وقتی بسیاری از ماشینها سایت یا سرورهای شما را هدف قرار میدهند، همه سیستمهای شما ممکن است از کار بیفتند. شما نیاز به یک برنامه دارید.
حملات Distributed Denial-of-Service (DDoS) یکی از چالش های رایج در امنیت شبکه است. این حملات اغلب منجر به زیان مالی، اعتباری و زمانی هم برای افراد و هم برای مشاغل می شود.
در حالی که راهبردها و راه حل های متعددی برای مقابله با چنین تهدیداتی به کار گرفته شده است، اما هنوز به طور کامل ریشه کن نشده اند. از این رو، درک تفاوت های اساسی بین DoS و DDoS، درک اقدامات پیشگیرانه و دانستن اقدامات پس از حمله بسیار مهم است.
درک مفاهیم DoS و DDoS
حملات انکار سرویس (DoS) بر بارگذاری بیش از حد منابع یک سیستم هدف برای عدم پاسخگویی آن متمرکز است. به آن فکر کنید مانند جمعیتی که سعی دارند به یکباره وارد یک اتاق کوچک شوند. اتاق نمی تواند همه را در خود جای دهد، بنابراین غیر قابل دسترس می شود. اینگونه است که این حملات سایبری برنامهها یا وبسایتهای خاصی را هدف قرار میدهند و این سرویسها را در دسترس کاربران قانونی قرار نمیدهند.
هکرها ممکن است شبکه ای را با داده های بیش از حد پر کنند تا تمام منابع موجود را تحت فشار قرار دهند، از آسیب پذیری های سرور سوء استفاده کنند یا از استراتژی هایی مانند تقویت بازتاب استفاده کنند، که در آن با انعکاس ترافیک شبکه با حجم بالا با استفاده از سرورهای شخص ثالث، اهداف را گمراه می کنند. این ابهام، تعیین منشا واقعی حمله را چالش برانگیز می کند.
هنگامی که چندین ماشین با هم کار می کنند تا چنین حمله ای را انجام دهند، به آن حمله انکار سرویس توزیع شده (DDoS) می گویند. مهاجمان DDoS اغلب بات نت ها را کنترل می کنند. تصور کنید که اینها به عنوان ارتشی از رایانه های ربوده شده با هم کار می کنند تا آن جمعیت عظیم را ایجاد کنند.
این ارتش باتنت میتواند شامل دستگاههای مستعد اینترنت اشیا (IoT) باشد که اغلب با رمزهای عبور پیشفرض اجرا میشوند و ویژگیهای امنیتی ضعیفی دارند. چنین دستگاه هایی، زمانی که تحت کنترل مهاجمان قرار گیرند، می توانند بخشی از زرادخانه های مهیب مورد استفاده برای حملات سایبری گسترده شوند. برخی از مهاجمان حتی از کنترل خود درآمد کسب می کنند و بات نت های خود را در طرح های حمله در ازای استخدام به دیگران ارائه می دهند.
قبل از حمله DDoS چه باید کرد
آماده شدن برای حملات DDoS برای محافظت از دارایی های دیجیتال شما بسیار مهم است. ابتدا متوجه شوید که کدام یک از سرویس های شما به صورت آنلاین قابل دسترسی هستند و آسیب پذیری های آنها. تمرکز شما باید به این بستگی داشته باشد که این خدمات چقدر حیاتی هستند و چقدر باید در دسترس باشند. اقدامات اولیه امنیت سایبری می تواند شما را در برابر چنین حملاتی تقویت کند.
بررسی کنید که آیا فایروال برنامه کاربردی وب شما (WAF) تمام دارایی های حیاتی را پوشش می دهد یا خیر. یک WAF مانند یک نگهبان امنیتی عمل میکند و بازدیدکنندگان (ترافیک وب) را بررسی میکند تا قبل از اجازه ورود به آنها، از عدم وجود قصد مخرب اطمینان حاصل کند. بررسی ناهنجاریها در اینجا میتواند مداخله اولیه را برای شما فراهم کند. همچنین، نحوه اتصال کاربران به شبکه شما، چه در محل یا از طریق شبکه های خصوصی مجازی (VPN) را درک کنید.
خدمات حفاظتی DDoS می تواند خطرات حمله را کاهش دهد. حتی اگر از یکی از سریعترین ISPها استفاده میکنید، به جای اینکه صرفاً به حفاظت ارائهدهنده خدمات اینترنتی (ISP) تکیه کنید، ثبت نام در یک سرویس حفاظتی تخصصی DDoS را در نظر بگیرید. چنین سرویس هایی می توانند حملات را شناسایی کنند، منبع آنها را شناسایی کنند و ترافیک مخرب را مسدود کنند.
با ISP فعلی و ارائهدهنده خدمات ابری (CSP) خود درگیر شوید تا محافظتهای DDoS را که ارائه میدهند، درک کنید. برای جلوگیری از یک نقطه شکست، سیستم ها و شبکه خود را از نظر در دسترس بودن بالا و تعادل بار بررسی کنید.
با ایجاد یک طرح پاسخ DDoS، یک نقشه راه برای اقدامات در طول حمله خواهید داشت. این طرح باید نحوه شناسایی حملات، پاسخگویی و بازیابی پس از حمله را به تفصیل شرح دهد. همچنین، از ارتباط مستمر با طرح تداوم کسب و کار در طول حمله DDoS اطمینان حاصل کنید.
با ایجاد یک طرح پاسخ DDoS، یک نقشه راه برای اقدامات در طول حمله خواهید داشت. این طرح باید نحوه شناسایی حملات، پاسخگویی و بازیابی پس از حمله را به تفصیل شرح دهد. با این حال، مهمتر این است که بدانید وقتی در میان چنین حملهای قرار میگیرید چگونه رفتار کنید.
در هنگام حمله DDoS چه باید کرد
در طول یک حمله DDoS، ممکن است نشانههای مختلفی از تاخیر شبکه غیرمعمول هنگام دسترسی به فایلها یا وبسایتها تا مصرف فوقالعاده بالای CPU و حافظه را مشاهده کنید. ممکن است ترافیک شبکه افزایش پیدا کند یا وب سایت ها در دسترس نباشند. اگر مشکوک هستید که سازمان شما تحت یک حمله DDoS قرار دارد، ضروری است که برای راهنمایی با کارشناسان فنی ارتباط برقرار کنید.
مفید است که به ارائهدهنده خدمات اینترنتی (ISP) خود نزدیک شوید تا بفهمید که آیا این اختلال در پایان است یا شبکه آنها مورد حمله قرار گرفته است و به طور بالقوه شما را قربانی غیرمستقیم میکند. آنها می توانند بینشی در مورد یک دوره اقدام مناسب ارائه دهند. برای درک بهتر حمله با ارائه دهندگان خدمات خود همکاری کنید.
محدوده آدرس IP مورد استفاده برای راه اندازی حمله را بشناسید، بررسی کنید که آیا حمله خاصی به سرویس های خاص وجود دارد یا خیر، و استفاده از CPU/حافظه سرور را با ترافیک شبکه و گزارش های برنامه مرتبط کنید. هنگامی که ماهیت حمله را درک کردید، اقدامات کاهشی را اجرا کنید.
ممکن است لازم باشد که به طور مستقیم ضبط بسته (PCAPs) از فعالیت DDoS یا همکاری با ارائه دهندگان امنیت/شبکه برای به دست آوردن این PCAPها ضروری باشد. ضبط بسته ها اساساً عکس های فوری از ترافیک داده ها هستند. آن را به عنوان فیلم دوربین مدار بسته برای شبکه خود در نظر بگیرید که به شما امکان می دهد آنچه را که اتفاق می افتد بررسی و درک کنید. تجزیه و تحلیل PCAP ها می تواند تأیید کند که آیا فایروال شما ترافیک مخرب را مسدود می کند و به ترافیک قانونی اجازه عبور می دهد. شما می توانید ترافیک شبکه را با ابزاری مانند Wireshark تجزیه و تحلیل کنید.
به کار با ارائه دهندگان خدمات برای استقرار اقدامات کاهشی برای دفع حملات DDoS ادامه دهید. اجرای تغییرات پیکربندی در محیط موجود و شروع طرح های تداوم کسب و کار از دیگر اقداماتی است که می تواند به مداخله و بازیابی کمک کند. همه ذینفعان باید از نقش خود در مداخله و بهبودی آگاه و درک کنند.
همچنین نظارت بر سایر دارایی های شبکه در طول حمله ضروری است. مشاهده شده است که عوامل تهدید از حملات DDoS برای منحرف کردن توجه از اهداف اصلی خود و سوء استفاده از فرصتها برای انجام حملات ثانویه به سایر خدمات در یک شبکه استفاده میکنند. در حین کاهش و زمانی که به وضعیت عملیاتی بازمیگردید، مراقب نشانههای سازش در داراییهای آسیبدیده باشید. در طول مرحله بازیابی، نسبت به هر گونه ناهنجاری یا نشانگر درمعرض خطر دیگری هوشیار باشید، مطمئن شوید که DDoS فقط یک حواس پرتی از فعالیت های مخرب تر در حال انجام در شبکه شما نیست.
پس از پایان حمله، تأمل در مورد عواقب بعدی و اطمینان از ایمنی طولانی مدت به همان اندازه ضروری است.
پس از حمله DDoS چه باید کرد
پس از یک حمله DDoS، بسیار مهم است که مراقب باشید و به طور مداوم دارایی های شبکه خود را برای هرگونه ناهنجاری اضافی یا فعالیت های مشکوکی که ممکن است به حمله ثانویه اشاره کند، نظارت کنید. بهروزرسانی طرح پاسخ DDoS، با ترکیب درسهای آموختهشده مرتبط با ارتباطات، کاهش و بازیابی، تمرین خوبی است. آزمایش منظم این طرح تضمین می کند که موثر و به روز باقی می ماند.
اتخاذ نظارت فعال شبکه می تواند ابزاری باشد. با ایجاد یک خط پایه از فعالیت های منظم در سراسر شبکه، ذخیره سازی و سیستم های کامپیوتری سازمان خود، می توانید انحرافات را راحت تر تشخیص دهید. این خط مبنا باید برای روزهای میانگین و اوج ترافیک در نظر گرفته شود. استفاده از این خط پایه در نظارت پیشگیرانه شبکه می تواند هشدارهای اولیه حمله DDoS را ارائه دهد.
چنین هشدارهایی را می توان به گونه ای پیکربندی کرد که به مدیران اطلاع داده شود و آنها را قادر می سازد تا تکنیک های پاسخ را درست در شروع یک حمله احتمالی آغاز کنند.
همانطور که دیدید، عواقب پس از آن مستلزم تأمل و پیش بینی حملات آینده است. اینجاست که درک چگونگی جلوتر ماندن از منحنی محوری می شود.
یک قدم جلوتر از تهدیدات DDoS باشید
در عصر دیجیتال، فرکانس و پیچیدگی حملات DDoS به طرز چشمگیری افزایش یافته است. همانطور که مفاهیم، آمادگی ها و اقدامات پاسخگو در برابر این تهدیدات را طی کرده اید، یک چیز مشخص می شود: اقدامات پیشگیرانه و هوشیاری مستمر بسیار مهم هستند. در حالی که درک مکانیزم یک حمله DDoS ضروری است، حفاظت واقعی در توانایی ما برای پیشبینی، پاسخ و سازگاری نهفته است.
با به روز نگه داشتن سیستم های خود، نظارت جدی بر شبکه های خود و پرورش فرهنگ آگاهی از امنیت سایبری، می توانیم تأثیرات این حملات را به حداقل برسانیم. این فقط در مورد منحرف کردن تهدید فعلی نیست، بلکه آماده سازی برای چالش های در حال تحول آینده است. به یاد داشته باشید، در چشم انداز دائماً در حال تغییر تهدیدات دیجیتال، آگاه ماندن و آماده ماندن قوی ترین دفاع شما است.