DDoS چیست؟ آموزش راهکارهای جلوگیری از حملات DDoS

پربازیدترین مقالات

محصولات

حمله دیداس چیست؟

ادغام کردن ترافیک عادی یک وب‌سایت با ترافیک حمله اصلی‌ترین هدفی است که مهاجمان از انجام حمله DDoS دنبال می‌کنند. تصور کنید یک وب‌سایت فروشگاهی به مناسبت بلک فرایدی تخفیف‌های ویژه‌ای روی محصولات خود اعمال کرده است. در چنین مواقعی تعداد زیادی از مشتریان مشتاق به سمت صفحه سرازیر می‌شوند. در این زمان مهاجم بهترین فرصت را برای ارسال ترافیک حمله و انکار سرویس وب‌سایت پیدا می‌کند.

هرچقدر حمله DDoS پیچیده‌تر باشد، تشخیص و جداسازی ترافیک حمله از ترافیک عادی نیز سخت‌تر خواهد شد. در چنین شرایطی قطع کردن کل ترافیک وب‌سایت کار اشتباهی است که منجر به از بین رفتن ترافیک خوب وب‌سایت نیز خواهد شد؛ بااین‌حال جلوگیری از حملات امری ضروری محسوب می‌شود. پس صاحب وب‌سایت چگونه می‌تواند بر حملات DDoS غلبه کند و امنیت وب‌سایت خود را ارتقا دهد؟ در این مقاله قصد داریم تا بعد از پاسخ به سوال «دیداس چیست» بهترین راهکارهای جلوگیری از DDoS را نیز به شما آموزش دهیم. پس برای حفظ وب‌سایتتان از حمله DDoS این مقاله را از دست ندهید.

DDoS چیست؟

حملات Distributed Denial of Service (DDoS) تلاش مخرب هکرها و بات‌نت‌هایی (Botnets) است که با ارسال سیل ترافیک (flood of Internet traffic)، قصد ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه و خارج کردن آن از سرویس‌دهی را دارند. معمولا حملات DDoS روی وب‌سایت‌های پرطرفدار، فروشگاه‌های آنلاین و هر نوع کسب‌وکار یا سازمان ارائه‌دهنده خدمات آنلاین انجام می‌شود.

همچنین در پاسخ به سوال «دیداس چیست» می‌توانیم بگوییم: حملات DDoS بخشی از دسته گسترده‌تر حملات DoS هستند که ترافیک حمله را از چندین مبدا به‌طور هم‌زمان ارسال می‌کنند. دیداس را می‌توان مانند یک ترافیک غیرمنتظره در بزرگراه در نظر گرفت که از رسیدن ترافیک منظم به مقصد جلوگیری کرده و کل بزرگراه را مسدود می‌کند. 

چرا حمله DDoS انجام می‌شود؟

منابع شبکه مانند سرورهای وب، برای پاسخگویی به درخواست‌هایی که به‌طور هم‌زمان باید سرویس‌دهی شوند، محدودیت دارند. علاوه‌بر محدودیت ظرفیت سرور، لینک ارتباطی که سرور را به اینترنت متصل می‌کند، دارای پهنای باند / ظرفیت محدودی است. هرگاه تعداد درخواست‌ها از محدودیت‌های ظرفیت هر یک از اجزای زیرساخت بیشتر شود، سرویس‌دهی یا دسترسی‌پذیری خدمات احتمالا به یکی از روش‌های زیر آسیب می‌بیند:

  • پاسخ به درخواست‌ها بسیار کندتر از حالت عادی می‌شود.
  • همه یا برخی از درخواست‌های کاربران ممکن است به‌طور کامل نادیده گرفته شوند.

گاهی اوقات حمله DDoS ممکن است تلاشی برای بی‌اعتبار کردن یا آسیب رساندن به کسب‌وکار رقیب باشد. در برخی موارد، مهاجم حتی ممکن است برای توقف حمله، درخواست پول کرده و از این طریق اخاذی کند؛ اما به‌طور کلی، هدف نهایی مهاجم از حمله دیداس جلوگیری کامل از عملکرد عادی منبع وب است.

DDoS چگونه کار می‌کند؟

بر خلاف سایر حملات سایبری، در حمله DDoS از آسیب‌پذیری‌های موجود در منابع شبکه برای نفوذ به سیستم‌های کامپیوتری استفاده نمی‌شود؛ بلکه مهاجمان دیداس از پروتکل‌های استاندارد اتصال شبکه مانند HTTP و TCP برای سیل (flood) نقاط پایانی (Endpoint)، اپلیکیشن‌ها و سایر دارایی‌ها با ترافیکی بیشتر از ظرفیتشان استفاده می‌کنند.

وب سرورها، روترها و سایر زیرساخت‌های شبکه فقط می‌توانند تعداد محدودی از درخواست‌ها را پردازش کنند و اتصال‌های محدودی را در هر زمان معین حفظ کنند. با استفاده از پهنای باند موجود یک منبع، حملات DDoS از پاسخ‌گویی این منابع به درخواست‌ها و بسته‌های اتصال قانونی جلوگیری می‌کنند. به‌طور کلی، یک حمله DDoS از سه مرحله زیر تشکیل می‌شود:

مرحله اول: انتخاب هدف

هکرها از حملات DDoS با مقاصد شوم مختلفی از جمله اخاذی از یک سازمان و ناتوان کردن رقیب در ارائه خدمات استفاده می‌کنند. همچنین این حمله ممکن است یکی از تاکتیک‌های دولت‌ها در جنگ سایبری باشد. از جمله رایج‌ترین اهداف حمله DDoS می‌توانیم به موارد زیر اشاره کنیم:

  • خرده‌فروشان آنلاین: حملات DDoS با از دسترس خارج کردن سایت‌های فروشگاهی، آسیب‌های مالی قابل‌توجهی به آن‌ها وارد می‌کنند. در چنین شرایطی خرید از سایت تحت حمله برای مشتریان واقعی غیرممکن خواهد شد.
  • ارائه‌دهندگان خدمات ابری: ارائه‌دهندگان خدمات ابری مانند وب سرویس آمازون (AWS)، مایکروسافت آژور و پلتفرم ابری گوگل از جمله اهداف محبوب مهاجمان دیداس هستند. ازآنجایی‌که این سرویس‌ها داده‌ها و اپلیکیشن‌های سایر کسب‌وکارها را میزبانی می‌کنند، هکرها با حمله DDoS باعث قطعی گسترده خواهند شد. به‌عنوان مثال، در یکی از بزرگ‌ترین حملات DDoS ثبت‌شده به AWS ترافیک مخرب با سرعت 2.3 ترابیت در ثانیه به سمت AWS سرازیر می‌شد.
  • موسسات مالی: حملات DDoS می‌توانند در خدمات بانکی اختلال ایجاد کرده و از دسترسی مشتریان به حساب‌هایشان جلوگیری کنند. به‌عنوان مثال، در سال 2012، 6 بانک بزرگ آمریکا مورد حمله هماهنگ DDoS قرار گرفتند که احتمالا یک حمله با انگیزه سیاسی بوده است.
  • ارائه‌دهندگان SaaS (نرم‌افزار به‌عنوان سرویس): ارائه‌دهندگان SaaS مانند GitHub، Salesforce و Oracle اهداف جذابی برای هکرهای DDoS هستند که می‌توانند به‌طور هم‌زمان عملکرد چندین سازمان را مختل کنند. در سال 2018، گیت‌هاب بزرگ‌ترین حمله DDoS در تاریخ را متحمل شد که سرعت ارسال بسته‌ها در آن به 126.9 میلیون در ثانیه رسید. بااین‌حال گیت‌هاب توانست با استفاده از یک سرویس حفاظتی DDoS به‌سرعت این حمله را متوقف کند؛ به‌طوری که حمله عظیم DDoS به گیت‌هاب فقط 20 دقیقه طول کشید. 
  • شرکت‌های بازی‌سازی: حملات DDoS می‌توانند بازی‌های آنلاین را با پر کردن ترافیک سرورهایشان مختل کنند. حمله به شرکت‌های گیمینگ معمولا توسط بازیکنان ناراضی و با هدف انتقام‌گیری شخصی انجام می‌شود. بات‌نت Mirai برای اولین بار با هدف حمله به سرورهای ماین‌کرفت (Minecraft) ساخته شد.

مرحله دوم: ایجاد، اجاره یا خرید Botnet

در حمله DDoS معمولا از یک بات‌نت استفاده می‌شود؛ بات‌نت شبکه‌ای از دستگاه‌های متصل به اینترنت است که به بدافزار آلوده شده‌اند و به هکرها اجازه می‌دهد دستگاه‌ها را از راه دور کنترل کنند. بات‌نت‌ها ممکن است شامل کامپیوترهای دسکتاپ، لپ‌تاپ‌ها، تلفن‌های همراه، دستگاه‌های IoT و سایر نقاط پایانی (Endpoint) مصرف‌کننده و تجاری باشند. صاحبان این دستگاه‌های آلوده معمولا از آلوده شدن دستگاه خود یا استفاده از آن برای حمله DDoS بی‌اطلاع هستند.

مرحله سوم: شروع حمله

هکرها به دستگاه‌های موجود در بات‌نت دستور می‌دهند تا درخواست های اتصال یا سایر بسته‌ها را به آدرس IP سرور، دستگاه یا سرویس هدف ارسال کرده تا کل پهنای باند هدف را اشغال کنند. البته برخی از حملات DDoS تعداد کمتری از درخواست‌های پیچیده‌تر ارسال می‌کنند تا هدف منابع زیادی را برای پاسخ‌دهی صرف کند. در هر صورت نتیجه حمله یکسان خواهد بود؛ ترافیک حمله بر سیستم هدف غلبه کرده و از دسترسی ترافیک قانونی به وب‌سایت، وب اپلیکیشن، API یا شبکه جلوگیری می‌کند.

هکرها اغلب مبدا حملات خود را با جعل IP پنهان می‌کنند؛ تکنیکی که مجرمان سایبری با آن آدرس‌های IP منبع تقلبی را برای بسته‌های ارسال‌شده از بات‌نت جعل می‌کنند. در یکی از شکل‌های جعل IP به نام انعکاس (Reflection) چنین به نظر می‌رسد که ترافیک مخرب از آدرس IP خود قربانی ارسال شده است. 

نحوه شناسایی حملات DDoS

بارزترین نشانه حمله DDoS این است که یک وب‌سایت یا سرویس آنلاین ناگهان کند شده یا از دسترس خارج شود؛ اما ازآنجایی‌که از نظر فنی دلایل مختلفی می‌تواند باعث ایجاد چنین مشکلاتی شود، معمولا به تحقیقات بیشتری در این مورد نیاز است.
ابزارهای تجزیه و تحلیل ترافیک به شما کمک می‌کنند تا برخی از نشانه‌های آشکار حمله DDoS را شناسایی کنید. از جمله این نشانه‌ها می‌توانیم به موارد زیر اشاره کنیم:

  • مقادیر مشکوک ترافیک که ناشی از یک آدرس IP یا محدوده IP مشخص هستند.
  • سیل ترافیک از سوی کاربرانی که مدل رفتاری مشترکی دارند؛ مثلا از یک نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب مشابه استفاده می‌کنند.
  • افزایش غیرقابل توضیح درخواست‌ها به یک صفحه خاص
  • الگوهای ترافیکی عجیب و غریب مانند افزایش ترافیک در ساعات مشخصی از روز یا الگوهایی که غیرطبیعی به نظر می‌رسند (مثلا هر ۱۰ دقیقه یک بار ترافیک افزایش می‌یابد).

توجه کنید که علاوه‌بر DDoS حمله رایج دیگری با نام DoS نیز وجود دارد که از جهت‌های بسیاری با یکدیگر شباهت دارند؛ اما در مبدا ارسال ترافیک با هم متفاوت هستند. توصیه می‌کنیم درباره تفاوت DoS و DDoS بیشتر بدانید تا در صورت بروز حمله با آگاهی کامل به انجام اقدامات امنیتی بپردازید.

انواع رایج حملات DDoS

حملات DDoS انواع مختلفی دارند که هر یک از آن‌ها اجزای مختلفی از اتصال شبکه را هدف قرار می‌دهند. برای درک نحوه انجام این کار، لازم است بدانیم که اتصال شبکه چگونه ایجاد می‌شود. اتصال شبکه در اینترنت از چند لایه تشکیل شده است که هر یک از این لایه‌ها وظیفه و کاربرد خاص خودش را دارد.

مدل OSI که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در 7 لایه مجزا استفاده می‌شود. به‌طور کلی، حملات DDoS را می‌توان به سه دسته تقسیم کرد: حملات لایه کاربرد، حملات پروتکل و حملات حجمی. مهاجم ممکن است از یک یا هر سه روش برای حمله استفاده کند تا بتواند با اقدامات پیشگیرانه اتخاذشده توسط هدف (هر دستگاهی که مورد حمله قرار گرفته است) مقابله کند.

مدل OSI برای اتصال شبکه

حملات لایه کاربرد (Application layer attacks)

لایه کاربرد همان لایه هفتم مدل OSI است و حمله به این لایه به حمله DDoS لایه 7 نیز معروف است؛ لایه‌ای که در آن صفحات وب در پاسخ به درخواست‌های کاربر تولید می‌شوند. هدف از حمله به لایه کاربرد استفاده بیش از حد از منابع برای ایجاد یک موقعیت انکار سرویس (Denial-Of-Service) است. حملات لایه کاربرد با پر کردن درخواست‌های مخرب عملکرد وب اپلیکیشن‌ها را مختل می‌کنند.

در لایه کاربرد، صفحات وب روی سرور تولید شده و سپس در پاسخ به درخواست‌های HTTP تحویل داده می‌شوند. از نظر محاسباتی، اجرای درخواست HTTP در سمت کلاینت هزینه‌ای ندارد؛ اما پاسخگویی به آن برای سرور مورد نظر می‌تواند گران و هزینه‌بر باشد؛ زیرا سرور اغلب چندین فایل را بارگیری می‌کند و کوئری‌های پایگاه داده را برای ایجاد یک صفحه وب اجرا می‌کند. تشخیص ترافیک مخرب از ترافیک قانونی بسیار دشوار است؛ بنابراین دفاع در برابر حملات لایه ۷ کار آسانی نیست.

HTTP flood؛ رایج‌ترین حمله لایه کاربرد

رایج‌ترین نوع حمله لایه کاربرد حمله سیل HTTP یا HTTP flood است که در آن مهاجم به‌طور مداوم درخواست‌های HTTP فراوانی را از چندین دستگاه به یک وب‌سایت ارسال می‌کند. به عبارت دیگر، این حمله شبیه به فشار دادن مکرر دکمه به‌روزرسانی مرورگر وب در رایانه‌های مختلف به‌طور هم‌زمان است؛ در نتیجه تعداد زیادی درخواست HTTP به سرور سرازیر شده و منجر به Denial-of-Service می‌شود.

در چنین شرایطی وب‌سایت نمی‌تواند با همه درخواست‌های HTTP هماهنگی داشته باشد و سرعت آن به‌طور قابل توجهی کاهش می‌یابد یا به‌طور کامل از دسترس خارج می‌شود.

انجام حملات لایه کاربرد نسبتا آسان است، اما به‌سختی می‌توان از آن‌ها پیشگیری کرد یا احتمال وقوعشان را کاهش داد. حملات ساده‌تر لایه اپلیکیشن ممکن است به یک URL با همان محدوده از آدرس‌های IP مهاجم انجام شود. درحالی‌که حملات پیچیده ممکن است از تعداد زیادی آدرس IP مهاجم استفاده کند و URLهای تصادفی را با استفاده از ارجاع‌دهنده‌های تصادفی هدف قرار دهد.

حملات پروتکلی (Protocol attacks)

حملات پروتکل که به‌عنوان حملات حالت خستگی (state-exhaustion attacks) نیز شناخته می‌شوند، لایه شبکه (لایه 3) و لایه انتقال (لایه 4) مدل OSI را هدف قرار می‌دهند. این نوع حملات با مصرف بیش از حد منابع سرور و/یا منابع تجهیزات شبکه مانند فایروال‌ها و متعادل‌کننده‌های بار (load balancers) باعث اختلال در ارائه سرویس می‌شوند. حملات پروتکل از نقاط ضعف لایه 3 و لایه 4 پشته پروتکل استفاده می‌کنند تا هدف را غیرقابل دسترس نشان دهند.

SYN flood؛ اولین مثال حملات پروتکلی

حمله SYN flood از TCP handshake استفاده می‌کند؛ فرایندی که طی آن دو دستگاه با یکدیگر ارتباط برقرار می‌کنند. در یک TCP handshake معمولی، یک دستگاه بسته SYN را برای شروع اتصال ارسال می‌کند؛ دیگری با یک بسته SYN/ACK پاسخ می‌دهد تا درخواست را تایید کند و دستگاه اصلی یک بسته ACK را برای نهایی کردن اتصال باز می‌گرداند.

در یک حمله سیل SYN، مهاجم بسته‌های SYN زیادی را با آدرس‌های IP منبع جعلی به سرور موردنظر ارسال می‌کند. سرور پاسخ خود را به آدرس IP جعلی ارسال می‌کند و منتظر بسته نهایی ACK می‌ماند. ازآنجایی‌که آدرس IP منبع جعل شده است، این بسته‌ها هرگز نمی‌رسند. سرور با تعداد زیادی از اتصالات ناتمام درگیر می‌شود و همین موضوع جلوی تکمیل TCP handshake قانونی را می‌گیرد.

Smurf attack؛ دومین مثال حمله پروتکلی

حمله Smurf از پروتکل پیام کنترل اینترنت (ICMP) استفاده می‌کند؛ یک پروتکل ارتباطی که برای ارزیابی وضعیت اتصال بین دو دستگاه به کار می‌رود. در یک تبادل معمولی ICMP یک دستگاه درخواست اکو ICMP را به دیگری ارسال می‌کند و دستگاه دوم با یک پاسخ اکو ICMP واکنش نشان می‌دهد.

در حمله Smurf، مهاجم یک درخواست اکو ICMP از یک آدرس IP جعلی مطابق با آدرس IP قربانی ارسال می‌کند. این درخواست اکو ICMP به یک IP broadcast network ارسال می‌شود که درخواست را به همه دستگاه‌ها در یک شبکه معین ارسال می‌کند. هر دستگاهی که درخواست اکو ICMP را دریافت می‌کند -احتمالا صدها یا هزاران دستگاه- با ارسال یک پاسخ اکو ICMP به آدرس IP قربانی پاسخ می‌دهد و دستگاه را با اطلاعاتی بیشتر از توان آن پر می‌کند. بر خلاف بسیاری از سایر انواع حملات DDoS حملات smurf لزوما به بات‌نت نیازی ندارند.

حملات حجمی (Volumetric attacks)

این دسته از حملات با مصرف تمام پهنای باند موجود بین دستگاه هدف و اینترنت، ازدحام ایجاد می‌کنند. در این حمله، حجم زیادی از داده‌ها با استفاده از ابزارهایی شامل بات‌نت، برای ایجاد ترافیک گسترده به سمت هدف ارسال می‌شود.

UDP floods؛ اولین مثال حملات حجمی

حملات سیل UDP بسته‌های جعلی User Datagram Protocol را به پورت‌های میزبان هدف می‌فرستند و میزبان را وادار به گشتن دنبال اپلیکیشنی برای دریافت این بسته‌ها می‌کنند. ازآنجایی‌که بسته‌های UDP جعلی هستند، اپلیکیشنی برای دریافت آن‌ها وجود ندارد و میزبان باید یک پیام ICMP «Destination Unreachable» را به فرستنده ارسال کند. منابع میزبان در پاسخ به جریان ثابت بسته‌های UDP جعلی بسته می‌شود و در نتیجه میزبان برای پاسخ‌گویی به بسته‌های قانونی در دسترس نخواهد بود.

ICMP floods: دومین مثال حملات حجمی

حملات DDoS از نوع سیل ICMP که به حملات سیل پینگ نیز معروف‌اند، هدف را با درخواست‌های ICMP از چندین آدرس IP جعلی مورد هدف قرار می‌دهند. سرور تحت حمله باید به همه این درخواست‌ها پاسخ دهد و overload می‌شود؛ در نتیجه قادر به پردازش درخواست‌های اکو ICMP معتبر نیست. 

ICMP Flood متمایز از سایر حملات Smurf پکت‌های خود را ارسال می‌کند. در این نوع حمله مهاجمان به‌جای سوءاستفاده از دستگاه‌های متصل به شبکه برای ارسال پاسخ‌های ICMP به آدرس IP قربانی، تعداد زیادی درخواست ICMP را از بات‌نت خود ارسال می‌کنند.

DNS Amplification؛ سومین مثال حملات حجمی

در حملات DNS Amplification مهاجم چندین درخواست جست‌وجوی DNS را به یک یا چند سرور عمومی DNS ارسال می‌کند. این درخواست‌های جست‌وجو از یک آدرس IP جعلی متعلق به قربانی استفاده می‌کنند و از سرورهای DNS می‌خواهند تا حجم زیادی از اطلاعات را در هر درخواست بازگردانند. سرور DNS با پر کردن آدرس IP قربانی با داده‌های فراوان به درخواست‌ها پاسخ می‌دهد.

این حملات مانند این است که شخصی با رستوران تماس بگیرد و بگوید «من می‌خواهم از هر غذایی که در منو دارید، یکی را سفارش بدهم؛ لطفا با شماره‌ای که به شما می‌دهم تماس بگیرید و نام تمام غذاهایی که سفارش داده‌ام را تکرار کنید!» در این‌جا شخص مهاجم شماره تماس یک قربانی را به رستوران می‌دهد تا با او تماس بگیرند؛ بنابراین رستوران یک لیست از تمام غذاهایی که دارد، ایجاد کرده و برای قربانی ارسال می‌کند.

به همین ترتیب، مهاجم با آدرس IP جعلی (آدرس IP دستگاه قربانی)، درخواستی را به سمت سرور DNS ایجاد کرده و این سرور پاسخ‌های با حجم بالا را به سمت آدرس IP قربانی ارسال می‌کند. به‌این‌ترتیب دستگاه شامل این آدرس IP با سیلی از پاسخ‌هایی که هرگز درخواست نکرده بود، مواجه می‌شود و در نهایت از کار می‌افتد.

حمله چندبرداری (Multivector)

در اینترنت مدرن، ترافیک DDoS در اشکال مختلفی وجود دارد و می‌تواند از نظر طراحی متفاوت باشد؛ از حملات تک منبع غیرجعلی (un-spoofed single source) گرفته تا حملات چندبردار (multi-vector) پیچیده و تطبیقی.

حمله DDoS چند بردار از مسیرهای حمله متعدد و روش‌های مختلفی برای غلبه بر دستگاه هدف استفاده می‌کند تا بتواند تلاش‌های کاهش حمله که توسط هدف اتخاذ می‌شود را در هر مسیری منحرف و خنثی سازد.

حمله‌ای که چندین لایه پشته پروتکل را به‌طور هم‌زمان هدف قرار می‌دهد، مانند DNS amplification (هدف قراردادن لایه‌های 3 یا 4) همراه با سیل HTTP (هدف قرار دادن لایه 7) نمونه‌ای از DDoS چندبرداری هستند.

انواع حملات DDoS

راهکارهای مقابله با حملات DDoS

نگرانی اصلی از افزایش حمله DDoS، تمایز بین ترافیک حمله و ترافیک عادی است؛ زیرا هدف مهاجم این است که تا حد امکان ترافیک عادی و ترافیک حمله را با هم ترکیب کند و تلاش‌های کاهش حملات توسط هدف را ناکارآمد سازد.

تلاش‌های جلوگیری از حملات DDoS از جمله حذف یا محدود کردن ترافیک بی‌رویه، ممکن است ترافیک خوب را همراه با ترافیک بد از بین ببرد. همچنین، مهاجم ممکن است برای دور زدن اقدامات متقابل، حملات خودش را اصلاح و سازگار کند؛ بنابراین به منظور غلبه بر حملات پیچیده، داشتن راه‌حل چندلایه بیشترین تأثیر را به همراه خواهد داشت.

مسیریابی سیاه‌چاله (Blackhole routing)

اغلب مدیران شبکه راه‌حل «مسیریابی سیاه‌چاله» را به‌عنوان اولین راه حل جلوگیری از حملات DDoS در نظر می‌گیرند. در این رویکرد یک مسیر سیاه‌چاله ایجاد شده و ترافیک در آن مسیر به شکل قیف هدایت می‌شود. در ساده‌ترین حالت، زمانی که فیلتر سیاه‌چاله بدون هیچ معیار و محدودیت خاصی تنظیم شود، هر دو ترافیک قانونی و ترافیک مخرب به یک مسیر پوچ یا همان سیاه‌چاله هدایت شده و از شبکه حذف می‌شوند.

اگر یک وب‌سایت اینترنتی مورد حمله DDoS قرار بگیرد، ارائه‌دهنده خدمات اینترنت (ISP) آن ممکن است برای دفاع در برابر حمله، تمام ترافیک وب‌سایت را به سمت سیاه‌چاله ارسال کند. این راه‌حل اصلا ایده‌آل نیست، زیرا با از دسترس خارج کردن شبکه، در واقع هدف مهاجم برآورده شده است.

محدودکردن نرخ (Rate limiting)

محدود کردن تعداد درخواست‌هایی که سرور در یک بازه زمانی معین می‌پذیرد، راهی برای کاهش حملات انکار سرویس (DoS) است. محدودیت نرخ شاید بتواند سرعت سارقان وب (ٌWeb Scrapers) را در سرقت محتوا و تلاش‌های Brute Force برای ورود به سیستم (لاگین وب‌سایت) کاهش دهد، اما نمی‌تواند به‌تنهایی برای مدیریت موثر حملات پیچیده DDoS کافی باشد. با این وجود، محدودکردن نرخ نیز یک استراتژی موثر در کاهش حملات DDoS محسوب می‌شود.

فایروال برنامه‌های وب (Web Application Firewall)

فایروال برنامه کاربردی وب (WAF) ابزاری است که می‌تواند به کاهش حمله DDoS لایه 7 کمک کند. WAF بین اینترنت و سرور مبدأ قرار می‌گیرد و می‌تواند به‌عنوان یک پروکسی معکوس (Reverse Proxy) عمل کرده و از سرور مورد نظر در برابر انواع خاصی از ترافیک‌های مخرب محافظت کند.

با فیلتر کردن درخواست‌ها بر اساس یک سری قوانین مورد استفاده جهت شناسایی ابزارهای DDoS، می‌توان از حملات لایه 7 جلوگیری کرد. یکی از مزایای مهم WAF، توانایی اجرای سریع قوانین سفارشی در پاسخ به حملات مخرب است.

انتشار شبکه Anycast (Anycast network diffusion)

این روش، از شبکه Anycast برای انتشار و گسترش ترافیک حمله در سراسر یک شبکه توزیع‌شده از سرورها استفاده می‌کند؛ تا جایی‌که این ترافیک توسط شبکه کاملا جذب شود.

برای درک بهتر این رویکرد، رودخانه خروشانی را در نظر بگیرید که از یک کانال آب عبور می‌کند. برای جلوگیری از طغیان، آب رودخانه به چند کانال مختلف منشعب می‌شود تا از شدت آن کاسته شده و در نهایت به حالت عادی بازگردد.
بدین ترتیب، شبکه Anycast ترافیک حمله را تا جایی که بتوان آن را مدیریت کرد، میان سرورهای متعدد توزیع می‌کند. قابلیت اطمینان شبکه Anycast برای کاهش حمله DDoS به میزان گستردگی حمله و همچنین اندازه و کارایی شبکه بستگی دارد.

جلوگیری از حملات DDoS با محصولات ابری دراک

در این مقاله ضمن پاسخ به سوال «دیداس چیست»، انواع حملات DDoS و همچنین راهکارهای جلوگیری از حملات DDoS را بررسی کردیم. زیرساخت جهانی شبکه CDN ابر دراک با بهره‌گیری از معماری Anycast و حضور در مراکز داده معتبر دنیا در کنار امکانات فنی اعم از فایروال لایه ۳ و ۴ و وب اپلیکیشن فایروال و محدودکننده‌های نرخ شبکه در کنار زیرساخت‌های هوشمند پایش و عملیات شبکه تضمین‌کننده امنیت وب‌سایت شما هستند. همچنین سایر محصولات ابر دراک با بهره‌گیری از ویژگی‌های سرویس CDN ابر دراک نیز به محافظت از سرویس شما در برابر DDoS کمک می‌کنند. به‌طور کلی، اَبر دِراک با استفاده از روش‌های ذکرشده در بالا، از حملات DDoS جلوگیری کرده و پایداری و امنیت وب‌سایت شما را تضمین می‌کند. راهکارهای پیاده‌سازی شده در سرویس جلوگیری از حمله DDoS ابر دراک، چندوجهی بوده و قادر است تا بسیاری از حملات پیچیده را کاهش دهد. برای کسب اطلاعات بیشتر و دریافت راهنمایی می‌توانید از طریق شماره تلفن مندرج در سایت با تیم پشتیبانی ما در تماس باشید.

منابع: IBM / Cloudflare / Kaspersky

مقالات مرتبط

تفاوت زیرساخت ابری و زیرساخت سنتی چیست؟

تفاوت زیرساخت ابری و زیرساخت سنتی چیست؟

زیرساخت‌های سنتی و ابری در مواردی از قبیل هزینه و نحوه راه‌اندازی اولیه، ظرفیت ذخیره‌سازی، مقیاس‌پذیری و انعطاف‌پذیری با یکدیگر متفاوت‌اند. به همین خاطر هنگام انتخاب زیرساخت برای کسب‌وکار خود باید نیازهای کسب‌وکارتان را در نظر گرفته و مطابق با آن‌ها بهترین زیرساخت را انتخاب کنید. در این مقاله با بررسی تفاوت زیرساخت سنتی و ابری به شما در انتخاب زیرساخت مناسب کمک می‌کنیم.

Cache Hit Ratio

Cache Hit Ratio چیست و چگونه محاسبه می‌شود؟

Cache Hit Ratio یک معیار بسیار مهم برای اندازه گیری میزان مؤثر بودن Cache در CDN است. این معیار، وضعیتی را توصیف می‌کند که در آن محتوای شما به جای سرور اصلی، از حافظه پنهان (Cache) سرور لبه ارائه ‌می‌شود.