بسیاری از کارشناسان حوزه امنیت آرزو می‌کنند در مدت زمان حضور در یک سازمان هیچ گاه با واژه DDos روبه رو نشوند. این واژه که ترجمه فارسی آن " حمله منع سرویس انکار شده است" مشابه سیلابی است که به سمت یک خانه روانه می‌شود. به همان شکلی که یک سیلاب همه چیز را نابود می‌کند، یک حمله منع سرویس انکار شده نیز ناخواسته به سراغ زیر ساخت‌ها و شبکه اطلاعاتی یک سازمان می‌آید و عملکرد یک سازمان کوچک یا بزرگ را مختل می‌کند . با وجود آنکه روزانه اخبار زیادی در ارتباط با این مدل حملات می‌شنویم، اما متاسفانه هنوز هم هستند شرکت هایی که در برابر این مدل حملات هیچ تمهیداتی اتخاذ نکرده اند. زمانی که این حملات شناسایی شده گزارش و در نهایت راهکارهای امنیتی برای مقابله با آن پیشنهاد می‌شود، در اغلب موارد کار از کار گذشته است. بر همین اساس، کارشناسان امنیتی پیشنهاد کرده اند برای مقابله با چنین تهدیداتی سازمان‌ها باید از ابزارهای کشف و شناسایی این مدل حملات استفاده کنند. ابزارهایی که به صورت بی درنگ این توانایی را دارند تا هرگونه فعالیت مشکوکی در این زمینه را شناسایی کنند و به سرعت گزارش دهند.
زمانی که زیر ساخت‌ها و شبکه ارتباطی سازمانی تحت تاثیر حمله منع سرویس انکار شده قرار می‌گیرند، هر یک ثانیه حکم طلا را دارد . گزارش منتشر شده در این زمینه نشان می‌دهند در بعضی موارد کارشناسان دپارتمان‌های امنیت و شبکه یک سازمان در زمان بروز یک حمله به اشتباه تصور می‌کنند سرورها یا نرم افزارهایی که از آنها استفاده می‌کنند دچار مشکل شده است. بدتر آنکه زمانی که این مدل حملات شناسایی شدند باز هم ممکن است زمان بیشتری برای پاسخ گویی و دفع این حملات هدر برود. حملات حجمی (Volumetric Attacks)  با وجود آنکه پتانسل بالایی در تخریب دارند، اما در اغلب موارد با تاخیر زیادی کشف می‌شوند، به واسطه آنکه در حجم کمی به مرحله اجرا در آمده و این توانایی را دارند از مکانیسم‌های تشخیص و شناسایی فرار کنند. در چنین شرایطی اگر اقدامات دفاعی در زمان مناسب اجرا نشوند، ممکن است کنترل امور از دست سازمان خارج شده و خسارت‌های زیادی به بار آید. در مدت زمان پیاده سازی یک حمله حجمی، جدول وضعیت دیوار آتش (Firewall State Table) انباشته می‌شود و ممکن است به راه اندازی مجدد نیاز داشته باشد. در موارد بحرانی‌تر ممکن است سامانه کامل قفل شود و حتی کاربران قانونی نیز قادر نباشند از سرویس‌ها استفاده کنند.

چگونه می‌توانیم چنین حملاتی را شناسایی و مکانیسم‌های دفاعی را مستقر کنیم؟

تیم‌های امنیتی برای آنکه فعالیت‌های درون شبکه ای را به شکل دقیقی مورد نظارت قرار دهند، از راهکارهای متنوعی می‌توانند استفاده کنند یکی از بهترین و شناخته شده‌ترین این راهکارها نمونه گیری جریان (Flow Sampling) ترافیک شبکه است. همه مسیریاب‌ها از فناوری فوق تحت نام هایی همچون NetFlow، IPFIX یا sFlow پشتیبانی می‌کنند. در روش فوق، مسیریاب از بسته‌های ترافیک شبکه نمونه گیری و در ادامه دیتاگرامی را آماده می‌کند. این دیتاگرام مشتمل بر اطلاعاتی درباره بسته‌ها است. از مزایای فناوری فوق می‌توان به در دسترس بودن ، سادگی، گسترش پذیری بالا و همچنین مشاهده روند ترافیک شبکه اشاره کرد. اما به این نکته توجه داشته باشید که برای بررسی عمیق امنیت یک شبکه نمی‌توانید تنها به نمونه‌های ارائه شده از سوی این فناوری بسنده کنید. به دلیل اینکه ممکن است حجم بالایی از اطلاعات را از دست بدهید. در این روش تنها یک بسته از هزاران بسته را ممکن است دریافت کنید و در نتیجه کل ترافیک شبکه از دید شما پنهان خواهد ماند.
راهکار دیگری که در اختیار شما قرار دارد ، یک ابزار تحلیل جریان داده‌ها است. یک ابزار تحلیل جریان داده‌ها باید این توانایی را داشته باشند تا الگوی رفتاری دادها را در یک بازه زمانی بلند مدت مورد بررسی قرار داده تا به درستی موارد مشکوک و غیر عادی را شناسایی کرده و هشدارهای مثبت کاذب را تولید نکند.
بسیاری از سازمان‌ها برای ممانعت از بروز حملات DDoS از ابزارها یا دستگاه‌های تحلیل گر جریان داده‌ها استفاده می‌کنند.زمانی که این دستگاه‌ها موفق شدند رفتارهای مشکوک یک هکر را شناسایی کنند، ترافیک سامانه قربانی را به سمت دستگاهی موسوم به دستگاه خنثی ساز هدایت کرده و در ادامه فرمان‌های بعدی برای رویارویی با حمله را به مرحله اجرا در می‌آورند. این تکنیک به منظور جمع آوری ترافیک شبکه، تحلیل و ارائه یک مدل واکنشی در زمان رویارویی با هر گونه ترافیک مشکوک و غیر متعارفی و هدایت ترافیک به مسیر از پیش تعیین شده مناسب خواهد بود. اما به کار گیری این تکنیک برای کسب  وکارها  با یک ریسک بزرگ همراه است. زیرا ممکن است زمان متوسط برای خنثی سازی یک حمله را به چند دقیقه افزایش دهند.
اما برای شناسایی دقیق و خنثی سازی این گونه تهدیدات در کمترین زمان ممکن راهکار قدرتمند دیگری نیز در اختیار سازمان‌ها قرار دارد. سازمان‌ها می‌توانند از دستگاه‌های خنثی ساز حمله منع سرویس انکار شده که عملکرد بالایی دارند داخل مسیرهای ترافیک داده شبکه استفاده کنند. این دستگاه‌ها قادر هستند به صورت بی درنگ یک حمله منع سرویس را شناسایی و آن را خنثی کنند. استقرار درون شبکه ای این قابلیت را در اختیار یک سازمان قرار می‌دهد تا تمام ترافیک وارد شونده ( نامتقارن) و همچنین ترافیک خروجی (متقارن) را به طور مستمر و دائم مورد پردازش قرار دهد. این حرف به معنای آن است که دستگاه‌های فوق در زمان رویارویی با هرگونه فعالیت مشکوکی قادرند یک واکنش بی درنگ را در کمتر از یک ثانیه از خود نشان دهند. همچنین، به این نکته توجه داشت باشید که راهکار فوق گسترش پذیر بوده و قادر است در حمله چند برداری نیز با عملکرد بالایی از یک شبکه دفاع کند. سازمان‌ها همچنین می‌توانند از تکنیک آینه بسته‌های داده ای ( (Mirrored Date Packets که جزئیات کاملی را به منظور تحلیل ترافیک در اختیار کارشناسان قرار می‌دهد استفاده کنند. این تکنیک نیز به خوبی قادر است هر گونه ناهنجاری در ترافیک شبکه را که ممکن است از نقاط ورودی شبکه شکل گرفته باشند، تشخیص دهد. البته به این نکته دقت کنید  که به کار گیری راه حل آینه ای گسترش پذیر در یک شبکه ممکن است با چالش هایی همراه باشد اما از این تکنیک در ارتباط با مرکز خنثی سازی حملات و تحلیل‌های کارآمد می‌توان استفاده کرد.

معیارهای عملکردی را به دقت مورد توجه قرار دهید؛

پهنای باند برای اکثر مردم معیار بسار مهمی به شمار می‌رود. کاربران زمانی که تصمیم می‌گیرند برای خانه خود یک ارتباط اینترنتی را خریداری کنند. در ابتدای کار به پهنای باند توجه می‌کنند. در شرایطی که پهنای باند عامل مهمی به شمار می‌رود، اما این جزئیات هستند که همواره از اهمیت بالایی برخوردار هستند. اکثر قریب به اتفاق تجهیزات شبکه در نهایت بسته‌های داده ای غیر هم اندازه را مورد پردازش قرار می‌دهند. بسته‌های کوچک پهنای باند کمتری مصرف می‌کنند، اما در مقابل بسته‌های بزرگتر به پهنای باند بیشتری نیاز دارند.هکرها این توانایی را دارند از طریق ارسال بسته‌های کوچک و با نرخ سرعت بالا کل زیر ساخت یک شبکه و به ویژه ساز و کارهای امنیتی سنتی همچون دیوارهای آتش یا سامانه‌های تشخیص نفوذ را تحت تاثیر قرار دهند. سامانه‌های امنیتی سنتی به واسطه ساز و کار خاص خود در برابر حملاتی همچون حملات سیلابی که حالت مشخصی ندارند و از سرعت بالایی برخوردارند آسیب پذیر هستند. گزارشی که در سال 2014 میلادی از سوی شرکت ورایزن منتشر شد نشان داد نرخ حملات بسته در ثانیه (Packet- Per-Second) نسبت به نمونه مشابه سال قبل 4،5 برابر افزایش رشد داشته است. سال گذشته میلادی نیز سایت کارشناسان امنیتی کربس با یک حمله منع سرویس انکار شده به بزرگی 660 گیگابیت بر ثانیه در نور دیده شد.

اطمینان حاصل کنید از گسترش پذیری خوبی بهره می‌برید؛

درست به همان شکل که حملات منع سرویس انکار شده و به ویژه حملات حجمی با نرخ‌های بالایی از PPS ( بسته در ثانیه) به درون شبکه‌ها وارد می‌شوند، شما نیز باید از راه حل‌های خنثی سازی با توان پردازشی بالا استفاده کنید. یکی از اقدامات راهگشا در این زمینه متعادل کردن قدرت تحلیل داده‌های عبوری در شبکه است. فناوری‌های نظارتی امروزی در زمان نظارت بر جریان داده‌ها از گسترش پذیری خوبی برخوردار هستند. رویکردی که امروزه هکرها به وفور از آن استفاده می‌کنند، حملات چند برداری است. یک حمله چند برداری به معنای آن است که یک هکر به طور هم زمان از تکنیک‌های متعددی برای حمله به یک زیر ساخت استفاده می‌کند.
بر همین اساس ضروری است مدیران بخش امنیت به فرآیند اعتبار سنجی عملکرد راهکارهای امنیت شبکه بیش از پیش توجه کنند. پیاده سازی یک حمله ابتدایی و ساده همچون سیلاب SYN در صورتی که از راهکار خنثی ساز حمله در سطح سخت افزار استفاده نشده باشد، این پتانسیل را دارد تا به پردازنده‌های مرکزی فشار زیادی وارد کند. در صورتی که یک حمله لایه کاربردی همچون سیلاب HTTP GET به سمت سامانه ای گسیل شود، این توانایی را دارد تا همه منابع پردازشی را مورد استفاده قرار دهد و باعث شود عملکرد سامانه کاملا محدود شده یا به طور کامل قفل شود. این جمله را به خاطر بسپارید که سیلاب داده ای درست همانند سیلی است که به سمت خانه‌ها روانه می‌شود. هر چه زودتر از وقوع آن اطلاع پیدا کنید، در سریع‌ترین زمان ممکن قادر خواهید بود تمهیدات لازم را به مرحله اجرا درآورید.

منبع : ماهنامه شبکه - شماره 193

لینک صفحه اصلی مقاله