ را در کمتر از یک ثانیه از خود نشان دهند. همچنین، به این نکته توجه داشت باشید که راهکار فوق گسترش پذیر بوده و قادر است در حمله چند برداری نیز با عملکرد بالایی از یک شبکه دفاع کند. سازمانها همچنین میتوانند از تکنیک آینه بستههای داده ای ( (Mirrored Date Packets که جزئیات کاملی را به منظور تحلیل ترافیک در اختیار کارشناسان قرار میدهد استفاده کنند. این تکنیک نیز به خوبی قادر است هر گونه ناهنجاری در ترافیک شبکه را که ممکن است از نقاط ورودی شبکه شکل گرفته باشند، تشخیص دهد. البته به این نکته دقت کنید که به کار گیری راه حل آینه ای گسترش پذیر در یک شبکه ممکن است با چالش هایی همراه باشد اما از این تکنیک در ارتباط با مرکز خنثی سازی حملات و تحلیلهای کارآمد میتوان استفاده کرد.
معیارهای عملکردی را به دقت مورد توجه قرار دهید؛
پهنای باند برای اکثر مردم معیار بسار مهمی به شمار میرود. کاربران زمانی که تصمیم میگیرند برای خانه خود یک ارتباط اینترنتی را خریداری کنند. در ابتدای کار به پهنای باند توجه میکنند. در شرایطی که پهنای باند عامل مهمی به شمار میرود، اما این جزئیات هستند که همواره از اهمیت بالایی برخوردار هستند. اکثر قریب به اتفاق تجهیزات شبکه در نهایت بستههای داده ای غیر هم اندازه را مورد پردازش قرار میدهند. بستههای کوچک پهنای باند کمتری مصرف میکنند، اما در مقابل بستههای بزرگتر به پهنای باند بیشتری نیاز دارند.هکرها این توانایی را دارند از طریق ارسال بستههای کوچک و با نرخ سرعت بالا کل زیر ساخت یک شبکه و به ویژه ساز و کارهای امنیتی سنتی همچون دیوارهای آتش یا سامانههای تشخیص نفوذ را تحت تاثیر قرار دهند. سامانههای امنیتی سنتی به واسطه ساز و کار خاص خود در برابر حملاتی همچون حملات سیلابی که حالت مشخصی ندارند و از سرعت بالایی برخوردارند آسیب پذیر هستند. گزارشی که در سال 2014 میلادی از سوی شرکت ورایزن منتشر شد نشان داد نرخ حملات بسته در ثانیه (Packet- Per-Second) نسبت به نمونه مشابه سال قبل 4،5 برابر افزایش رشد داشته است. سال گذشته میلادی نیز سایت کارشناسان امنیتی کربس با یک حمله منع سرویس انکار شده به بزرگی 660 گیگابیت بر ثانیه در نور دیده شد.
اطمینان حاصل کنید از گسترش پذیری خوبی بهره میبرید؛
درست به همان شکل که حملات منع سرویس انکار شده و به ویژه حملات حجمی با نرخهای بالایی از PPS ( بسته در ثانیه) به درون شبکهها وارد میشوند، شما نیز باید از راه حلهای خنثی سازی با توان پردازشی بالا استفاده کنید. یکی از اقدامات راهگشا در این زمینه متعادل کردن قدرت تحلیل دادههای عبوری در شبکه است. فناوریهای نظارتی امروزی در زمان نظارت بر جریان دادهها از گسترش پذیری خوبی برخوردار هستند. رویکردی که امروزه هکرها به وفور از آن استفاده میکنند، حملات چند برداری است. یک حمله چند برداری به معنای آن است که یک هکر به طور هم زمان از تکنیکهای متعددی برای حمله به یک زیر ساخت استفاده میکند.
بر همین اساس ضروری است مدیران بخش امنیت به فرآیند اعتبار سنجی عملکرد راهکارهای امنیت شبکه بیش از پیش توجه کنند. پیاده سازی یک حمله ابتدایی و ساده همچون سیلاب SYN در صورتی که از راهکار خنثی ساز حمله در سطح سخت افزار استفاده نشده باشد، این پتانسیل را دارد تا به پردازندههای مرکزی فشار زیادی وارد کند. در صورتی که یک حمله لایه کاربردی همچون سیلاب HTTP GET به سمت سامانه ای گسیل شود، این توانایی را دارد تا همه منابع پردازشی را مورد استفاده قرار دهد و باعث شود عملکرد سامانه کاملا محدود شده یا به طور کامل قفل شود. این جمله را به خاطر بسپارید که سیلاب داده ای درست همانند سیلی است که به سمت خانهها روانه میشود. هر چه زودتر از وقوع آن اطلاع پیدا کنید، در سریعترین زمان ممکن قادر خواهید بود تمهیدات لازم را به مرحله اجرا درآورید.
منبع : ماهنامه شبکه - شماره 193