روش جلوگیری از حملات DDoS لایه‌ی شبکه به‌کمک آروان

۱۴ آذر ۱۳۹۷

حمله‌ی DoS چیست و با چه هدفی انجام می‌شود؟

این‌گونه حملات با هدف مصرف کردن منابع یک سیستم با ارسال درخواست‎هایی در حجم بسیار بالاست که منجر به Overload شدن سیستم می‎شود. برای نمونه، فروشگاهی را در نظر بگیرید که درِ ورودی آن گنجایش ورود هم‌زمان ۱۰ مشتری را دارد. حالا تصور کنید ۱۰۰۰ نفر به‌شکل هم‌زمان قصد ورود به فروشگاه را داشته باشند، چه اتفاقی می‌افتد؟
جلو درِ فروشگاه ازدحام می‌شود و مشتری‌های واقعی هم نمی‌توانند وارد فروشگاه شوند.

 

حمله‌ی DDoS چیست؟

حمله‌ی DDoS نسخه‌ی توزیع‌شده‌ی حمله‌ی DoS است که از سورس‎های مختلف (BotNet) انجام می‌شود. حملات DDoS در لایه‌های مختلف پروتکل استک TCP/IP انجام می‌شود (لایه‌ی شبکه و لایه‌ی اپلیکیشن) که راه‌حل جلوگیری متفاوتی دارند. در این مطلب حملات لایه‎ی شبکه را بررسی می‌کنیم.

 

حملات DDoS لایه‌ ۳ و ۴

  • جریان سیل‌آسای سین (SYN Flood)

آشنایی با این نوع حمله نیاز به کمی آشنایی با ساختار برقراری ارتباط پروتکل TCP دارد. ایجاد یک اتصال پایدار در پروتکل TCP به‌کمک یک گفت‌وگوی سه قسمتی آغاز می‌شود. در این نوع حمله، نفوذگر تعداد بی‌شماری بسته TCP/SYN با نشانی فرستنده‌ی جعلی تولید و برای قربانی ارسال می‌کند. قربانی با فرستادن بسته‌ی پاسخ SYN ACK تلاش می‌کند که ارتباط مورد نظر را ایجاد کند، اما چون نشانی فرستنده‌ی بسته‌ها جعلی است، ارتباط نیمه‌باز باقی می‌ماند.

در این حالت دو اتفاق مهم می‌افتد:

  • ممکن است تعداد اتصال یا Connection مجاز به پایان برسد.
  • تمام یا بیش‌تر منابع سرور صرف این اتصالات جعلی شود و امکان سرویس‌دهی عادی سلب شود.

 

  • جریان سیل‌آسای UDP

در این روش نفوذگر اقدام به ارسال بیش از حد بسته‌های UDP به پورت‌های مختلف و تصادفی می‌کند. در این حالت سیستم‌عامل ابتدا تلاش می‌کند که از باز بودن پورت مورد نظر مطمین شود، پس از این کار و اطمینان از این‌که هیچ سرویسی روی این پورت به حالت شنود قرار نگرفته است، بسته‌های ICMP از نوع Destination Unreachable می‌فرستد که میزان بالایی از منابع سرور را به خود مشغول می‌کند.

 

  • حملات انعکاسی  و انعکاسی افزاینده (Reflected Attack and Amplification)

در این نوع حملات که یکی از خطرناک‌ترین انواع حملات منع سرویس است، نفوذگر تعداد فراوانی بسته‌ی جعلی با IP قربانی را به سرورها و کامپیوترهای مختلف ارسال می‌کند، سپس تمام این کامپیوترها پاسخ خود را به نشانی قربانی ارسال می‌کنند.

به این ترتیب سیستم قربانی شروع می‌کند به ارسال بسته‌های اطلاعاتی به تعداد بی‌شماری سیستم و در نتیجه پهنای باند و سایر منابع قربانی مصرف و سرویس‌دهی مختل می‌شود.

در نوع پیشرفته‌تر این نوع حملات که به Amplification موسوم است، هکر از درخواست‌هایی استفاده می‌کند که پاسخ بزرگ‌تری در پی داشته باشد. این پاسخ‌ها در نوع NTP Amplification تا ۵۵۶ برابر و در نوع DNS Amplification تا ۱۷۹ برابر بسته‌ی ارسالی خواهد بود. برای نمونه، یک هکر می‌تواند با صرف یک گیگابایت پهنای باند به اندازه‌ی ۵۵۶ گیگابایت اطلاعات را به‌سمت قربانی گسیل کند.

 

راه‌حل آروان برای جلوگیری از حملات DDoS

با فعال‌سازی نماد ابر در تنظیمات DNS تمام Connectionها ابتدا و با توجه به موقعیت جغرافیایی وارد آروان می‌شود.

جلوگیری از حملات DDoS

در این مرحله، تمام حملات را آروان جذب و رقیق می‌کند [ترافیک مسموم با توجه به این‌که از نقاط مختلف جغرافیایی (Different AS) به‌سمت سرور‎های آروان روانه می‎شوند به‌کمک پروتکل BGP Anycast به چند سرور میانه‌ی آروان ارسال می‎شوند و در اصطلاح ترافیک مسموم رقیق می‎شود] و از ترافیک عادی تفکیک می‌شوند.

ترافیک عادی به‌سمت سرور شما ارسال می‌شود و ترافیک مربوط به حمله، نابود می‌شود. البته مهم است که بدانید در هر حالت و با هر شدتی حملات مناطق مختلف روی سایر مناطق بی‌اثر خواهد بود. برای نمونه بات‌های به‌کار گرفته شده در چین، هیچ‌گونه تاثیری در سرویس دریافتی کاربران داخل ایران نخواهد داشت.

 

با حملات DDoS سایت خود مقابله کنید

× برای اطلاع از آخرین اخبار و مقالات آروان عضو خبرنامه ما شوید