حمله دیداس (DDoS) چیست؟ راهنمای شناخت، نحوه عملکرد و روش‌های مقابله

بدر یک روز مهم کاری، ناگهان متوجه شوید سایت شما به شدت کند شده یا کاملاً از دسترس خارج شده است؛ در حالی که نمی‌دانید این بازدیدکنندگان، مشتریان واقعی شما هستند یا ربات‌هایی که قصد فلج کردن کسب‌وکارتان را دارند. هر دقیقه قطعی در چنین شرایطی، مساوی با از دست رفتن اعتماد مخاطب و ضرر مالی مستقیم است. در این مقاله قصد داریم مکانیسم دقیق حملات DDoS، انواع آن‌ها و مهم‌تر از همه، راهکارهای عملی برای تشخیص و ایجاد یک سپر دفاعی مستحکم را بررسی کنیم تا در برابر این طوفان‌های سایبری غافلگیر نشوید.

آشنایی با حمله‌ی دیداس یا DDoS و منطق عملکرد آن

دنیای اینترنت هم درست شبیه به دنیای واقعی ما است؛ با همان خیابان‌ها، فروشگاه‌ها و ترافیک‌های روزمره. برای درک بهتر این موضوع، فرض کنید شما صاحب یک رستوران محبوب هستید. رستوران شما ظرفیت مشخصی دارد و کارکنان می‌توانند به تعداد محدودی از مشتریان در هر ساعت خدمات بدهند. حالا تصور کنید هزاران نفر که اصلا قصد خرید ندارند، به طور هم‌زمان وارد رستوران شوند، صندلی‌ها را اشغال کنند و مدام سوالات بی‌ربط بپرسند. در این حالت، مشتریان واقعی شما نمی‌توانند وارد شوند و کسب‌وکار شما عملا فلج می‌شود. این دقیقا همان منطقی است که پشت یکی از مخرب‌ترین حملات سایبری قرار دارد.

حمله‌ی دیداس دقیقا چیست و هدف از آن چه می‌تواند باشد؟

عبارت DDoS مخفف عبارت انگلیسی Distributed Denial of Service و به معنای قطع دسترسی توزیع‌شده است. در این نوع حمله، هکر تلاش می‌کند با ارسال حجم عظیمی از ترافیک (تعداد بازدیدکنندگان و درخواست‌های ورودی به سایت) به سمت یک سرور (کامپیوتر قدرتمند و همیشه روشنی که اطلاعات سایت شما روی آن ذخیره شده است)، آن را بیش از حد توانش درگیر کند. وقتی سرور نتواند این حجم سنگین از درخواست‌های کاذب را پردازش کند، به شدت کند می‌شود یا به طور کامل از کار می‌افتد. در نتیجه، کاربران واقعی متوجه خطای قطعی سایت می‌شوند و نمی‌توانند به خدمات دسترسی پیدا کنند.

اما چرا یک فرد یا گروه باید منابع خود را صرف چنین کاری کند؟ اهداف پشت این حملات معمولا متنوع هستند و به یکی از دسته‌های زیر تقسیم می‌شوند:

• اخاذی و باج‌گیری: مهاجمان سایت را از کار می‌اندازند و برای برگرداندن سیستم به حالت عادی، درخواست پول (معمولا به صورت رمزارزهای غیرقابل ردیابی) می‌کنند.
• رقابت ناسالم و خرابکاری: گاهی کسب‌وکارها برای ضربه زدن به اعتبار و کاهش فروش رقبای خود در روزهای مهم، افراد سودجو را برای اجرای این حملات استخدام می‌کنند.
• پوششی برای حملات بزرگ‌تر: هکرها با ایجاد اختلال عمدی و درگیر کردن تیم‌های امنیتی با مشکل کندی سایت، حواس آن‌ها را پرت می‌کنند تا بتوانند در پس‌زمینه، اطلاعات محرمانه‌ی پایگاه داده را سرقت کنند.
• اهداف سیاسی یا اجتماعی: گاهی گروه‌های هکری برای نشان دادن اعتراض خود به یک سازمان یا نهاد خاص، دسترسی به سایت آن‌ها را مسدود می‌کنند.

مقایسه‌ی ساده‌ی حمله‌ی DoS با DDoS

شاید در مقالات مختلف نام حمله‌ی DoS را هم دیده باشید و این سوال برایتان پیش بیاید که تفاوت آن با نسخه‌ی توزیع‌شده یعنی DDoS چیست. تفاوت اصلی در تعداد سیستم‌هایی است که به سایت شما حمله‌ور می‌شوند.

در یک حمله‌ی DoS، مهاجم فقط از یک سیستم یا رایانه برای ارسال درخواست‌های مخرب استفاده می‌کند. دفاع در برابر این حمله نسبتا آسان است؛ زیرا مدیر امنیتی سایت می‌تواند به راحتی آدرس اینترنتی (IP) آن یک سیستم مزاحم را شناسایی و مسدود کند. این کار دقیقا شبیه به اخراج کردن یک فرد مزاحم انفرادی از همان رستوران فرضی است.

اما در حمله‌ی DDoS، هکر از یک بات‌نت (شبکه‌ای بزرگ از صدها یا هزاران رایانه و دستگاه هک‌شده در سراسر جهان که بدون اطلاع صاحبانشان تحت فرمان هکر هستند) استفاده می‌کند. در اینجا درخواست‌ها از هزاران نقطه‌ی مختلف در جهان ارسال می‌شوند و مسدود کردن آن‌ها بسیار پیچیده‌تر است. برای درک بهتر این تفاوت‌ها، به جدول مقایسه‌ای زیر نگاه کنید:

ویژگی مورد بررسی	حمله‌ی DoS	حمله‌ی DDoS
تعداد منابع حمله‌کننده	فقط از یک سیستم یا دستگاه واحد	هزاران دستگاه مختلف از سراسر جهان به صورت هم‌زمان
قدرت و مقیاس تخریب	نسبتا کم و محدود	بسیار بالا، سنگین و به شدت فلج‌کننده
پیچیدگی دفاع و مقابله	ساده (با مسدود کردن آدرس یک رایانه برطرف می‌شود)	بسیار پیچیده (نیازمند سیستم‌های هوشمند برای تشخیص کاربر واقعی از ربات)
نحوه‌ی شناسایی مهاجم	به دلیل تک‌منبع بودن، ردیابی نسبتا راحت‌تر است	به دلیل استفاده از دستگاه‌های قربانی در کشورهای مختلف، پیدا کردن هکر اصلی بسیار دشوار است

این جدول به روشنی نشان می‌دهد که چرا حملات دیداس امروزه به یکی از جدی‌ترین کابوس‌های امنیتی برای مدیران سایت‌ها و پلتفرم‌های حساس مالی تبدیل شده‌اند.

بررسی حمله: DDoS چگونه اتفاق می‌افتد؟

برای اینکه یک حمله‌ی دیداس با موفقیت انجام شود، مهاجم به نیروی محرکه‌ی بسیار بزرگی نیاز دارد. یک هکر نمی‌تواند فقط با رایانه‌ی شخصی خود یک وب‌سایت بزرگ یا یک صرافی رمزارز را از کار بیندازد. او به یک ارتش سایبری نیاز دارد تا بتواند ترافیک فلج‌کننده‌ای را به سمت هدف روانه کند. اما این ارتش چگونه ساخته می‌شود و چه کسانی سربازان آن هستند؟ بیایید به پشت صحنه‌ی این حملات نگاهی بیندازیم.

بات‌نت Botnet چیست و ارتش زامبی‌ها چگونه شکل می‌گیرد؟

واژه‌ی بات‌نت در واقع از ترکیب دو کلمه‌ی بات (ربات) و نت (شبکه) ساخته شده است. بات‌نت شبکه‌ای از رایانه‌ها و دستگاه‌های متصل به اینترنت است که بدون اطلاع صاحبانشان، توسط یک بدافزار (نرم‌افزار مخرب یا ویروس که برای آسیب رساندن به سیستم‌ها طراحی شده است) آلوده شده‌اند.

وقتی دستگاهی آلوده می‌شود، به یک زامبی در ارتش هکر تبدیل می‌شود. چرا زامبی؟ چون این دستگاه‌ها در ظاهر کاملا طبیعی کار می‌کنند و شما به عنوان کاربر متوجه هیچ مشکل یا کندی عجیبی در لپ‌تاپ یا سیستم خود نمی‌شوید؛ اما در پس‌زمینه، آن‌ها منتظر دریافت دستور از سوی سرور فرماندهی هکر هستند. هکر می‌تواند با فشردن یک دکمه، به هزاران دستگاه زامبی در سراسر جهان دستور بدهد که به طور هم‌زمان یک وب‌سایت خاص را باز کنند و درخواست اطلاعات کنند. همین مراجعه‌ی هم‌زمان و انفجاری است که باعث سقوط سرور هدف می‌شود.

نقش دستگاه‌های آسیب‌پذیر اینترنت اشیا IoT در گسترش حملات شبکه

در گذشته، بات‌نت‌ها بیشتر از رایانه‌های خانگی تشکیل می‌شدند، اما امروزه پایگاه اصلی هکرها تغییر کرده است. اینجاست که مفهوم اینترنت اشیا یا IoT (دستگاه‌های هوشمند روزمره مانند دوربین‌های مداربسته، یخچال‌های هوشمند و مودم‌های خانگی که به اینترنت متصل می‌شوند) وارد بازی می‌شود.

شاید بپرسید چرا هکرها به جای رایانه‌های قدرتمند، به سراغ یک دوربین مداربسته‌ی ساده می‌روند؟ دلایل این موضوع بسیار ساده اما از نظر امنیتی قابل تامل است:

• رمزهای عبور پیش‌فرض: بسیاری از کاربران پس از خرید دستگاه‌های هوشمند، رمز عبور کارخانه‌ای آن‌ها (مثل کلماتی مانند admin یا 1234) را تغییر نمی‌دهند و درهای ورود را برای هکرها باز می‌گذارند.
• اتصال دائمی به اینترنت: برخلاف لپ‌تاپ‌ها که ممکن است در طول روز خاموش شوند، دوربین‌های امنیتی و مودم‌ها همیشه روشن و متصل هستند. این ویژگی آن‌ها را به سربازانی همیشه بیدار برای شبکه‌ی بات‌نت تبدیل می‌کند.
• امنیت و نظارت پایین: تولیدکنندگان این دستگاه‌های ارزان‌قیمت معمولا تمرکز کمتری روی امنیت سایبری دارند و به‌روزرسانی‌های نرم‌افزاری منظمی برای برطرف کردن نقاط ضعف آن‌ها منتشر نمی‌کنند.

هکرها با اسکن کردن مداوم فضای اینترنت، این دستگاه‌های ضعیف و بی‌دفاع را پیدا کرده و آن‌ها را به شبکه‌های عظیم خود متصل می‌کنند تا در زمان نیاز، ترافیک‌های مهارنشدنی ایجاد کنند.

بازار سیاه سایبری و پدیده‌ی اجاره‌ی سرویس‌های حمله‌ی دیداس (DDoS-as-a-Service)

شاید ترسناک‌ترین بخش ماجرا این باشد که امروزه برای انجام یک حمله‌ی مخرب شبکه، نیازی نیست یک هکر نابغه با دانش فنی بالا باشید! با شکل‌گیری دارک وب (بخش پنهان و غیرقانونی اینترنت که با مرورگرهای عادی در دسترس نیست و فضایی برای فعالیت‌های مجرمانه است)، پدیده‌ی جدیدی به نام اجاره سرویس حمله یا DDoS-as-a-Service به وجود آمده است.

در این بازارهای سیاه، هکرهایی که پیش‌تر بات‌نت‌های بزرگی ساخته‌اند، ارتش زامبی‌های خود را به دیگران اجاره می‌دهند. یک فرد سودجو یا یک رقیب تجاری می‌تواند با پرداخت مبلغی نه چندان زیاد (که معمولا برای حفظ ناشناسی از طریق رمزارزها پرداخت می‌شود)، سفارش یک حمله‌ی چند ساعته را ثبت کند. این دسترسی آسان باعث شده است تا کسب‌وکارهای نوپا، پلتفرم‌های مالی و صرافی‌های ارز دیجیتال بیشتر از همیشه در معرض خطر قرار بگیرند. به همین دلیل است که شناخت دقیق این حملات و مجهز شدن به سیستم‌های دفاعی، دیگر فقط یک انتخاب لوکس نیست، بلکه یک ضرورت قطعی برای محافظت از دارایی‌های دیجیتال محسوب می‌شود.

نشانه‌های وقوع حمله دیداس و تاثیر آن بر کسب‌وکارها

وقتی صحبت از امنیت در فضای آنلاین می‌شود، یکی از بزرگ‌ترین چالش‌ها تشخیص به موقع خطر است. حملات شبکه‌ای معمولا بی‌سروصدا شروع می‌شوند و هدفشان این است که پیش از واکنش شما، سیستم را از کار بیندازند. برای مدیران وب‌سایت‌ها و صاحبان کسب‌وکارهای دیجیتال، شناختن علائم اولیه‌ی این طوفان سایبری به اندازه‌ی داشتن یک سیستم دفاعی قدرتمند، حیاتی و مهم است.

از کجا بفهمیم سایت ما تحت حمله است یا فقط ترافیک طبیعی بالایی دارد؟

گاهی اوقات کند شدن یک وب‌سایت خبر بسیار خوبی است! مثلا فرض کنید فروشگاه آنلاین شما یک تخفیف استثنایی گذاشته و هزاران مشتری واقعی برای خرید هجوم آورده‌اند. اما گاهی این ترافیک (حجم ورودی کاربران به سایت) طبیعی نیست و یک حمله‌ی سایبری در حال وقوع است. تشخیص تفاوت این دو حالت برای نجات دادن سرور بسیار مهم است.

برای درک بهتر، یک فروشگاه فیزیکی را تصور کنید. ترافیک طبیعی مثل زمانی است که مشتریان زیادی وارد مغازه‌ی شما می‌شوند، کالاها را می‌بینند و خرید می‌کنند. اما حمله‌ی دیداس شبیه این است که صدها نفر به صورت هماهنگ وارد مغازه‌ی شما شوند، هیچ چیزی نخرند و فقط راهروها را مسدود کنند تا مشتریان واقعی نتوانند وارد شوند.

ابزارهای مانیتورینگ شبکه (نرم‌افزارهایی که وضعیت سلامت و بازدید سایت را لحظه به لحظه بررسی می‌کنند) می‌توانند نشانه‌های مشکوک زیر را به ما نشان دهند:

• هجوم ناگهانی از یک منطقه‌ی جغرافیایی خاص: اگر وب‌سایت شما فقط به کاربران ایرانی خدمات می‌دهد، اما ناگهان هزاران درخواست ورود از کشورهای دوردست دریافت می‌کنید، این یک نشانه‌ی خطرناک است.
• الگوهای غیرطبیعی در زمان‌های عجیب: ترافیک طبیعی معمولا در ساعات خاصی از روز اوج می‌گیرد. اگر در نیمه‌شب که معمولا سایت خلوت است، با یک جهش عظیم در بازدیدها روبرو شدید، باید به موضوع شک کنید.
• درخواست‌های تکراری و بی‌دلیل: اگر متوجه شدید که یک آدرس اینترنتی خاص یا گروهی از آدرس‌ها، در هر ثانیه ده‌ها بار تلاش می‌کنند فقط یک صفحه‌ی خاص (مثلا صفحه‌ی ورود به حساب کاربری) را باز کنند، احتمالا با ربات‌ها روبرو هستید.
• افت شدید سرعت در پردازش‌های ساده: وقتی سایت برای بارگذاری یک عکس کم‌حجم یا باز کردن یک منوی ساده زمان زیادی می‌گیرد و خطای 503 (کد خطایی که نشان می‌دهد سرور به دلیل بار زیاد در دسترس نیست) را نمایش می‌دهد، یعنی ظرفیت سرور در حال پر شدن است.

عواقب فلج‌کننده‌ی دیداس برای صرافی‌های ارز دیجیتال و پلتفرم‌های مالی

قطعی یک وب‌سایت برای وبلاگ‌های ساده شاید فقط باعث افت بازدید موقت شود، اما وقتی پای پلتفرم‌های مالی و صرافی‌های ارز دیجیتال در میان باشد، ماجرا کاملا متفاوت و گاهی فاجعه‌بار است. در بازار رمزارزها که قیمت‌ها در کسری از ثانیه تغییر می‌کنند، زمان همان پول است.

فرض کنید بازار در حال یک سقوط قیمت شدید است و شما می‌خواهید برای جلوگیری از ضرر بیشتر، دارایی خود را به سرعت بفروشید. دقیقا در همین لحظه‌ی حیاتی، صرافی مورد نظر شما تحت حمله‌ی دیداس قرار می‌گیرد و سایت یا اپلیکیشن آن از کار می‌افتد. در این شرایط شما به معنای واقعی کلمه پشت درهای بسته‌ی صرافی گیر می‌افتید.

عواقب این نوع حملات برای فضای مالی بسیار سنگین است:

• خطر لیکویید شدن (Liquidation): در معاملات اهرم‌دار (معاملاتی که در آن‌ها با پول قرضی از صرافی معامله می‌کنید تا با سرمایه‌ی اولیه کمتری، سود بیشتری ببرید)، اگر بازار خلاف پیش‌بینی شما حرکت کند و نتوانید به موقع از معامله خارج شوید، صرافی برای جبران ضرر خود، کل موجودی شما را صفر می‌کند. قطعی سایت در این لحظات به معنای از دست رفتن کل سرمایه‌ی یک تریدر است.
• دستکاری عمدی بازار: گاهی هکرها به عمد صرافی‌های بزرگ را در زمان‌های حساس از کار می‌اندازند تا با ایجاد ترس و وحشت میان کاربران، روند قیمت‌ها را دستکاری کنند و از معاملات خود در پلتفرم‌های دیگر سودهای کلان ببرند.
• از دست رفتن اعتماد: سرمایه‌ی اصلی یک صرافی ارز دیجیتال، اعتماد کاربران آن است. اگر یک پلتفرم مالی نتواند در برابر حملات شبکه‌ای مقاومت کند و دارایی یا دسترسی کاربران را به خطر بیندازد، خیلی زود مشتریان خود را از دست می‌دهد و آن‌ها به سمت رقبای امن‌تر کوچ می‌کنند.

به همین دلیل است که صرافی‌های معتبر، هزینه‌های هنگفتی را برای ایجاد لایه‌های دفاعی چندگانه صرف می‌کنند تا حتی در اوج حملات سنگین نیز، جریان معاملات متوقف نشود.

دسته‌بندی و معرفی انواع حملات DDoS

برای درک بهتر روش‌های هکرها، باید شبکه‌های کامپیوتری و اینترنت را شبیه به یک ساختمان هفت طبقه تصور کنیم. متخصصان کامپیوتر به این ساختمان، مدل OSI (یک استاندارد بین‌المللی که نحوه‌ی ارتباط سیستم‌ها را در هفت لایه یا طبقه دسته‌بندی می‌کند) می‌گویند. حملات دیداس بسته به اینکه کدام طبقه‌ی این ساختمان را هدف قرار دهند، به دسته‌های مختلفی تقسیم می‌شوند.

برای ساده‌سازی این مفاهیم، در این بخش انواع حملات را بر اساس لایه‌ای که تخریب می‌کنند، دسته‌بندی کرده‌ایم:

• حملات در لایه‌های پایین (لایه‌ی شبکه و انتقال): تمرکز بر اشغال مسیرها و تجهیزات (مثل حملات حجمی و حملات پروتکل).
• حملات در لایه‌های بالا (لایه‌ی کاربرد): تمرکز بر نرم‌افزارها و رفتار شبیه‌سازی شده‌ی انسان (مثل حملات لایه‌ی کاربردی).

بیایید هر کدام از این روش‌ها را به زبان ساده کالبدشکافی کنیم.

حملات حجمی Volumetric Attacks و ایجاد ترافیک کاذب

هدف اصلی در این نوع حمله، پر کردن و مسدود کردن کامل پهنای باند (ظرفیت مسیر ارتباطی بین سرور سایت شما و دنیای اینترنت) است.

تصور کنید وب‌سایت شما یک اتوبان اختصاصی است که ظرفیت عبور ۱۰۰۰ ماشین در ساعت را دارد. هکر در حمله‌ی حجمی، میلیون‌ها ماشین خیالی را روانه‌ی این اتوبان می‌کند تا ترافیک کاملا قفل شود. در این حالت، مسیر به قدری شلوغ می‌شود که داده‌های واقعی و مشتریان شما اصلا نمی‌توانند به سرور برسند. این روش رایج‌ترین نوع حمله‌ی دیداس است و معمولا با استفاده از همان ارتش زامبی‌ها یا بات‌نت‌ها که پیش‌تر به آن اشاره کردیم، انجام می‌شود.

حملات پروتکل Protocol Attacks مانند اشباع SYN و پینگ مرگ

در حملات پروتکل، مشکل اصلی پر شدن اتوبان نیست، بلکه هدف درگیر کردن تجهیزات شبکه و ماموران کنترل ترافیک است! این حملات مستقیما تجهیزاتی مانند فایروال‌ها (دیوارهای آتشین یا نرم‌افزارهای امنیتی که ترافیک ورودی را کنترل می‌کنند) و سیستم‌های توزیع‌کننده‌ی بار سرور را هدف می‌گیرند. دو نمونه‌ی معروف از این نوع حملات عبارتند از:

• اشباع سین (SYN Flood): برای درک این حمله، فرض کنید هزاران نفر هم‌زمان به میز پذیرش یک شرکت زنگ بزنند، فقط سلام کنند و منتظر بمانند، اما دیگر هیچ حرفی نزنند! منشی شرکت (سرور شما) خطوط را باز نگه می‌دارد تا بالاخره جوابی بشنود و در نهایت تمام خطوط تلفن اشغال می‌شوند. در این حمله، هکر درخواست‌های اتصال نیمه‌کاره ارسال می‌کند تا منابع سرور را هدر دهد.
• پینگ مرگ (Ping of Death): در این روش، هکر بسته‌های داده‌ی بسیار بزرگ، مخرب و غیرقابل خواندن را برای سرور می‌فرستد. سیستم برای سرهم کردن و فهمیدن این داده‌های خراب دچار خطای پردازشی می‌شود و در نهایت از کار می‌افتد.

حملات لایه‌ی کاربردی Application Layer و هدف‌گیری مستقیم وب‌سرورها

این حملات خطرناک‌ترین، پیچیده‌ترین و سخت‌ترین نوع برای شناسایی هستند، زیرا در بالاترین طبقه‌ی ساختمان شبکه (لایه‌ی 7 که مربوط به نرم‌افزارها و صفحات وب است) رخ می‌دهند و دقیقا رفتار کاربران واقعی را تقلید می‌کنند.

در اینجا هکر نیازی به ایجاد ترافیک عظیم و پر سر و صدا ندارد، بلکه با تعداد کمتری از ربات‌ها، درخواست‌های بسیار سنگینی به سرور می‌دهد. به عنوان مثال، هکر به ربات‌های خود دستور می‌دهد که صدها بار در ثانیه در سایت شما لاگین کنند (وارد حساب کاربری شوند)، یک ویدیوی سنگین را پخش کنند یا یک جستجوی پیچیده در پایگاه داده انجام دهند. این کار مثل این است که ده‌ها نفر در یک رستوران خلوت بنشینند و همگی به صورت مداوم، سخت‌ترین و زمان‌برترین غذای منو را سفارش دهند؛ در این حالت ظاهر رستوران آرام است، اما آشپزخانه (وب‌سرور) از شدت کار فلج می‌شود.

حملات ترکیبی و چند برداری Multi-vector Attacks

همان‌طور که از نام آن پیداست، در این روش هکر فقط از یک ترفند استفاده نمی‌کند، بلکه ترکیبی از حملات حجمی، پروتکل و لایه‌ی کاربردی را به صورت هم‌زمان یا پشت سر هم روی سایت شما پیاده‌سازی می‌کند.

این روش دقیقا شبیه به یک حمله‌ی نظامی هماهنگ از زمین، هوا و دریا است. هدف هکر این است که تیم امنیتی صرافی یا کسب‌وکار شما را با یک نوع حمله (مثلا حمله‌ی حجمی) درگیر و سردرگم کند تا بتواند از زاویه‌ی دیگری (مثلا حمله‌ی لایه‌ی کاربردی) ضربه‌ی اصلی را به هسته‌ی سیستم وارد کند. خنثی کردن این حملات به سیستم‌های محافظتی بسیار هوشمند و چندلایه‌ای نیاز دارد.

 نگاهی به متدهای خاص: از اسلو لوریس Slowloris تا حملات روز صفر Zero-day

در دنیای امنیت سایبری، گاهی با روش‌های عجیب و خاصی روبرو می‌شویم که با قواعد معمول حملات دیداس هم‌خوانی ندارند. بیایید با دو مورد از خطرناک‌ترین متدهای خاص آشنا شویم:

• حمله‌ی اسلو لوریس (Slowloris): برخلاف حملات حجمی که بسیار پر سر و صدا و سریع هستند، اسلو لوریس بسیار آرام، بی‌صدا و با اینترنت‌های ضعیف هم قابل اجرا است. در این ترفند، هکر ارتباطات متعددی با سرور برقرار می‌کند اما اطلاعات خود را با سرعت بسیار پایین و به صورت قطره‌چکانی می‌فرستد. سرور مجبور است برای دریافت کامل پیام، این ارتباطات را باز نگه دارد و خیلی زود ظرفیت پذیرش کاربران جدیدش تمام می‌شود و سایت به حالت تعلیق درمی‌آید.
• حملات روز صفر (Zero-day): این اصطلاح جذاب و ترسناک زمانی به کار می‌رود که هکرها یک نقطه‌ی ضعف امنیتی کاملا جدید و ناشناخته در برنامه‌ها پیدا می‌کنند که حتی برنامه‌نویس و سازنده‌ی نرم‌افزار هم از آن خبر ندارد (روز صفر یعنی سازنده صفر روز برای کشف و رفع مشکل فرصت داشته است). اجرای حمله‌ی دیداس با سوءاستفاده از این حفره‌های پنهان، یکی از غیرقابل پیش‌بینی‌ترین خطرات برای پلتفرم‌های دیجیتال به شمار می‌رود.

ابزارها و روش‌های رایج هکرها برای اجرای دیداس

برای انجام هر کار پیچیده‌ای، به ابزار مناسب نیاز داریم. هکرها هم برای راه‌اندازی طوفان‌های سایبری خود دست خالی وارد میدان نمی‌شوند. آن‌ها از نرم‌افزارها و زبان‌های برنامه‌نویسی خاصی استفاده می‌کنند تا بتوانند ارتش زامبی‌های خود را هدایت کنند. البته هدف ما از بررسی این ابزارها، آموزش هک نیست! بلکه می‌خواهیم با شناخت سلاح‌های مهاجمان، درک بهتری از روش‌های دفاعی داشته باشیم. درست مثل یک قفل‌ساز که باید روش‌های باز کردن قفل را بداند تا بتواند قفل‌های امن‌تری بسازد.

معرفی کوتاه ابزارهای شناخته‌شده مانند LOIC و Hping3 (صرفا جهت آگاهی امنیتی)

در دنیای امنیت سایبری، نرم‌افزارهایی وجود دارند که در ابتدا برای تست مقاومت و بررسی ظرفیت شبکه‌ها ساخته شده بودند، اما بعدا مورد استفاده‌ی نادرست هکرها قرار گرفتند. دو نمونه از معروف‌ترین این ابزارها عبارتند از:

• ابزار LOIC: این نرم‌افزار یکی از آشناترین ابزارها در دنیای هک محسوب می‌شود. کار با این برنامه به طرز عجیبی ساده است و رابط کاربری (محیط گرافیکی برنامه که کاربر با آن کار می‌کند و دکمه‌ها را می‌بیند) بسیار روانی دارد. مهاجمان با وارد کردن آدرس سایت هدف در این برنامه، دستور ارسال سیلابی از ترافیک کاذب را صادر می‌کنند. این ابزار در گذشته توسط گروه‌های هکری معروفی برای از کار انداختن سایت‌های بزرگ استفاده می‌شد.
• ابزار Hping3: برخلاف ابزار قبلی که ظاهر ساده‌ای دارد، Hping3 یک برنامه‌ی مبتنی بر خط فرمان (محیطی متنی و سیاه‌رنگ که در آن دستورات را تایپ می‌کنید و خبری از دکمه‌های گرافیکی نیست) است و بیشتر توسط افراد متخصص‌تر استفاده می‌شود. این ابزار به هکر اجازه می‌دهد تا بسته‌های اطلاعاتی دست‌کاری شده و سفارشی بسازد. به زبان ساده، با این ابزار می‌توانند درخواست‌های پیچیده‌ای طراحی کنند که فایروال‌ها یا سیستم‌های دفاعی سایت را فریب دهد و از لایه‌های امنیتی عبور کند.

مروری بر نقش سیستم‌عامل‌های متن‌باز مانند لینوکس و اسکریپت‌های پایتون در حملات

ابزارهای هک معمولا روی ویندوزهای معمولی که ما روزمره استفاده می‌کنیم، اجرا نمی‌شوند یا حداقل کارایی لازم را ندارند. هکرهای حرفه‌ای برای داشتن بیشترین کنترل و آزادی عمل، به سراغ سیستم‌عامل‌ها و زبان‌های برنامه‌نویسی خاصی می‌روند:

• سیستم‌عامل‌های متن‌باز مانند لینوکس: واژه‌ی متن‌باز (نرم‌افزاری که کدهای سازنده‌ی آن برای همه قابل مشاهده و تغییر است) در اینجا نقش کلیدی دارد. لینوکس به دلیل ساختار منعطف و بسیار قدرتمند خود، به خانه‌ی اول متخصصان امنیت و هکرها تبدیل شده است. نسخه‌های خاصی از سیستم‌عامل لینوکس وجود دارند که از پیش ده‌ها ابزار نفوذ و تست شبکه روی آن‌ها نصب شده است و به مهاجم اجازه می‌دهند با کمترین محدودیت، حملات خود را سازماندهی کند و ساختار شبکه را تغییر دهد.
• قدرت زبان برنامه‌نویسی پایتون: پایتون یکی از محبوب‌ترین زبان‌های برنامه‌نویسی در جهان است که یادگیری آن نسبتا ساده است اما قدرت فوق‌العاده‌ای در مدیریت شبکه‌ی اینترنت دارد. هکرها از اسکریپت‌های پایتون (قطعه کدهای کوچکی که برای انجام یک وظیفه‌ی خاص، سریع و خودکار نوشته می‌شوند) برای ساخت ابزارهای اختصاصی خود استفاده می‌کنند. مثلا با چند خط کد پایتون، می‌توانند برنامه‌ای بسازند که به طور خودکار در اینترنت بگردد، دستگاه‌های آسیب‌پذیر خانگی را پیدا کند و آن‌ها را به شبکه‌ی بات‌نت متصل کند. در واقع پایتون به هکرها سرعت و انعطاف‌پذیری بی‌نظیری می‌دهد تا حملاتشان را متناسب با هر هدف جدیدی برنامه‌ریزی کنند.

راهکارهای عملی برای محافظت و مقابله با حملات DDoS

اکنون که می‌دانیم هکرها چگونه لشکرکشی می‌کنند و چه اهدافی دارند، زمان آن رسیده است که به فکر ساختن یک سپر دفاعی محکم باشیم. در دنیای پرنوسان رمزارزها و پلتفرم‌های دیجیتال، پیشگیری همیشه بهتر و ارزان‌تر از درمان است. شما نمی‌توانید منتظر بمانید تا سایت از کار بیفتد و تازه به دنبال راه چاره بگردید. در این بخش، قدم به قدم روش‌هایی را بررسی می‌کنیم که مانند دیوارهای یک قلعه‌ی مستحکم، از کسب‌وکار آنلاین شما در برابر این طوفان‌ها محافظت می‌کنند.

اهمیت سرعت عمل و مانیتورینگ دائمی ترافیک شبکه

اولین قدم برای دفاع، دیدن و تشخیص به موقع خطر است. شما باید همیشه بدانید چه کسانی در حال ورود به سایت شما هستند. این کار از طریق مانیتورینگ (Monitoring یا نظارت و بررسی لحظه‌ای وضعیت سلامت سیستم‌ها) انجام می‌شود.

اگر تیم امنیتی شما ترافیک ورودی را به صورت ۲۴ ساعته زیر نظر داشته باشد، می‌تواند در همان دقایق اولیه‌ی شروع یک هجوم غیرطبیعی، متوجه تغییرات شود. سرعت عمل در اینجا حرف اول را می‌زند؛ زیرا اگر در همان ابتدای کار جلوی سیلاب ترافیک مخرب گرفته نشود، خیلی زود سرور اصلی از نفس می‌افتد و دیگر فرصتی برای واکنش دفاعی باقی نمی‌ماند.

پیکربندی صحیح فایروال‌ها، مسدودسازی IPهای مشکوک و محدودسازی نرخ درخواست‌ها

فایروال (Firewall یا دیوار آتش که یک نرم‌افزار یا سخت‌افزار امنیتی برای کنترل ورود و خروج اطلاعات است) نقش نگهبان در ورودی ساختمان شما را بازی می‌کند. یک نگهبان آموزش‌دیده می‌داند چه کسی اجازه‌ی ورود دارد و چه کسی مشکوک است. برای مقابله با حملات شبکه‌ای، مدیران سایت از ترفندهای خاصی روی این فایروال‌ها استفاده می‌کنند:

• مسدودسازی آدرس‌های اینترنتی مشکوک: اگر سیستم متوجه شود که از یک منطقه‌ی جغرافیایی خاص (که اصلا مشتریان شما در آنجا حضور ندارند) رفتارهای مخربی سر می‌زند، بلافاصله در ورود را به روی آدرس‌های آن منطقه می‌بندد.
• محدودسازی نرخ درخواست (Rate Limiting): این یک تکنیک بسیار هوشمندانه است. با این روش، شما تعیین می‌کنید که هر کاربر مجاز است در یک دقیقه‌ی مشخص، فقط تعداد معینی روی لینک‌ها کلیک کند یا صفحات را تازه‌سازی کند. اگر کاربری بخواهد در یک ثانیه صدها بار این کار را انجام دهد، سیستم متوجه می‌شود که او انسان نیست و دسترسی‌اش را مسدود می‌کند.

استفاده از شبکه‌های توزیع محتوا CDN مانند کلادفلر Cloudflare به عنوان سپر محافظ

یکی از قدرتمندترین ابزارهای امروزی برای دفع حملات سایبری، شبکه‌ی توزیع محتوا (CDN یا شبکه‌ای از سرورهای قدرتمند و متصل به هم در سراسر جهان که نسخه‌ای از سایت شما را در خود ذخیره می‌کنند) است. پلتفرم‌های معروفی مانند کلادفلر ارائه‌دهنده‌ی این خدمات هستند.

اما این شبکه چگونه جلوی حمله را می‌گیرد؟ تصور کنید به جای اینکه کسب‌وکار شما فقط یک شعبه‌ی مرکزی داشته باشد، صدها شعبه‌ی کوچک در تمام کشورهای دنیا داشته باشد. وقتی کاربری (یا حتی هکری) می‌خواهد سایت شما را باز کند، به نزدیک‌ترین شعبه‌ی فیزیکی به خودش هدایت می‌شود. اگر هکری بخواهد یک حمله‌ی حجمی و سنگین انجام دهد، ترافیک مخرب او به جای اینکه مستقیما به سرور اصلی و آسیب‌پذیر شما برخورد کند، توسط صدها سرور قدرتمند کلادفلر در سراسر جهان جذب و پخش می‌شود. در واقع این شبکه‌ها مانند یک اسفنج غول‌پیکر عمل می‌کنند که تمام ضربات را به خود جذب کرده تا سرور اصلی شما در امنیت کامل به کار خود ادامه دهد.

کاربرد هوش مصنوعی و یادگیری ماشین در تشخیص رفتارهای غیرطبیعی

همان‌طور که هکرها پیشرفت کرده‌اند، سیستم‌های دفاعی هم هوشمندتر شده‌اند. امروزه مهاجمان ربات‌هایی می‌سازند که دقیقا رفتار انسان را تقلید می‌کنند تا از فایروال‌های معمولی عبور کنند. اینجاست که یادگیری ماشین (Machine Learning یا آموزش دادن به سیستم‌های کامپیوتری برای درک الگوها و تصمیم‌گیری خودکار) به کمک ما می‌آید.

هوش مصنوعی در سیستم‌های امنیتی می‌تواند میلیون‌ها داده را در کسری از ثانیه تحلیل کند. این کارآگاه هوشمند الگوی رفتاری مشتریان واقعی را می‌شناسد؛ او می‌داند که یک انسان واقعی چگونه در سایت جستجو می‌کند، چقدر طول می‌کشد تا رمز عبور خود را وارد کند و چطور صفحات را می‌خواند. اگر درخواستی وارد سایت شود که ظاهر انسانی دارد اما با سرعت و الگوی ریاضی یک ربات رفتار می‌کند، هوش مصنوعی بلافاصله مچ او را می‌گیرد و اتصال را قطع می‌کند.

معماری سرویس‌های آنتی دیداس Anti-DDoS و نحوه‌ی پالایش ترافیک مخرب

وقتی پای صرافی‌های ارز دیجیتال مثل کیف پول من و نهادهای مالی در میان باشد، گاهی مقیاس حملات آن‌قدر وسیع است که فایروال‌های ساده پاسخگو نیستند. در این شرایط از معماری پیشرفته‌ی آنتی دیداس استفاده می‌شود.

قلب تپنده‌ی این معماری، مراکزی به نام مرکز پالایش (Scrubbing Center یا ایستگاه‌های امنیتی که ترافیک اینترنت را قبل از رسیدن به سایت فیلتر و تمیز می‌کنند) هستند. کار این ایستگاه‌ها دقیقا شبیه به یک تصفیه‌خانه‌ی آب شهری است:

• ابتدا تمام ترافیک ورودی سایت (هم کاربران واقعی و هم زامبی‌های مهاجم) به سمت این تصفیه‌خانه هدایت می‌شود.
• در داخل مرکز پالایش، ترافیک کثیف و مخرب توسط فیلترهای چندلایه‌ی فوق‌پیشرفته شناسایی، جدا و دور ریخته می‌شود.
• در نهایت، تنها ترافیک تمیز (مشتریان و تریدرهای واقعی) از یک مسیر امن به سمت سرور اصلی شما جریان پیدا می‌کند، بدون اینکه مشتری حتی متوجه شود که در پس‌زمینه، یک نبرد سایبری در حال وقوع بوده است.

تاریخچه، ابعاد قانونی و درس‌های عبرت از حملات سایبری

بررسی گذشته همیشه راهگشای آینده است. در دنیای امنیت سایبری و پلتفرم‌های دیجیتال، نگاهی به تاریخچه‌ی حملات شبکه‌ای به ما نشان می‌دهد که هکرها تا چه حد می‌توانند خلاق و مخرب باشند. این حملات نه تنها یک مشکل فنی ساده نیستند، بلکه جرایم سنگینی محسوب می‌شوند که اقتصاد دیجیتال را تهدید می‌کنند. در این بخش، می‌خواهیم پرونده‌ی چند مورد از بزرگ‌ترین حملات سایبری را باز کنیم و ببینیم قانون چه برخوردی با این مجرمان دارد.

مروری بر مخرب‌ترین و بزرگ‌ترین حملات دیداس ثبت شده در جهان

برای درک قدرت واقعی این حملات، کافی است نگاهی به چند رویداد تاریخی بیندازیم که در آن‌ها، بخش بزرگی از اینترنت جهان برای ساعت‌ها فلج شد. این اتفاقات به شرکت‌های بزرگ یادآوری کردند که هیچ‌کس از خطر در امان نیست:

• حمله‌ی بدافزار میرای در سال 2016: این اتفاق یکی از مشهورترین درس‌های عبرت در دنیای تکنولوژی است. هکرها با استفاده از ویروسی به نام میرای (Mirai)، به جای هک کردن رایانه‌ها، صدها هزار دستگاه ساده‌ی خانگی مثل دوربین‌های مداربسته و مودم‌ها را آلوده کردند. آن‌ها این ارتش زامبی را به سمت شرکتی به نام داین (Dyn) فرستادند. شرکت داین یک ارائه‌دهنده‌ی خدمات دی‌ان‌اس (DNS یا دفترچه‌ی تلفن اینترنت که نام سایت را به آدرس رایانه‌ای تبدیل می‌کند) بود. با از کار افتادن داین، سایت‌های غول‌پیکری مثل توییتر، ردیت و نتفلیکس برای ساعت‌ها از دسترس خارج شدند.
• حمله‌ی عظیم به پلتفرم گیت‌هاب در سال 2018: گیت‌هاب (پایگاه اصلی برنامه‌نویسان جهان برای ذخیره و اشتراک‌گذاری کدها) هدف یک حمله‌ی بسیار سنگین قرار گرفت. در این حمله، هکرها از تکنیک تقویت‌سازی (Amplification یا روشی که در آن هکر یک درخواست کوچک به سرورهای شخص ثالث می‌فرستد اما پاسخ بسیار حجیم‌تری را به سمت سایت هدف کمانه می‌کند) استفاده کردند. خوشبختانه سیستم‌های دفاعی گیت‌هاب توانستند پس از حدود 20 دقیقه، این حمله‌ی بی‌سابقه را مهار کنند.
• حملات لایه‌ی کاربردی به خدمات ابری آمازون در سال 2020: شرکت آمازون که میزبان بخش بزرگی از سایت‌های اینترنتی است، با یک هجوم باورنکردنی از ترافیک مخرب روبرو شد. این حمله روزها به طول انجامید و هدف آن از کار انداختن سرورهای زیرساختی بود، اما معماری قدرتمند آمازون توانست در برابر آن مقاومت کند. این رویداد نشان داد که داشتن سپرهای دفاعی خودکار و هوشمند چقدر برای بقای شرکت‌ها ضروری است.

بررسی مجازات قانونی و جرایم مرتبط با حملات دیداس در ایران و سطح بین‌الملل

شاید برخی افراد تصور کنند که اجرای یک حمله‌ی دیداس صرفا یک شیطنت رایانه‌ای است، اما در چشم قانون، این کار یک جرم سایبری بسیار جدی با مجازات‌های سنگین محسوب می‌شود. فرقی نمی‌کند که هدف یک سایت نوپا باشد یا یک صرافی بزرگ ارز دیجیتال؛ تخریب عمدی زیرساخت‌های شبکه‌ای در تمام جهان جرم است.

• در سطح بین‌الملل: آژانس‌های امنیتی مانند پلیس بین‌الملل (اینترپل) و نهادهای قانونی کشورهای مختلف به شدت با اپراتورهای بات‌نت و کسانی که سرویس‌های حمله را اجاره می‌دهند، برخورد می‌کنند. در بسیاری از کشورها مانند ایالات متحده و کشورهای اروپایی، اجرای حمله‌ی دیداس می‌تواند جریمه‌های مالی چند صد هزار دلاری و تا ده سال حبس به همراه داشته باشد. حتی پرداخت پول برای اجاره‌ی این حملات (مثلا برای ضربه زدن به یک رقیب تجاری) نیز جرم تلقی شده و پیگرد قانونی دارد.
• در قانون جمهوری اسلامی ایران: در ایران نیز قوانینی کاملا شفاف و سخت‌گیرانه در این زمینه وجود دارد. بر اساس قانون جرایم رایانه‌ای (مشخصا در بخش‌های مرتبط با تخریب و اخلال در داده‌ها یا سیستم‌های رایانه‌ای و مخابراتی)، هرگونه اقدامی که باعث از کار افتادن یا کندی غیرطبیعی خدمات عمومی یا خصوصی در بستر اینترنت شود، جرم محسوب می‌شود. مجازات این اعمال شامل موارد زیر است:
  • حبس: بسته به میزان خسارت وارد شده به کسب‌وکارها و نهادها، مجرم ممکن است به حبس از شش ماه تا چندین سال محکوم شود.
  • جریمه‌ی نقدی: علاوه بر حبس، فرد مهاجم موظف به پرداخت جریمه‌های نقدی به دولت است.
  • جبران خسارت: یکی از مهم‌ترین بخش‌های قانون این است که هکر باید تمام خسارت‌های مالی که به دلیل قطعی سایت به صاحب کسب‌وکار (مثلا ضرر ناشی از توقف معاملات در یک صرافی رمزارز) وارد شده است را به طور کامل از جیب خود جبران کند.

به عنوان یک کاربر علاقه‌مند به تکنولوژی، بسیار مهم است بدانید که حتی آزمایش کردن ابزارهای تست نفوذ روی سایت دیگران بدون اجازه‌ی کتبی و رسمی آن‌ها، از نظر قانونی کاملا دردسرساز است. امنیت سایبری خیابانی دوطرفه است؛ ما همان‌طور که باید یاد بگیریم از کسب‌وکار و دارایی‌های دیجیتال خودمان محافظت کنیم، موظف هستیم به حریم دیجیتال دیگران نیز احترام بگذاریم.

جمع‌بندی نکات کلیدی برای ارتقای امنیت سایبری

در این مقاله با هم به دنیای پیچیده اما جذاب امنیت شبکه‌های کامپیوتری سفر کردیم و دیدیم که یک حمله‌ی سایبری چگونه می‌تواند کسب‌وکارهای آنلاین و صرافی‌های رمزارز را با چالش‌های جدی روبرو کند. درست همان‌طور که در دنیای واقعی برای محافظت از خانه‌ی خود به قفل، دزدگیر و نگهبان نیاز داریم، در فضای دیجیتال نیز دارایی و سرمایه‌ی اصلی ما، یعنی اطلاعات و دسترسی پایدار کاربران، نیازمند مراقبت دائمی و هوشمندانه است.

برای مرور سریع و تثبیت این مفاهیم، بیایید مهم‌ترین نکاتی را که برای ارتقای امنیت سایبری (محافظت از شبکه‌ها، سیستم‌ها و داده‌ها در برابر دسترسی‌های غیرمجاز و حملات اینترنتی) یاد گرفتیم، با هم دسته‌بندی کنیم:

• پیشگیری همیشه ارزان‌تر و بهتر از درمان است: منتظر نمانید تا وب‌سایت یا پلتفرم مالی شما تحت حمله قرار بگیرد و سپس به فکر چاره بیفتید. استفاده از فایروال‌های قدرتمند و شبکه‌های توزیع محتوا باید از همان روز اول راه‌اندازی کسب‌وکار در اولویت معماری سیستم قرار بگیرد.
• اهمیت حیاتی نظارت لحظه‌ای: سیستم‌های مانیتورینگ (نرم‌افزارها و ابزارهایی که ترافیک ورود و خروج سایت را ثانیه به ثانیه بررسی می‌کنند) چشم‌های همیشه بیدار کسب‌وکار شما هستند. تشخیص به موقع یک ترافیک غیر طبیعی و مشکوک، کلید طلایی برای خنثی کردن حمله پیش از وقوع بحران است.
• مسئولیت پذیری در قبال دستگاه‌های هوشمند: همان‌طور که یاد گرفتیم، مهاجمان از دستگاه‌های ساده‌ی اینترنت اشیا (لوازم خانگی هوشمند و روزمره که به اینترنت متصل می‌شوند) برای ساخت ارتش زامبی‌های خود استفاده می‌کنند. تغییر رمز عبور پیش‌فرض مودم، دوربین‌های مداربسته و سایر تجهیزات خانه‌ی شما، یک قدم بسیار بزرگ برای امن‌تر کردن کل شبکه‌ی جهانی اینترنت است.
• انتخاب پلتفرم‌های امن برای معامله: اگر یک تریدر (معامله‌گر و سرمایه‌گذار در بازارهای مالی) هستید، امنیت باید خط قرمز شما باشد. همیشه سرمایه‌ی خود را در صرافی‌ها و پلتفرم‌هایی مدیریت کنید که به طور شفاف از زیرساخت‌های ضد حمله‌ی پیشرفته استفاده می‌کنند تا در زمان نوسانات شدید بازار، اسیر قطعی‌های ناگهانی نشوید.

در نهایت، به یاد داشته باشید که در دنیای پرسرعت و در حال تغییر اینترنت و ارزهای دیجیتال، آگاهی داشتن و به‌روز نگه داشتن اطلاعات، بهترین و قدرتمندترین سپر دفاعی شماست. با رعایت همین اصول پایه‌ای، می‌توانید تجربه‌ی بسیار امن‌تری در فضای دیجیتال داشته باشید.

منابع:

Global Sign

Cloudflare