حملۀ منع خدمت از سرویس یا همان DOS چیست؟

بارها پیش آمده بود که جملۀ «فلان سایت مورد حملۀ DoS قرار گرفت» را شنیده بودم، اما هیچ‌وقت به دنبال کشف معنای دقیق این جمله نرفته بودم؛ اینکه ببینم حملۀ DoS دقیقاً چیست و وقتی رخ می‌دهد چه اتفاقی می‌افتد. وقتی هکر‌ها در ۷اسفند۱۳۹۷ به اسنپ تریپ حملۀDDos کردند، کنجکاوی من برای به‌دست‌آوردن اطلاعات بیشتر دربارۀ حمله‌های DoS و DDoS بیشتر شد.

دربارۀ این حمله‌ها خیلی جستجو کردم و محتواهای فنی و تخصصی‌ زیادی را دیدم و خواندم. به همین دلیل تصمیم گرفتم که برای شروع، با مثال غیرفنی و بسیار ساده‌ای توضیح بدهم DoS دقیقاً چیست.

احتمالاً برای شما هم پیش آمده است که خواسته‌اید تماسی تلفنی برقرار کنید، ولی به دلیل مشغول‌بودن مسیرهای ارتباطی موفق نشده‌اید. این اتفاق در روزهایی که خط‌های تلفن به‌شدت شلوغ هستند (مثل عید نوروز که مردم سعی می‌کنند در لحظۀ سال تحویل به عزیزانشان زنگ بزنند و عید را به آن‌ها تبریک بگویند یا لحظۀ وقوع حادثه‌ای مثل سیل و زلزله و… که آدم‌ها می‌خواهند از حال عزیزانشان باخبر بشوند) بیشتر رخ می‌دهد. بعضی وقت‌ها هم زنگ می‌زنید و تلفن وصل می‌شود، ولی شخص دیگری جواب می‌دهد که اصطلاحاً می‌گوییم «خط رو خط شده». اما تا به حال از خودتان پرسیده‌اید که چرا این اتفاق می‌افتد؟

سیستم تلفن طوری طراحی شده که می‌تواند تعداد محدودی تماس را در یک زمان مشخص برقرار کند. حالا فرض کنید که یک هکر می‌خواهد به سیستم تلفن حمله کرده و استفادۀ مشترکان را از آن غیرممکن کند. یکی از روش‌های حمله آن است که با برقراری تماس‌های مکرر و پشت‌سر‌هم، تمامی خطوط تلفن را اشغال می‌کند. این نوع از اخلال دقیقاً همان حملۀ منع خدمت از سرویس یا DoS است.

منع خدمت از سرویس (DoS)

به تلاش برای خارج‌کردن منابع شبکه از دسترس کاربران، منع خدمت از سرویس یا محروم‌سازی از سرویس (Denial of Service) یا به‌اختصار Dos می‌گویند.

به بیان ساده، وقتی تعداد زیادی درخواست به سروری ارسال می‌شود، باعث مصرف بیش از حد منابع سخت‌افزار (حافظه، پردازنده، پهنای باند، پایگاه داده و…) می‌گردد که درنهایت به‌خاطر حجم بالای پردازش‌ها، عملیات سرور با اضافه‌بار (Overload) رو‌به‌رو شده و سرویس از دسترس (Down) خارج می‌شود.

منع خدمت از سرویس حمله‌ای است که در آن سرویس یا هاست متصل به یک سایت، شبکه، سرویس ایمیل یا… توانایی پاسخ‌گویی به درخواست‌های واقعی کاربران از هاست‌های اینترنتی صحیح را به دلیل پرشدن منابع و حافظۀ آن توسط درخواست‌های غیرواقعی ندارد. در طول حمله، حجم درخواست‌های واقعی و غیرواقعی از توان سرور بیشتر است و سرور را از دسترسی بقیۀ کاربران و دستگاه‌ها خارج می‌کند. به این ترتیب سرعت سرور یا خیلی کند می‌شود، یا دیگر کلاً کار نمی‌کند.

چیزی که حملۀ منع خدمت از سرویس را خطرناک می‌کند، آسیبی است که به سایت می‌زند و مدت‌زمانی است که طول می‌کشد تا این آسیب رفع شود. این حمله می‌تواند باعث قطع‌شدن دسترسی برخی کسب و کارها به اینترنت شود. قطع دسترسی نیز به بالانیامدن سایت منجر می‌شود و طبیعتاً کاربران نمی‌توانند سایت را باز کنند. درنهایت هم باعث کاهش ترافیک سایت می‌شود که کاهش ترافیک سایت هم به کاهش درآمد کسب و کار منجر خواهد ‌شد.
از طرف دیگر اینکه این حمله می‌تواند فعالیت‌ها و سودآوری کسب‌ و کارها را تعطیل کند. اگر کاربران نتوانند به سایت حمله‌شده وارد شوند، نه‌تنها به سایت رقیب می‌روند، بلکه احتمال دارد اعتماد و اطمینان خودشان را به سایت آسیب‌دیده و قدرت اجرایی کسب‌ و کار پشت آن از دست بدهند. شاید چنین اتفاقی اثر منفی دائمی در سود، منابع، برند و کلاس کاری کسب و کار نداشته باشد، اما بدون ‌شک در بلند‌مدت تأثیر منفی خواهد گذاشت.

وقتی این موضوع را فهمیدم، بهتر متوجه شدم که چرا حملۀ منع خدمت از سرویسی که به اسنپ تریپ شده، این‌قدر اتفاق مهمی به حساب می‌آمده!

انگیزۀ هکرها از حمله‌کردن

انگیزۀ هکرها برای حملۀ منع خدمت از سرویس ممکن است متفاوت باشد؛ اما به‌طور‌کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات میزبان متصل به اینترنت است. البته معمولاً حملۀ منع خدمت از سرویس برای ازکار‌انداختن شبکه‌های تک‌سیستمی (Single-frequency network) استفاده می‌شود تا بقیۀ کاربران نتوانند از آن‌ها استفاده کنند.

جالب است بدانید بعضی از هکرها به دلایل سیاسی به سایت‌های دولتی یا به سایت کاندیداهای انتخابات حمله می‌کنند و به دلیل اختلاف‌نظر بر سر مسائل قانونی، سیاست‌گذاری و بعضی نظرها، سایت را از کار می‌اندازند. بعضی دیگر از هکرها نیز ممکن است به سایت رقیب یک کسب و کار حمله کنند. آن‌ها تلاش می‌کنند با این حمله از ورود مشتریان بالقوه به سایت رقیب و دسترسی به محتواهایشان یا امکان خریدشان جلوگیری کنند؛ درنتیجه معمولاً مشتریان به سایت‌های دیگر، یعنی سایت هک‌کننده، وارد می‌شوند.

البته خیلی وقت‌ها هم هکرها به سایتی حمله نمی‌کنند، ولی سایت از دسترس خارج می‌شود! نزدیک‌ترین مثال برای این وضعیت، کمپین‌های جمعۀ سیاه (Black Friday) است که کسب و کارهایی مثل دیجی‌کالا و… راه‌اندازی می‌کنند، اما به دلیل درخواست‌های فراوان کاربران، سایت مدنظر عملاً مورد حملۀ غیرارادی قرار می‌گیرد و از دسترس خارج می‌شود.

تفاوت بین DoS و DDoS

در نتایج جستجوهایی که در گوگل دربارۀ DoS انجام دادم، دیدم که خیلی از سایت‌ها به‌اشتباه نوشته‌اند DoS همان DDoS است، در‌صورتی‌که این‌ها دو مفهوم متفاوت هستند؛ بنابراین تصمیم گرفتم توضیح کوتاهی هم دربارۀ DDoS و تفاوت آن با DoS بدهم.

به تلاش برای ارسال درخواست‌های کاذب، با هدف خارج‌کردن منابع شبکه از دسترس کاربران، منع خدمت از سرویس توزیع‌شده یا محروم‌سازی از سرویس توزیع‌شده (Distributed Denial of Service) یا به‌اختصار DDoS می‌گویند که درواقع نوعی حملۀ DoS به حساب می‌آید.

در حملۀ منع خدمت از سرویس (DoS)، از یک کامپیوتر و یک اتصال اینترنتی برای پرکردن سرور با بسته‌های داده‌ای (TCP/UDP) استفاده می‌شود. اما در حملۀ منع خدمت از سرویس توزیع‌شده (DdoS)، از چندین کامپیوتر یا اتصال اینترنتی استفاده می‌شود و نتایج متفاوتی هم به دست می‌آید. کامپیوترهایی که در این حمله استفاده می‌شوند معمولاً در سراسر دنیا پخش بوده و بخشی از یک بات‌نت (Botnet) یا تجمع کامپیوتری هستند.

تفاوت اصلی بین این دو نوع حمله در حجم حمله‌هاست. در حملات منع خدمت از سرویس توزیع‌شده، سرور هدف به‌جای پرشدن با یک حمله‌کننده و درخواست مخرب، با صدها یا حتی هزاران درخواست مخرب پر می‌شود. به همین دلیل، مقابله با حملۀ منع خدمت از سرویس توزیع‌شده (DDoS) در مقایسه با حملۀ منع خدمت از سرویس (DoS) برای سرورها بسیار دشوارتر است.

پیرو همین صحبت‌ها به سراغ یاشار شاهین‌زاده رفتم. او بعد از خریدن کامپیوتر و آشنایی با دنیای اینترنت، مسیر حرفه‌ای خود را شروع کرد. یاشار در سال‌های ۲۰۱۱ و ۲۰۱۲ رتبه‌های ۲ و ۴ را درزمینۀ ارسال مقاله به CTFهای ملی کسب کرد و همان زمان به مدت ۳ سال داور مسابقات شد. اگر دوست داشتید می‌توانید او را در لینکدین و اینستاگرام هم دنبال کنید.

یاشار جان خودت را معرفی می‌کنی؟

من یاشار شاهین‌زاده هستم، متولد ۱۳۶۷. در رشتۀ لیزر اپتیک درس خواندم و فعالیت حرفه‌ای خودم را در حوزۀ امنیت، از سال ۱۳۸۸ شروع کردم. علاوه بر فعالیت و تولید محتوای انگلیسی، مدتی هست که در بعضی شرکت‌های خارجی محتوای فارسی هم تولید می‌کنم که در سایت خودمان با عنوان مموری لیکس منتشر می‌کنیم و خوشحال می‌شوم نظرتان را دربارۀ آن بدانم.

تفاوت بینDOS وDDOS چیست؟

داس حملۀ عمومی از‌کار‌انداختن سرویس است. این حمله معمولاً با ارسال حجم ترافیک زیاد به یک سرویس، در حدی که سرویس را خفه و قطع کند، صورت می‌گیرد. در حالات بهینه، به‌وسیلۀ ارسال ترافیک به نقاط حساس و سنگین‌تر سرویس گلوگاه (Bottleneck) انجام می‌شود که فشار کمتری لازم دارد تا سرویس را قطع کند. علاوه بر این، داس در خیلی از مواقع مبتنی بر نوعی آسیب‌پذیری است. به‌عنوان مثالی خیلی خوب از حملۀ DOS می‌توانم به Slowloris اشاره کنم که با استفاده از یک ابزار، با کمترین پهنای باند، قابلیت از رده خارج‌کردن وب‌سرور را برای مهاجم فراهم می‌کند.

دی‌داس (DDOS) نوع خاصی از داس محسوب می‌شود که توزیع‌شده است؛ یعنی ترافیک حمله از یک نقطه نمی‌آید، بلکه از صدها تا میلیون‌ها نقطۀ مختلف وارد می‌شود. دی‌داس در حالت معمولی مثل داس است، فقط در آن تعداد نقاط ارسالی بیشتر است؛ ولی در حالت ایدئال ترافیک‌های متنوع هم ارسال می‌کند که تمایزش از کاربر عادی ممکن نباشد. در این حالت تقریباً هیچ دفاعی در برابر دی‌داس وجود ندارد و سرویس حتماً قطع می‌شود. تنها دفاع موجود استفاده از سرویس‌دهنده‌های غول‌آسا مثل گوگل یا آمازون است که هرچقدر هم منابع رویشان بریزید باز هم خفه نمی‌شوند.

حملۀDoS علائم و نشانۀ مشخصی دارد؟

بله این حمله معمولاً روی نقطه‌ای خاص اعمال می‌شود. با کشف آن نقطه و الگوی ترافیک ارسالی، می‌توان به‌راحتی توسط یک فایروال آن را بلاک کرد. مثلاً بعد از شناسایی آی.پی آدرس حمله‌کننده، با بستن تمامی ترافیک ورودی از آی.پی مشخص، بار ترافیک غیرواقعی از روی سرور داخلی برداشته می‌شود.

حملۀDoS روش خاصی دارد؟ معروف‌ترین روش کدام است؟

همان‌طور‌که توضیح دادم روش‌های متعددی دارد. بستگی دارد از چه سطحی قصد خفه‌کردن سرویس را داشته باشند. از پایین (یعنی سطح شبکه و ترافیک خام) تا بالا (سطح برنامه و سرویس‌های سنگین مثل پردازش تصویر یا محاسبات سنگین) قابل اعمال است؛ هرچه بالاتر باشد، اثر آن بیشتر، ولی طراحی‌اش دشوارتر است.
ساده‌ترین روش، همان UDP Flood است. در این روش پکت‌های شبکه (Network packet) به تعداد زیاد ارسال می‌شود تا کل پهنای باند شبکۀ سرویس را اشغال کند.

حملۀ DDoS چطور انجام می‌شود؟ انواع آن چیست؟

ببینید اولین کار تصاحب تعداد زیادی زامبی است. زامبی به کامپیوتر یا سرورهایی گفته می‌شود که هکر به آن‌ها نفوذ می‌کند و کنترلشان را به دست می‌گیرد. معمولاً زامبی‌ها به یک مقر فرماندهی که به آن‌ها Command and Control می‌گویند متصل می‌شوند و منتظر فرمان می‌مانند.

خیلی از این اتاق فرمان‌ها با قیمت‌های بسیار زیاد فروخته می‌شوند و حتی کسی که دربارۀ قسمت فنی حملۀ DDoS دانش چندانی نداشته باشد، می‌تواند به یک ‌جا حمله کند. این پنل‌ها همان‌طور‌که در شکل‌ها مشخص است، تعداد حمله‌های بسیار زیادی (چه در لایۀ ۳ و ۴ چه در لایۀ ۷) را پشتیبانی می‌کنند.

آیا خطر حملۀ DoS کسانی مثل من را که بلاگ شخصی دارند نیز تهدید می‌کند؟

بله تهدید می‌کند. البته به اینکه سرویس بلاگ شما در وردپرس بالا آمده یا به‌صورت شخصی بالا آمده نیز بستگی دارد. مثلاً بلاگ شما می‌تواند در WordPress باشد یا اینکه آن را شخصی و بدون هیچ محافظی بالا آورده باشید. اگر بلاگ شما روی سرویس‌دهنده‌ای مثل گوگل یا وردپرس دات کام بلاگ باشد، ریسک پایین‌آمدنش بسیار کم است.

چطور باید در برابر حمله‌های DOS از سایت خود محافظت کنیم؟

در حال حاضر ساده‌ترین کار استفاده از سرویس شبکه توزیع محتوا (CDN) کلادفلیر (Cloudflare) است. اگر به دنبال نمونۀ ایرانی آن هستید، ابر آروان را پیشنهاد می‌کنم. شبکه توزیع محتوا آدرس سرور شما را پشت یک پراکسی‌وب مخفی می‌کند؛ لذا حمله به شما نمی‌رسد و به‌وسیلۀ خود او قطع می‌شود. البته امکان حمله باز هم در لایه‌های بالاتر وجود دارد، ولی حملات مبتدی تقریباً منتفی می‌شوند. به‌علاوه باید خیلی مراقب باشید که آی.پی اصلی شما به دلیل تنظیمات نادرست افشا نشود، در غیر این صورت مهاجم مستقیماً به شما حمله می‌کند و کلادفلیر دور می‌خورد.

اسپانسر: ابر آروان

ابر آروان سعی می‌کند با فناوری روزِ امنیت ابری، از سایت‌ها و محتواهای آنلاین شما در برابر انواع حملات، ازجمله حملات هکری و منع خدمت از سرویس (DoS) محافظت کند، بدون آنکه نیازی به تهیۀ تجهیزات سخت‌افزاری خاصی داشته باشید.

خدمات امنیت ابری ابر آروان زمینه‌های گوناگون امنیتی، ازجمله دیوارۀ آتش و سامانۀ تشخیص و جلوگیری از حملات تحت وب (WAF) و DDoS را در بر می‌گیرد.

1)BullGuard

2)Comparitech

3)Lifewire

4)Security-FAQs

5)Imperva

6)AARNet Knowledge Base

7)Cloudflare 1

8)Cloudflare 2

9)Webopedia

10)Cybrary Inc.

11)Norton

12)Digital Attack Map

13)NETSCOUT

14)Malwarebytes

15)وبگو

16)زومیت

17)ونت

18)وب رمز

19)دیداس

20)روکا

21)تیک پلاس

22)میزبان فا

23)مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای

24)داتک

25)وب نگاران

26)فراست

27)کنش تک

28)همیار آی‌تی

29)منطقه لینوکسی‌ها

پیوند کوتاه: https://www.nima.today/9u9UT

منابع   [ + ]

۳ دیدگاه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *