با گسترش مداوم جریان دادهها در شبکهها و سیستمهای سازمانی، خطر تهدیدهای سایبری نیز روز به روز در حال افزایش است. در فضای آنلاین انواع حملات سایبری در مقیاسهای مختلف و با اهداف گوناگون وجود دارد که DoS و DDoS دو نوع بسیار رایج آنها هستند. هرچند هدف از حملات DoS و DDoS ایجاد اختلال در عملکرد یک وب اپلیکیشن یا وبسایت با افزایش ترافیک آن است، اما این دو حمله سایبری تفاوتهایی با یکدیگر دارند که بهتر است با آنها آشنایی داشته باشید. در این مقاله قصد داریم به بررسی تفاوت حمله DoS و DDoS بپردازیم و در انتها نیز بهترین راهکارهای جلوگیری از این حملات را آموزش دهیم. اطلاعات مطلب پیش رو به شما در حفاظت از وبسایتتان کمک میکند.
حمله DoS چیست؟
DoS مخفف عبارت Denial of Service است و به حملهای گفته میشود که با هدف ایجاد اختلال در عملکرد عادی یک سرویس یا ممانعت از دسترسی سایر کاربران به آن صورت میگیرد. به بیان دیگر، حملهکننده با ارسال درخواستهای فراوان به یک سرویس باعث کندی یا از دسترس خارج شدن آن میشود.
ماهیت حمله DoS این است که ترافیکی بیشتر از توان سیستم هدف به آن تحمیل کند تا دسترسی کاربران اصلی به سیستم سخت و حتی غیرممکن شود. این حمله از یک مکان انجام میشود و به همین خاطر شناسایی منبع آن بسیار آسان است. این موضوع را میتوانیم اصلیترین تفاوت حمله DoS و DDoS بدانیم.
انواع حملات DoS
اگر فقط یک حمله DoS وجود داشت، محافظت از سیستم و سرویس کار چندان دشواری به حساب نمیآمد؛ اما متاسفانه تعدد حملات DoS باعث شده است که حفظ و نگهداری سیستم با چالشهایی همراه باشد. حملات مختلف Denial of Service با اهداف متعددی از جمله نابود کردن یک کسبوکار، ناتوان کردن رقیب و ایجاد یک مشکل به هر نحوی برای یک سازمان انجام میشود. در این بخش قصد داریم تا انواع حملات DoS را توضیح دهیم:
حمله سرریز بافر (Buffer overflow attack)
حمله سرریز بافر رایجترین نوع حمله DoS است که با هدف از کار انداختن سیستم انجام میشود. چنانچه حجمی که به یک برنامه اختصاص داده شده است، با جمعآوری دادههای اضافی فراتر رود، Buffer overflow رخ میدهد. بافر همان فضایی است که دادهها در آن قرار میگیرد. درصورتیکه حجم بافر از دادهها پر شده یا بهاصطلاح overload شده باشد، برنامه بهطور ناگهانی Crash خواهد کرد. مهاجمان در حمله Buffer overflow بافر را بهصورت مصنوعی از دیتا پر میکنند که در نتیجه به Crash کردن و از کار افتادن برنامه منجر خواهد شد.
حمله قطره اشک (Teardrop attack)
در حمله قطره اشک یک هکر قطعات بیشماری از دادههای پروتکل اینترنت (IP) را به یک شبکه ارسال میکند. در چنین شرایطی، شبکه قادر به کامپایل کردن مجدد قطعات در بستههای اصلی خود نخواهد بود. اجازه بدهید با یک مثال حمله Teardrop را دقیقتر توضیح دهیم. تصور کنید یک پازل هزارتکه برای شخصی ارسال کردهاید، اما مخفیانه صد قطعه آن را با قطعات یک پازل دیگر تغییر دادهاید؛ واضح است که فرد قادر به چیدن کامل پازل با این قطعات نخواهد بود. حمله قطره اشک باعث از دسترس خارج شدن سیستم میشود.
حمله سیل (Flooding attack)
در حمله سیل، هکر چندین درخواست اتصال را به یک سرور ارسال میکند، اما برای تکمیل فرایند handshake پاسخی نمیدهد. بهعنوان مثال، مهاجم ممکن است درخواستهای مختلفی برای اتصال بهعنوان یک کلاینت به سرور ارسال کند؛ اما زمانی که سرور برای تایید اتصال ارتباط برقرار میکند، مهاجم از پاسخ دادن خودداری خواهد کرد. با انجام چندباره این تکرار، تعداد درخواستهای معلق بسیار افزایش پیدا میکند و کلاینتهای واقعی نمیتوانند به سرور متصل شوند؛ در نتیجه سرور Crash خواهد کرد.
حمله تکه تکه شدن IP (IP Fragmentation Attack)
مهاجم در حمله IP Fragmentation بستههای شبکه را تغییر و سپس تحویل میدهد؛ بهطوریکه شبکه دریافتکننده قادر به جمع کردن دوباره آنها نیست. در این مواقع، شبکه با بستههای اسمبلنشده گرفتار میشود و کلیه منابع خود را مصرف میکند.
حمله DDoS چیست؟
حمله DDoS (مخفف عبارت distributed denial-of-service) زیرمجموعهای از حملات DoS به حساب میآید و مهاجم از چندین دستگاه آنلاین برای حمله استفاده میکند. همین موضوع فرق DoS و DDoS را روشن میسازد. بااینحال هدف از حمله DDoS نیز مانند حمله DoS پر کردن یک شبکه با ترافیک بیش از حد بهمنظور ایجاد اختلال در عملکرد آن است. در پاسخ به سوال دیداس چیست، باید بگوییم: حمله DDoS دقیقا مانند ترافیک غیرمنتظرهای است که بزرگراه را مسدود میکند و مانع رسیدن وسایل نقلیه دیگر به مقصد میشود.
درباره حمله DDoS بیشتر بدانید.
برای بررسی دقیقتر تفاوت حملات DoS و DDoS باید بگوییم که در حمله DDoS از شبکهای از دستگاههای مختلف استفاده میشود که ممکن است در سراسر جهان توزیع شده باشند. شبکه بزرگی از رباتها (کامپیوترها و ماشینهای آلوده) به هکرها اجازه میدهد تا حملات شدیدتری به یک سیستم وارد کنند. بهعنوان مثال، برای حمله به شرکتهایی مانند گوگل و آمازون ارتشی از رباتها نیاز است تا حمله DDoS به آنها صورت گیرد.
انواع حملات DDoS
همانطورکه از تعریف DoS و DDoS متوجه شدیم این حملات برای ایجاد اختلال در عملکرد یک سرویس یا سیستم انجام میشود؛ اما فرق بین DoS و DDoS در این است که حملات DDoS معمولا با هدف حمله به شرکتهای بزرگ صورت میگیرند، زیرا بهطور گستردهتری انجام میشوند. از جمله رایجترین انواع حملات DDoS میتوانیم به موارد زیر اشاره کنیم:
حمله مبتنی بر حجم (Volume-based attack)
حمله DDoS مبتنی بر حجم یا حمله حجمی (Volumetric attack) بهطور خاص پهنای باند شبکه را هدف قرار میدهد. مهاجم یا هکر در این حمله درخواستهای مکرر به شبکه ارسال میکند تا سرعت آن را کاهش دهد یا بهطور کامل آن را از دسترس خارج کند. برای این حمله میتوانید زمانی را تصور کنید که مهمانهای زیادی در منزلتان دارید و همه آنها به وایفای شما متصل هستند. در این زمان قطعا کاهش سرعت اینترنت را تجربه خواهید کرد.
حمله پروتکلی (Protocol attack)
مهاجم در حمله پروتکلی از نقاط ضعف لایههای 3 و 4 مدل OSI استفاده میکند؛ بهعنوان مثال، مهاجم ممکن است با استفاده از دنباله اتصال TCP، درخواستهایی را ارسال کند، اما مطابق انتظار پاسخ ندهد یا با استفاده از یک آدرس IP منبع جعلی با درخواست دیگری پاسخ دهد. درخواستهای پاسخ داده نشده از منابع شبکه استفاده میکنند و بهاینترتیب آن را از دسترس خارج میکنند.
برای جلوگیری از حملات DDoS و DoS روی سرور ابری پیشنهاد میکنیم حتما مقاله سرورهای ابری چگونه امنیت خود را تامین میکنند را مطالعه کنید.
حمله مبتنی بر اپلیکیشن (Application-based attack)
حمله مبتنی بر اپلیکیشن لایه 7 مدل OSI را هدف قرار میدهد. بهعنوان مثال، یک مهاجم درخواستهای جزئی HTTP میفرستد، اما آنها را کامل نمیکند. هدرهای HTTP بهصورت دورهای برای هر درخواست ارسال میشوند و در نتیجه منابع شبکه هدر میروند. مهاجم آنقدر به این حمله ادامه میدهد تا زمانی که هیچ اتصال جدیدی توسط سرور ایجاد نشود. ازآنجاییکه در این حمله بهجای ارسال بستههای خراب، بستههای جزئی ارسال میشوند و از پهنای باند کمی استفاده میشود، شناسایی این نوع حملات بسیار دشوار است.
حمله سرور DNS (DNS server attack)
هکرها میتوانند سرورهای DNS (سیستم نام دامنه) را هک کرده و وبسایتها را به آدرس IP تبدیل کنند. با جعل IP آدرسها از چندین دامنه، هکرها میتوانند اطلاعات زیادی را ارسال کنند و سرور را تحتتاثیر قرار دهند. استفاده از IP آدرسهای جعلی تعیین دقیق محل حمله و شناسایی هکرها را دشوار میکند.
تفاوت حمله DoS و DDoS
تا این قسمت از مقاله بررسی کردیم که حملات DoS و DDoS چیست و هرکدام چه انواعی دارند. همانطور که متوجه شدیم، DoS و DDoS تا حد بسیاری مشابه یکدیگر هستند، اما تفاوتهای قابلتوجهی نیز دارند که باعث تمایز آنها از یکدیگر میشود. در جدول زیر به بررسی فرق حملات DoS و DDoS میپردازیم:
| پارامتر | DoS | DDoS |
| ترافیک | مبدا اصلی DoS فقط یک سیستم است و به همین خاطر ترافیکی که DoS ایجاد میکند، در مقایسه با DDoS کمتر است. | در حمله DDoS از چندین ربات/سیستم استفاده میشود؛ بنابراین حجم بالایی از ترافیک از مبداهای مختلف بهطور همزمان ایجاد میشود. |
| مبدا | یک سیستم یا بات | چندین سیستم یا بات بهطور همزمان |
| تشخیص | ازآنجاییکه حملات DoS فقط یک مبدا دارند، راحتتر شناسایی و برطرف میشوند. | ازآنجاییکه حمله DDoS از چند مبدا مختلف انجام میشود، تشخیص آن از DoS سختتر است. |
| پیچیدگی اجرا | اجرای آسانتر | به منابع بزرگ و کمی دانش فنی نیاز دارد. |
| سرعت | سرعت کمتر | بسیار سریع |
| تاثیر | تاثیرگذاری محدود | تاثیرگذاری شدید روی سیستم و سرور |
جلوگیری از حملات DDoS و DoS با راهکارهای ابر دراک
حالا که به تفاوت حمله DoS و DDoS پرداختیم و انواع هرکدام از این حملات را میشناسیم، بهتر است به بررسی روشهای جلوگیری از حملات DDoS و DoS بپردازیم. فایروال وب اپلیکیشن یک ابزار عالی برای کاهش حملات DDoS است که بین اینترنت و سرور مبدا قرار میگیرد و میتواند از سرور در برابر انواع خاصی از ترافیکهای مخرب محافظت کند. روش عالی دوم برای جلوگیری از حملات DDoS و DoS استفاده از شبکه Anycast است. این شبکه ترافیک را بین سرورهای متعدد توزیع میکند و بهاینترتیب جلوی حملات DDoS را میگیرد.
یکی از مهمترین مزایای استفاده از سرویسهای ابری ابر دراک تضمین امنیت وبسایت شما با راهکارهای فایروال و anycast است. برای ارتقای امنیت وبسایت پیشنهاد میکنیم حتما به صفحه سرویس جلوگیری از حملات DDoS مراجعه کنید. همچنین برای کسب اطلاعات بیشتر میتوانید با شمارههای مندرج در سایت تماس بگیرید و از پشتیبانی تیم حرفهای ابر دراک برای تضمین امنیت وبسایتتان بهرهمند شوید.
منابع: مایکروسافت / فورتینت / گیکفلر
