في هذا الدليل، سنناقش مجموعة واسعة من الموضوعات المتعلقة بهجمات الحرمان الموزع (DDoS)، بما في ذلك ماهية هجمة DDoS، كيف تعمل، أنواع هجمات DDoS، تأثيرات هجمات DDoS، وكيفية الدفاع ضد هجمات DDoS.
ملخص سريع
هجمات الحرمان الموزع (DDoS) كانت سلاحًا قويًا على الإنترنت لمدة عشرين عامًا. تطورت هذه الهجمات لتصبح أكثر انتشارًا وقوة مع مرور الوقت، والآن أصبحت واحدة من أكبر التهديدات لأي شركة تدير أعمالها عبر الإنترنت.
بشكل عام، تعمل هجمات DDoS عن طريق إغراق موقع ويب أو خدمة عبر الإنترنت بحركة مرور أكثر مما يمكن للخادم أو الشبكة التعامل معها. تهدف هجمة DDoS إلى جعل ذلك الموقع أو الخدمة عبر الإنترنت غير متاحة للمستخدمين. يعتمد المهاجمون عادةً على شبكات البوتنت، وهي شبكات تتكون من أجهزة كمبيوتر مصابة ببرمجيات خبيثة وتُتحكم بها مركزيًا.
هجمة الحرمان الموزع (DDoS) هي محاولة من قِبل المهاجم لعرقلة تقديم خدمة عبر الإنترنت للمستخدمين. يمكن القيام بذلك عن طريق حجب الوصول إلى كل شيء تقريبًا مثل الخوادم، والشبكات، والأجهزة، والخدمات، والتطبيقات، وحتى المعاملات المحددة داخل التطبيقات.
يمكن اعتبار هجمات DDoS نوعًا من هجمات الحرمان من الخدمة (DoS) حيث يستخدم المهاجم أو مجموعة من المهاجمين أجهزة متعددة لتنفيذ هجمة DoS في نفس الوقت.
الفرق الرئيسي بين هجمات DoS وهجمات DDoS هو أن الأولى تستخدم نظامًا واحدًا لإرسال بيانات أو طلبات ضارة، بينما تُرسل هجمة DDoS من أنظمة متعددة، مما يزيد من قوتها وفعاليتها.
تستهدف هجمات DDoS ضحايا على جميع المستويات من خلال حجب وصولهم التام إلى الأنظمة وحتى اللجوء إلى الابتزاز لوقف الهجمة.
تعد البنوك، والمواقع الإلكترونية، وتجار التجزئة عبر الإنترنت، وقنوات الأخبار من بين الأهداف الرئيسية للمهاجمين، مما يجعل من الصعب ضمان أنه يمكن الوصول إلى المعلومات الحساسة ونشرها بأمان.
من الصعب اكتشاف ومنع هذه الهجمات الـ DDoS لأن الحركة التي تولدها صعبة التتبع ويسهل الخلط بينها وبين حركة المرور الشرعية.
تُنفذ معظم هجمات DDoS من خلال شبكات البوتنت، وهي شبكات كبيرة من أجهزة الإنترنت الذكية والأجهزة المصابة بالبرمجيات الخبيثة وغيرها من الأجهزة المتصلة بالإنترنت تحت سيطرة القراصنة.
يأمر المهاجم الأجهزة في شبكة البوتنت بإرسال كميات هائلة من طلبات الاتصال إلى موقع ويب محدد أو عنوان IP لخادم.
تُغرق هذه الهجمة الموقع أو الخدمة عبر الإنترنت بحركة مرور أكثر مما يمكن للخادم أو الشبكة التعامل معها. النتيجة النهائية هي أن تلك المواقع أو الخدمات عبر الإنترنت تصبح غير متاحة للمستخدمين بسبب الضغط الشديد على عرض النطاق الترددي للإنترنت وسعة الذاكرة العشوائية (RAM) وقدرة وحدة المعالجة المركزية (CPU).
يمكن أن يتراوح تأثير هذه الهجمات الـ DDoS من الإزعاج الطفيف وانقطاع الخدمات إلى إسقاط مواقع ويب كاملة أو تطبيقات أو حتى أعمال تجارية بأكملها.
يمكن أن تؤثر هجمات DDoS على الضحايا بعدة طرق.
تندرج هجمات DDoS عمومًا تحت واحدة أو أكثر من الفئات، مع بعض الهجمات المتقدمة التي تجمع بين الهجمات على متجهات مختلفة. إليكم الفئات الثلاث الرئيسية لهجمات DDoS.
1. الهجمات الحجمية
هذا هو النوع الكلاسيكي من هجمات DDoS، حيث تُستخدم طرق لتوليد كميات كبيرة من حركة المرور الوهمية لإغراق عرض النطاق الترددي لموقع ويب أو خادم بالكامل. تجعل هذه الحركة المزيفة من المستحيل على حركة المرور الحقيقية الدخول أو الخروج من الموقع المستهدف. تشمل هذه الهجمات هجمات الفيضان بـ UDP، و ICMP، والحزم المزورة. يُقاس حجم الهجمات الحجمية بالبتات في الثانية (BPS).
2. هجمات البروتوكول
هذه الهجمات أكثر تركيزًا وتستغل نقاط الضعف في موارد الخادم. تستهلك الموارد الحالية للخادم أو معدات الاتصال الوسيطة مثل جدران الحماية وأجهزة توازن الحمل وترسل حزمًا كبيرة إليها. عادةً ما تشمل هذه الهجمات فيضانات SYN، و Ping of Death، وهجمات الحزم المجزأة، و Smurf DDoS، وغيرها، ويُقاس حجمها بالحزم في الثانية (PPS).
3. هجمات طبقة التطبيقات
هذه هي النوع الأكثر تطورًا من هجمات DDoS، والتي تستهدف تطبيقات ويب معينة. يتم تنفيذها من خلال إغراق التطبيقات بطلبات ضارة. يُقاس حجم هذه الهجمات بالطلبات في الثانية (RRS).
1. فيضانات UDP و ICMP
هذه هي أكثر أساليب الهجوم شيوعًا التي تندرج تحت الهجمات الحجمية. تغرق هجمات UDP الموارد المضيفة بحزم بروتوكول بيانات المستخدم (UDP). في المقابل، تقوم هجمات ICMP بنفس الأمر باستخدام حزم طلب صدى بروتوكول التحكم في رسائل الإنترنت (ICMP) (ping) حتى يتم إغراق الخدمة.
علاوة على ذلك، يميل المهاجمون إلى استخدام هجمات الانعكاس لزيادة تدفق الحركة المدمرة لهذه الفيضانات حيث يتم تزوير عنوان IP الخاص بالضحية لجعل طلب UDP أو ICMP. يتم إرسال الرد إلى الخادم نفسه لأن الحزمة الضارة تبدو وكأنها قادمة من الضحية. بهذه الطريقة، تستهلك هذه الهجمات كلاً من عرض النطاق الترددي الوارد والصادر.
2. تضخيم DNS
كما يوحي الاسم، تتضمن هذه الهجمات إرسال العديد من طلبات البحث DNS لجعل الشبكة غير فعالة. يستنزف التضخيم عرض النطاق الترددي للخادم من خلال توسيع تدفق حركة المرور الصادر.
يتم ذلك عن طريق إرسال طلبات معلومات إلى الخادم والتي تؤدي إلى إخراج كميات كبيرة من البيانات كرد، ثم توجيه تلك البيانات مباشرة إلى الخادم عن طريق تزوير عنوان الرد.
لذا، يرسل المهاجم العديد من الحزم الصغيرة نسبيًا إلى خادم DNS عام من خلال مصادر متعددة من شبكة البوتنت. جميعها طلبات للحصول على رد طويل، مثل طلبات البحث عن اسم DNS. ثم يرد خادم DNS على كل هذه الطلبات المنتشرة بحزم رد تحتوي على كميات كبيرة من البيانات أكثر بكثير من حزمة الطلب الأولية، مع إعادة كل تلك البيانات مباشرة إلى خادم DNS الخاص بالضحية.
3. Ping of Death
هذه هي هجمة بروتوكول أخرى حيث يرسل المهاجم العديد من الطلبات الخبيثة أو المشوهة إلى جهاز كمبيوتر. على الرغم من أن الحد الأقصى لطول حزمة IP هو 65,535 بايت، إلا أن طبقة الربط البياني تحدد الحجم الأقصى للإطار المسموح به عبر شبكة إيثرنت.
لذلك، يتم تقسيم حزمة IP كبيرة إلى عدة حزم (تسمى الشظايا)، ويعيد المضيف المستقبل تجميع هذه الشظايا لإنشاء حزمة كاملة. في حالة Ping of Death، ينتهي المضيف بحزمة IP أكبر من 65,535 بايت عند محاولة إعادة تجميع شظايا الطلبات الخبيثة. هذا يتسبب في تجاوز حدود مخازن الذاكرة المخصصة للحزمة، مما يؤدي إلى حرمان الخدمة حتى لحزم البيانات الشرعية.
4. فيضان SYN
فيضان SYN هو واحد من أكثر هجمات البروتوكول شيوعًا التي تتجاوز عملية المصافحة الثلاثية اللازمة لإقامة اتصالات TCP بين العملاء والخوادم.
عادةً ما يتم إقامة هذه الاتصالات مع العميل الذي يرسل طلب مزامنة (SYN) أولي للخادم، يرد الخادم برد تأكيد (SYN-ACK)، ويكمل العميل المصافحة بإقرار نهائي (ACK).
تعمل هجمات فيضان SYN عن طريق إجراء سلسلة سريعة من تلك الطلبات المبدئية للمزامنة وترك الخادم معلقًا من خلال عدم الرد بإقرار نهائي. في النهاية، يُطلب من الخادم الاحتفاظ بالعديد من الاتصالات نصف المفتوحة التي تغرق الموارد في النهاية حتى ينهار الخادم.
5. فيضان HTTP
هذه واحدة من أكثر أنواع هجمات طبقة التطبيقات شيوعًا. حيث يقوم المجرم بإجراء تفاعلات تبدو طبيعية مع خادم ويب أو تطبيق.
على الرغم من أن جميع هذه التفاعلات تأتي من متصفحات الويب لتبدو مثل نشاط المستخدم العادي، إلا أنها مُرتبة لاستهلاك أكبر قدر ممكن من موارد الخادم.
يمكن أن تشمل الطلبات التي يقوم بها المهاجم أي شيء من استدعاء عناوين URL للوثائق أو الصور باستخدام طلبات GET إلى جعل الخادم يعالج المكالمات إلى قاعدة البيانات باستخدام طلبات POST.
غالبًا ما يتم بيع خدمات هجمات DDoS على الويب المظلم.
غالبًا ما تبدو هجمات DDoS مثل أمور غير ضارة يمكن أن تخلق مشكلات في توفر الخدمة. على سبيل المثال، قد تبدو مثل خادم معطل أو نظام، أو طلبات كثيرة جدًا من المستخدمين الفعليين، أو أحيانًا كابل مقطوع. لذلك، ستحتاج دائمًا إلى تحليل حركة المرور لتحديد ما يحدث.
إذا كنت ضحية لهجمة DDoS، ستلاحظ ارتفاعًا مفاجئًا في حركة المرور الواردة، مما يؤدي إلى تعطل الخادم تحت الضغط. علاوة على ذلك، إذا قمت بزيارة موقع ويب تحت هجمة DDoS، فسيتم تحميله ببطء شديد أو سيظهر خطأ 503 “الخدمة غير متوفرة”. على الأرجح لن تتمكن من الوصول إلى ذلك الموقع حتى يتم إيقاف الهجمة.
بطء موقع أو خدمة هو أكثر أعراض هجمة DDoS وضوحًا. تشمل الأعراض الشائعة لهجمة DDoS:
على الرغم من أن زيادة حركة المرور الشرعية يمكن أن تسبب أيضًا مشكلات في الأداء، إلا أنه من الضروري إجراء تحقيق أكثر تعمقًا. خصوصًا عندما تبدو حركة المرور غير طبيعية.
مثال: تجربة متجر على الإنترنت ارتفاعًا في حركة المرور بعد مبيعات الجمعة السوداء، وعيد الميلاد، وما إلى ذلك. بالإضافة إلى الأعراض المذكورة أعلاه، تظهر هجمات DDoS أعراضًا محددة اعتمادًا على نوع الهجمة.
علاوة على ذلك، إذا استخدمت شبكة البوتنت جهاز الكمبيوتر الخاص بك لتنفيذ هجمة DDoS، فسيظهر العلامات التحذيرية التالية.
حماية نفسك من هجمة DDoS يمكن أن تكون مهمة صعبة. يجب على المنظمات التخطيط بشكل جيد للدفاع ومنع مثل هذه الهجمات.
تحديد نقاط الضعف لديك هو المفتاح والخطوة الأولى في أي استراتيجية حماية. بخلاف ذلك، فإن الخطوات المذكورة أدناه ستساعد في تقليل سطح الهجوم لدى المنظمة وتخفيف الضرر الناجم عن هجمة DDoS.
بالإضافة إلى ذلك، فإن ممارسة عادات الأمان على الإنترنت ستمنع أجهزتك من استخدامها في شبكات البوتنت.
استخدم كلمات مرور قوية
استخدم كلمات مرور طويلة وفريدة وصعبة التخمين لجميع حساباتك. بالإضافة إلى ذلك، يمكنك استخدام مدير كلمات مرور لتخزين كلمات المرور ومزامنتها بأمان عبر أجهزتك.
استخدم البرمجيات المحدثة
البرمجيات القديمة مليئة بالثغرات التي يمكن للقراصنة استخدامها للدخول إلى نظامك. لذلك، قم دائمًا بتحديث البرمجيات وتثبيت التحديثات والبقع التي يصدرها مزودو البرمجيات في أقرب وقت ممكن. غالبًا ما تُبنى هذه التحديثات لمعالجة مختلف الثغرات الأمنية.
كن حذرًا من الروابط والمرفقات الغريبة
يحاول المجرمون السيبرانيون جعلك تقوم بتحميل برمجياتهم الخبيثة باستخدام رسائل البريد الإلكتروني التي تحتوي على روابط أو مرفقات ضارة. لذا لا تتفاعل مع تلك الرسائل إذا كنت لا تعرف المرسل. علاوة على ذلك، يمكنك استخدام أداة أمان البريد الإلكتروني لفحص مرفقات البريد الإلكتروني بحثًا عن البرمجيات الخبيثة.
استخدم جدار حماية
جدار الحماية قادر على منع الوصول من وإلى المصادر غير المصرح بها. علاوة على ذلك، يمكن لجدار حماية ذكي منع القراصنة من التواصل مع أجهزتك إذا حاولوا إصابتها ببرمجيات البوتنت الخبيثة.
توفر هجمات الحرمان الموزع (DDoS) وسيلة للمتسللين لجعل موقع ويب أو خدمة عبر الإنترنت غير متاحة لفترة معينة أو لأجل غير مسمى.
تختلف هذه الهجمات اختلافًا كبيرًا في تعقيدها ويمكن أن تؤثر بشدة على الأعمال التجارية أو المنظمات المستهدفة. لذلك، يجب على الأعمال والمنظمات عبر الإنترنت اتخاذ كل خطوة ممكنة للتقليل من هجمات DDoS وتأمين أنظمتها.
يمكن أن يتراوح تأثير هذه الهجمات من الخسارة المالية إلى الضرر بثقة العملاء. للدفاع ضد هذه الهجمات، تحتاج المنظمات إلى تحديد نقاط الضعف، وتكوين جدران الحماية وأجهزة التوجيه، ومراقبة حركة المرور على الشبكة، وتطوير خطة تخفيف.
يمكن أيضًا أن تساعد ممارسة عادات الأمان على الإنترنت، مثل استخدام كلمات مرور قوية وجدران الحماية، في منع استخدام الأجهزة في شبكات البوتنت.
لماذا يجب على المتخصصين في الأمن السيبراني القلق بشأن هجمات DDoS؟
يمكن أن تضر هجمات DDoS بشكل كبير توفر الموارد الأونلاين الحيوية وتعمل كآلية خادعة لتنفيذ أنشطة غير قانونية أخرى على الشبكة.لماذا يصعب منع هجمات DDoS باستخدام أشكال التصفية الأمنية السيبرانية التقليدية؟
نظرًا لأن هجمات DDoS تتم بطريقة موزعة باستخدام أنظمة متعددة، فمن الصعب حجب حركة المرور الضارة بإغلاق وسيلة معينة.
ما هو دور شبكة البوتنت في هجمة DDoS؟
شبكات البوتنت هي شبكات من الأجهزة المخترقة التي يتحكم بها المجرمون السيبرانيون، والتي تُعرف أحيانًا باسم البوتات أو الزومبي. يمكن أن تشمل هذه الأجهزة المخترقة أجهزة مثل أجهزة الكمبيوتر المكتبية، والمحمولة، والخوادم، وأجهزة الإنترنت الأشياء. يتواصل المهاجمون مع هذه الآلات ويجمعونها لتوليد مصادر موزعة من حركة المرور الضارة لإغراق بنية الشركة التحتية.