دليل شامل حول هجمات الحرمان الموزع (DDoS): ما هي وكيفية حماية نفسك

ما هي هجمة الحرمان الموزع (DDoS)؟

هجمة الحرمان الموزع (DDoS) هي محاولة من قِبل المهاجم لعرقلة تقديم خدمة عبر الإنترنت للمستخدمين. يمكن القيام بذلك عن طريق حجب الوصول إلى كل شيء تقريبًا مثل الخوادم، والشبكات، والأجهزة، والخدمات، والتطبيقات، وحتى المعاملات المحددة داخل التطبيقات.

يمكن اعتبار هجمات DDoS نوعًا من هجمات الحرمان من الخدمة (DoS) حيث يستخدم المهاجم أو مجموعة من المهاجمين أجهزة متعددة لتنفيذ هجمة DoS في نفس الوقت.

الفرق الرئيسي بين هجمات DoS وهجمات DDoS هو أن الأولى تستخدم نظامًا واحدًا لإرسال بيانات أو طلبات ضارة، بينما تُرسل هجمة DDoS من أنظمة متعددة، مما يزيد من قوتها وفعاليتها.

تستهدف هجمات DDoS ضحايا على جميع المستويات من خلال حجب وصولهم التام إلى الأنظمة وحتى اللجوء إلى الابتزاز لوقف الهجمة.

تعد البنوك، والمواقع الإلكترونية، وتجار التجزئة عبر الإنترنت، وقنوات الأخبار من بين الأهداف الرئيسية للمهاجمين، مما يجعل من الصعب ضمان أنه يمكن الوصول إلى المعلومات الحساسة ونشرها بأمان.

من الصعب اكتشاف ومنع هذه الهجمات الـ DDoS لأن الحركة التي تولدها صعبة التتبع ويسهل الخلط بينها وبين حركة المرور الشرعية.

كيف تعمل هجمة DDoS؟

تُنفذ معظم هجمات DDoS من خلال شبكات البوتنت، وهي شبكات كبيرة من أجهزة الإنترنت الذكية والأجهزة المصابة بالبرمجيات الخبيثة وغيرها من الأجهزة المتصلة بالإنترنت تحت سيطرة القراصنة.

يأمر المهاجم الأجهزة في شبكة البوتنت بإرسال كميات هائلة من طلبات الاتصال إلى موقع ويب محدد أو عنوان IP لخادم.

تُغرق هذه الهجمة الموقع أو الخدمة عبر الإنترنت بحركة مرور أكثر مما يمكن للخادم أو الشبكة التعامل معها. النتيجة النهائية هي أن تلك المواقع أو الخدمات عبر الإنترنت تصبح غير متاحة للمستخدمين بسبب الضغط الشديد على عرض النطاق الترددي للإنترنت وسعة الذاكرة العشوائية (RAM) وقدرة وحدة المعالجة المركزية (CPU).

يمكن أن يتراوح تأثير هذه الهجمات الـ DDoS من الإزعاج الطفيف وانقطاع الخدمات إلى إسقاط مواقع ويب كاملة أو تطبيقات أو حتى أعمال تجارية بأكملها.

تأثيرات هجمات الحرمان الموزع (DDoS)

يمكن أن تؤثر هجمات DDoS على الضحايا بعدة طرق.

• الخسائر المالية
• الضرر بالسمعة
• فقدان البيانات
• الضرر بثقة العملاء
• التأثير على الخدمات الأساسية
• التكاليف المباشرة وغير المباشرة المتعلقة بإعادة تشغيل الأنظمة
• التأثير على الأطراف الثالثة

الأنواع الأساسية لهجمات DDoS

تندرج هجمات DDoS عمومًا تحت واحدة أو أكثر من الفئات، مع بعض الهجمات المتقدمة التي تجمع بين الهجمات على متجهات مختلفة. إليكم الفئات الثلاث الرئيسية لهجمات DDoS.

1. الهجمات الحجمية

هذا هو النوع الكلاسيكي من هجمات DDoS، حيث تُستخدم طرق لتوليد كميات كبيرة من حركة المرور الوهمية لإغراق عرض النطاق الترددي لموقع ويب أو خادم بالكامل. تجعل هذه الحركة المزيفة من المستحيل على حركة المرور الحقيقية الدخول أو الخروج من الموقع المستهدف. تشمل هذه الهجمات هجمات الفيضان بـ UDP، و ICMP، والحزم المزورة. يُقاس حجم الهجمات الحجمية بالبتات في الثانية (BPS).

2. هجمات البروتوكول

هذه الهجمات أكثر تركيزًا وتستغل نقاط الضعف في موارد الخادم. تستهلك الموارد الحالية للخادم أو معدات الاتصال الوسيطة مثل جدران الحماية وأجهزة توازن الحمل وترسل حزمًا كبيرة إليها. عادةً ما تشمل هذه الهجمات فيضانات SYN، و Ping of Death، وهجمات الحزم المجزأة، و Smurf DDoS، وغيرها، ويُقاس حجمها بالحزم في الثانية (PPS).

3. هجمات طبقة التطبيقات

هذه هي النوع الأكثر تطورًا من هجمات DDoS، والتي تستهدف تطبيقات ويب معينة. يتم تنفيذها من خلال إغراق التطبيقات بطلبات ضارة. يُقاس حجم هذه الهجمات بالطلبات في الثانية (RRS).

أساليب هجمات الحرمان الموزع (DDoS)

1. فيضانات UDP و ICMP

هذه هي أكثر أساليب الهجوم شيوعًا التي تندرج تحت الهجمات الحجمية. تغرق هجمات UDP الموارد المضيفة بحزم بروتوكول بيانات المستخدم (UDP). في المقابل، تقوم هجمات ICMP بنفس الأمر باستخدام حزم طلب صدى بروتوكول التحكم في رسائل الإنترنت (ICMP) (ping) حتى يتم إغراق الخدمة.

علاوة على ذلك، يميل المهاجمون إلى استخدام هجمات الانعكاس لزيادة تدفق الحركة المدمرة لهذه الفيضانات حيث يتم تزوير عنوان IP الخاص بالضحية لجعل طلب UDP أو ICMP. يتم إرسال الرد إلى الخادم نفسه لأن الحزمة الضارة تبدو وكأنها قادمة من الضحية. بهذه الطريقة، تستهلك هذه الهجمات كلاً من عرض النطاق الترددي الوارد والصادر.

2. تضخيم DNS

كما يوحي الاسم، تتضمن هذه الهجمات إرسال العديد من طلبات البحث DNS لجعل الشبكة غير فعالة. يستنزف التضخيم عرض النطاق الترددي للخادم من خلال توسيع تدفق حركة المرور الصادر.

يتم ذلك عن طريق إرسال طلبات معلومات إلى الخادم والتي تؤدي إلى إخراج كميات كبيرة من البيانات كرد، ثم توجيه تلك البيانات مباشرة إلى الخادم عن طريق تزوير عنوان الرد.

لذا، يرسل المهاجم العديد من الحزم الصغيرة نسبيًا إلى خادم DNS عام من خلال مصادر متعددة من شبكة البوتنت. جميعها طلبات للحصول على رد طويل، مثل طلبات البحث عن اسم DNS. ثم يرد خادم DNS على كل هذه الطلبات المنتشرة بحزم رد تحتوي على كميات كبيرة من البيانات أكثر بكثير من حزمة الطلب الأولية، مع إعادة كل تلك البيانات مباشرة إلى خادم DNS الخاص بالضحية.

3. Ping of Death

هذه هي هجمة بروتوكول أخرى حيث يرسل المهاجم العديد من الطلبات الخبيثة أو المشوهة إلى جهاز كمبيوتر. على الرغم من أن الحد الأقصى لطول حزمة IP هو 65,535 بايت، إلا أن طبقة الربط البياني تحدد الحجم الأقصى للإطار المسموح به عبر شبكة إيثرنت.

لذلك، يتم تقسيم حزمة IP كبيرة إلى عدة حزم (تسمى الشظايا)، ويعيد المضيف المستقبل تجميع هذه الشظايا لإنشاء حزمة كاملة. في حالة Ping of Death، ينتهي المضيف بحزمة IP أكبر من 65,535 بايت عند محاولة إعادة تجميع شظايا الطلبات الخبيثة. هذا يتسبب في تجاوز حدود مخازن الذاكرة المخصصة للحزمة، مما يؤدي إلى حرمان الخدمة حتى لحزم البيانات الشرعية.

4. فيضان SYN

فيضان SYN هو واحد من أكثر هجمات البروتوكول شيوعًا التي تتجاوز عملية المصافحة الثلاثية اللازمة لإقامة اتصالات TCP بين العملاء والخوادم.

عادةً ما يتم إقامة هذه الاتصالات مع العميل الذي يرسل طلب مزامنة (SYN) أولي للخادم، يرد الخادم برد تأكيد (SYN-ACK)، ويكمل العميل المصافحة بإقرار نهائي (ACK).

تعمل هجمات فيضان SYN عن طريق إجراء سلسلة سريعة من تلك الطلبات المبدئية للمزامنة وترك الخادم معلقًا من خلال عدم الرد بإقرار نهائي. في النهاية، يُطلب من الخادم الاحتفاظ بالعديد من الاتصالات نصف المفتوحة التي تغرق الموارد في النهاية حتى ينهار الخادم.

5. فيضان HTTP

هذه واحدة من أكثر أنواع هجمات طبقة التطبيقات شيوعًا. حيث يقوم المجرم بإجراء تفاعلات تبدو طبيعية مع خادم ويب أو تطبيق.

على الرغم من أن جميع هذه التفاعلات تأتي من متصفحات الويب لتبدو مثل نشاط المستخدم العادي، إلا أنها مُرتبة لاستهلاك أكبر قدر ممكن من موارد الخادم.

يمكن أن تشمل الطلبات التي يقوم بها المهاجم أي شيء من استدعاء عناوين URL للوثائق أو الصور باستخدام طلبات GET إلى جعل الخادم يعالج المكالمات إلى قاعدة البيانات باستخدام طلبات POST.

غالبًا ما يتم بيع خدمات هجمات DDoS على الويب المظلم.

كيفية اكتشاف هجمة الحرمان الموزع (DDoS)

غالبًا ما تبدو هجمات DDoS مثل أمور غير ضارة يمكن أن تخلق مشكلات في توفر الخدمة. على سبيل المثال، قد تبدو مثل خادم معطل أو نظام، أو طلبات كثيرة جدًا من المستخدمين الفعليين، أو أحيانًا كابل مقطوع. لذلك، ستحتاج دائمًا إلى تحليل حركة المرور لتحديد ما يحدث.

إذا كنت ضحية لهجمة DDoS، ستلاحظ ارتفاعًا مفاجئًا في حركة المرور الواردة، مما يؤدي إلى تعطل الخادم تحت الضغط. علاوة على ذلك، إذا قمت بزيارة موقع ويب تحت هجمة DDoS، فسيتم تحميله ببطء شديد أو سيظهر خطأ 503 “الخدمة غير متوفرة”. على الأرجح لن تتمكن من الوصول إلى ذلك الموقع حتى يتم إيقاف الهجمة.

أعراض هجمات DDoS

بطء موقع أو خدمة هو أكثر أعراض هجمة DDoS وضوحًا. تشمل الأعراض الشائعة لهجمة DDoS:

• بطء الوصول إلى الملفات الموجودة محليًا أو عن بُعد
• عدم القدرة على الوصول إلى موقع ويب محدد لفترة طويلة
• كمية هائلة من حركة المرور من مصدر محدد أو عنوان IP
• تدفق حركة المرور من المستخدمين الذين يظهرون سلوكًا مشابهًا، ونوع الجهاز، والمتصفح، والموقع
• ارتفاع مفاجئ وغير طبيعي في الطلبات إلى صفحة معينة
• مشاكل في الوصول إلى جميع المواقع الإلكترونية
• كميات كبيرة من رسائل البريد الإلكتروني المزعجة
• انقطاع الإنترنت

على الرغم من أن زيادة حركة المرور الشرعية يمكن أن تسبب أيضًا مشكلات في الأداء، إلا أنه من الضروري إجراء تحقيق أكثر تعمقًا. خصوصًا عندما تبدو حركة المرور غير طبيعية.

مثال: تجربة متجر على الإنترنت ارتفاعًا في حركة المرور بعد مبيعات الجمعة السوداء، وعيد الميلاد، وما إلى ذلك. بالإضافة إلى الأعراض المذكورة أعلاه، تظهر هجمات DDoS أعراضًا محددة اعتمادًا على نوع الهجمة.

علاوة على ذلك، إذا استخدمت شبكة البوتنت جهاز الكمبيوتر الخاص بك لتنفيذ هجمة DDoS، فسيظهر العلامات التحذيرية التالية.

• انخفاض مفاجئ في الأداء
• تعطل النظام
• رسائل الخطأ المتكررة
• سرعة الإنترنت بطيئة للغاية

كيفية حماية نفسك من هجمات الحرمان الموزع (DDoS)

حماية نفسك من هجمة DDoS يمكن أن تكون مهمة صعبة. يجب على المنظمات التخطيط بشكل جيد للدفاع ومنع مثل هذه الهجمات.

تحديد نقاط الضعف لديك هو المفتاح والخطوة الأولى في أي استراتيجية حماية. بخلاف ذلك، فإن الخطوات المذكورة أدناه ستساعد في تقليل سطح الهجوم لدى المنظمة وتخفيف الضرر الناجم عن هجمة DDoS.

1. اتخاذ إجراءات سريعة من خلال إبلاغ مزود خدمة الإنترنت، والحصول على مزود احتياطي، وإعادة توجيه حركة المرور.
2. تكوين جدران الحماية وأجهزة التوجيه للمساعدة في رفض حركة المرور الوهمية كطبقة أولى من الدفاع.
3. حماية الأجهزة الفردية من خلال تثبيت برمجيات الأمان أو مكافحة الفيروسات مع آخر تحديثات الأمان.
4. تحليل بنية التطبيق وتنفيذه. يجب تنفيذ التطبيق بحيث لا تستنزف أفعال المستخدم موارد النظام أو تستهلك بشكل مفرط مكونات التطبيق.
5. مراقبة حركة المرور على الشبكة للحصول على تنبيهات حول الزيادات المفاجئة في حركة المرور على الشبكة. سيساعد ذلك في تحديد هجمات DoS المستهدفة للشبكة. ستكون قادرًا على اكتساب رؤية إضافية من خلال تحليل مصدر حركة المرور.
6. مراقبة صحة النظام واستجابته من خلال إجراء فحوصات صحية متكررة لتحديد هجمات DoS المستهدفة للنظام.
7. تقييم صحة التطبيق واستجابته من خلال إجراء فحوصات صحية متكررة على مكونات التطبيق. يمكن أن يساعد ذلك في تحديد هجمات DDoS المستهدفة للتطبيقات.
8. إنشاء خطة تخفيف. تحتاج أنواع مختلفة من هجمات DDoS إلى استراتيجيات مختلفة للتخفيف. يقدم العديد من المزودين الآن استراتيجيات وآليات لمنع هجمات DDoS. لذا فكر فيما إذا كانت استراتيجيات وآليات مزودك تلبي احتياجاتك جيدًا.

بالإضافة إلى ذلك، فإن ممارسة عادات الأمان على الإنترنت ستمنع أجهزتك من استخدامها في شبكات البوتنت.

استخدم كلمات مرور قوية

استخدم كلمات مرور طويلة وفريدة وصعبة التخمين لجميع حساباتك. بالإضافة إلى ذلك، يمكنك استخدام مدير كلمات مرور لتخزين كلمات المرور ومزامنتها بأمان عبر أجهزتك.

استخدم البرمجيات المحدثة

البرمجيات القديمة مليئة بالثغرات التي يمكن للقراصنة استخدامها للدخول إلى نظامك. لذلك، قم دائمًا بتحديث البرمجيات وتثبيت التحديثات والبقع التي يصدرها مزودو البرمجيات في أقرب وقت ممكن. غالبًا ما تُبنى هذه التحديثات لمعالجة مختلف الثغرات الأمنية.

كن حذرًا من الروابط والمرفقات الغريبة

يحاول المجرمون السيبرانيون جعلك تقوم بتحميل برمجياتهم الخبيثة باستخدام رسائل البريد الإلكتروني التي تحتوي على روابط أو مرفقات ضارة. لذا لا تتفاعل مع تلك الرسائل إذا كنت لا تعرف المرسل. علاوة على ذلك، يمكنك استخدام أداة أمان البريد الإلكتروني لفحص مرفقات البريد الإلكتروني بحثًا عن البرمجيات الخبيثة.

استخدم جدار حماية

جدار الحماية قادر على منع الوصول من وإلى المصادر غير المصرح بها. علاوة على ذلك، يمكن لجدار حماية ذكي منع القراصنة من التواصل مع أجهزتك إذا حاولوا إصابتها ببرمجيات البوتنت الخبيثة.

الخلاصة

توفر هجمات الحرمان الموزع (DDoS) وسيلة للمتسللين لجعل موقع ويب أو خدمة عبر الإنترنت غير متاحة لفترة معينة أو لأجل غير مسمى.

تختلف هذه الهجمات اختلافًا كبيرًا في تعقيدها ويمكن أن تؤثر بشدة على الأعمال التجارية أو المنظمات المستهدفة. لذلك، يجب على الأعمال والمنظمات عبر الإنترنت اتخاذ كل خطوة ممكنة للتقليل من هجمات DDoS وتأمين أنظمتها.

الأسئلة المتكررة

لماذا يجب على المتخصصين في الأمن السيبراني القلق بشأن هجمات DDoS؟
يمكن أن تضر هجمات DDoS بشكل كبير توفر الموارد الأونلاين الحيوية وتعمل كآلية خادعة لتنفيذ أنشطة غير قانونية أخرى على الشبكة.

لماذا يصعب منع هجمات DDoS باستخدام أشكال التصفية الأمنية السيبرانية التقليدية؟

نظرًا لأن هجمات DDoS تتم بطريقة موزعة باستخدام أنظمة متعددة، فمن الصعب حجب حركة المرور الضارة بإغلاق وسيلة معينة.

ما هو دور شبكة البوتنت في هجمة DDoS؟

شبكات البوتنت هي شبكات من الأجهزة المخترقة التي يتحكم بها المجرمون السيبرانيون، والتي تُعرف أحيانًا باسم البوتات أو الزومبي. يمكن أن تشمل هذه الأجهزة المخترقة أجهزة مثل أجهزة الكمبيوتر المكتبية، والمحمولة، والخوادم، وأجهزة الإنترنت الأشياء. يتواصل المهاجمون مع هذه الآلات ويجمعونها لتوليد مصادر موزعة من حركة المرور الضارة لإغراق بنية الشركة التحتية.