حملات DDOS چیست و چگونه این حملات را شناسایی کنیم ؟

sina yeganeh

2020-05-19
10 دقیقه
دسته بندی :

حملات DDOS چیست و چگونه این حملات را شناسایی کنیم ؟

این که آیا شما یک وبلاگ نگار هستید ، صاحب یک فروشگاه تجارت الکترونیک یا یک مدیر وب سایت ارائه دهنده خدمات محلی ، همه می دانند که در دنیای امروزی تحت اینترنت ، داشتن یک وب سایت قوی و پایدار می تواند تفاوت موفقیت اقتصادی و عدم موفقیت باشد. با رشد روزافزون مشاغل وابسته به موتورهای جستجو و ترافیک وب برای فروش محصولات ، ریسک همیشگی بازیگران مخرب آنلاین ، قیمت بالاتری را نسبت به گذشته به همراه دارد. یکی از تهدیدها به ویژه در سالهای اخیر رواج یافته است: حملات DdoS می باشد.

این حملات در دنیا خسارات بسیار زیادی به شرکت ها و فروشگاه ها وارد می کند. شما فکر کنید فروشگاه اینترنتی شما ، یک هفته از دسترس خارج شود و مشتری های امکان دسترسی به وب سایت شما را نداشته باشند ، یا انقدر سایت شما کند شده باشد که مشتری های خود را از دست دهید .  

اما حمله DDoS چیست ، چگونه می توان آنها را شناسایی کرد و برای محافظت از وب سایت خود در برابر آنها چه کاری می توانید انجام دهید؟ در این راهنما ، ما به علائم متداول حمله DDoS و همچنین اقدامات شما برای کاهش خسارات ناشی از آنها ، نگاهی خواهیم انداخت.

حملات DDOS چگونه انجام می شود؟

DDoS ، یا توزیع انکار سرویس ، یک حمله هماهنگ با استفاده از یک یا چند آدرس IP است که برای غیرقابل دسترسی بودن وب سایت طراحی شده است تا یک وب سایت را ویران کند. این کار با اضافه کردن منابع سرور و استفاده از تمام اتصالات موجود ، پهنای باند و توان عملیاتی انجام می شود. درست مانند هنگام رانندگی ، در صورت ترافیک بیش از حد ، زمان مسافرت شما از نقطه A تا نقطه B کندتر خواهد بود. با ریختن سرور با اتصالات بیشتر از آنچه می تواند کنترل کند ، سرور دچار مشکل می شود و این امر قادر به پردازش درخواست های قانونی نیست. حتی سرورهای قدرتمند نمی توانند تعداد اتصالات DDoS را کنترل کنند و در نهایت محدودیت در تعداد پاسخگویی به در خواست ها دارند .

یک مهاجم برای اجرای حملات توزیع انکار سرویس یا  DDOS  هزاران دستگاه مانند سرور ها ، کامپیوترهای خانگی ، دستگاهای موبایل را هک و به بد افزار آلوده می کند که به هر یک از دستگاه های آلوده Bot گفته می شود تا بتواند شبکه ی بزرگ که به آن botnet گفته می شود ایجاد کند.

پس از ایجاد یک بات نت ، مهاجم قادر است با ارسال دستورالعمل های مختلف به هر بات از طریق یک روش کنترل از راه دور ، ماشین ها را هدایت کند و به آنها دستور دهد. هنگامی که آدرس IP یک قربانی توسط botnet هدف قرار گرفت ، هر بات درخواست های متعددی به سمت هدف  ارسال می کند و این درخواست ها توسط سرور حمله شده پاسخ خواهد داده می شود ، به طور بالقوه باعث می شود سرور یا شبکه هدفمند از ظرفیت سرریز شده و از دسترس خارج شود

اگرچه روش های مختلفی برای انجام حمله DDoS وجود دارد ، از سیل ارسال درخواست های HTTP گرفته تا اتصالات طولانی Slowloris ، اکثریت نیاز به اتصالات زنده به سرور شما دارند.

خبر خوب این است که ، زیرا این اتصالات بصورت زنده و در حال اجرا هستند ، شما این توانایی را دارید که درخواست ها و اتصالات غیر مجاز را شناسایی کنید . با استفاده از چند دستور ساده نه تنها می توانید تعیین كنید كه آیا DDoS در حال رخ دادن است ، بلكه علاوه بر این می توانید اطلاعات لازم را برای كمك به این حملات بدست آورید.

تشخیص حملات DDOS  ؟

اگر نگران این هستید که سرور شما تحت حمله DDoS قرار گرفته است ، اولین کاری که باید انجام دهید این است که نگاهی به بار روی سرور خود بیندازید. چیزی ساده به عنوان دستورات uptime یا top ایده خوبی را درباره بار فعلی سرور به شما می دهد.

اما یک بار قابل قبول چیست؟

خوب ، این بستگی به منابع سرور مانند CPU،RAM  یا موضوعات موجود دارد. به طور معمول ، این برای هر سایت متنوع است و بستگی به میزان مصرف منابع سرور در حالت عادی می باشد

:برای تعیین بار فعلی سرور خود ، می توانید از دستورات زیر استفاده کنید

این دستور به شما تعداد پردازشگرهای شما را می دهد.

grep processor /proc/cpuinfo | wc -l
uptime

load average – میانگین بار را در فواصل زیر نشان می دهد: میانگین 1 دقیقه ، میانگین 5 دقیقه و میانگین 15 دقیقه. میانگین بار بیش از 7 می تواند نگران کننده باشد.

چگونه بررسی کنیم که  چه IP ها به سرور شما وصل هستند؟

از آنجا که بیشتر حملات DDoS نیاز به اتصال به سرور شما دارد ، می توانید بررسی کنید و ببینید که تعداد IP و کدام یک از آدرس های IP به طور همزمان به سرور شما متصل می شوند. این را می توان با استفاده از netstat ، تعیین کرد. در این مورد ، ما  لیست IP های با تعداد  اتصالات آنها با سرور  را کشف میکنیم برای شروع ، دستور زیر را در ترمینال خود وارد کنید:

netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

 این دستور لیستی نزولی را که IP ها به سرور شما متصل هستند و هر کدام چه تعداد اتصالات به سرور شما  دارند ، برمی گرداند.  در هر ایپی  از 1 تا حدود 50 اتصال می تواند برای ترافیک عادی کاملاً متداول باشد. اگر با این حال ، برخی از IP ه با 100+ اتصال را مشاهده کردید ، این مورد لازم است که مورد بررسی قرار گیرد.

در لیست موجود ، شما ممکن است IP های شناخته شده ، از سرور یا حتی IP شخصی خود را با بسیاری از اتصالات مشاهده کنید. در بیشتر موارد ، این موارد را می توان نادیده گرفت ، زیرا سرور های شما به صورت مداوم با هم در ارتباط هستند اما هنگامی که IP های ناشناخته با صدها یا هزاران اتصالی را مشاهده می کنید می تواند نشانه حمله باشد.

خطرات و هزینه های مرتبط با حملات DDoS از همیشه بیشتر است. متأسفانه ، با ظهور botnets ، حتی هنگامی که یک حمله DDoS تأیید شود ، مسدود کردن صدها یا هزاران آی پی حمله به صورت دستی می تواند بسیار دشوار باشد. در این موارد ، متوقف کردن حمله پس از شروع کار دشوار است.

به همین دلیل بهتر است قبل از وقوع برنامه ای ، برنامه ای برای مقابله با حملات DDoS در نظر بگیرید.

فایروال سایت وبگارد می تواند به شما کمک کند که جلوی حملات DDos را بگیرید.

جلوگیری از حملات DDOS

فایروال امنیتی وبگارد قادر می باشد در هنگام اجرای این حملات با استفاده از ۳ روش Javascript Redirect ,Rate Limit و Captcha جلوی لود اضافه سرور را گرفته و از سایت شما در برابر این حملات محافظت کند.

  • با استفاده از روش Rate Limit:با اجرای محدودیت در تعداد درخواست هایی که به سمت سرور ارسال می شود می توان ای پی بات های هکر را شناسایی کرد و دسترسی آنها را به سایت مسدود کرد.
  • با استفاده از روش Javascript Redirect: معمولا ابزار های DDOS درخواستی از نوع POST یا GET به سمت سرور ارسال می کنند و منتظر پاسخ از سمت سرور نمی باشند. حال اگر قبل از اینکه درخواست هکر مستقیم به سرور برسد و لود اضافه ایجاد کند ابتدا درخواست به یک صفحه دیگر هدایت شود و با یک درخواست جاوا اسکریپت به سمت سرور ارسال شود . به هر یک از درخواست های هکر یک پاسخ ۳۰۱ ارسال می شود و لودی به سرور اضافه نمی شود.
  • با استفاده از روش Captcha : با استفاده از این روش هر درخواستی که به سمت سرور ارسال شود ابتدا به صفحه دیگری برای حل Captcha ارسال می شود . بات های هکر امکان حل Captcha را ندارد اما اگر کاربر واقعی باشد پس از حل Captcha می تواند به سایت دسترسی داشته باشد.
برچسب ها:
اشتراک گذاری: