گروه هکرهای Lizard Squad با حملات DDoS موفق به از کار انداختن سرورهای سونی و مایکروسافت شدند.
حتماً شنیدهاید که گاهی یک سایت و یا سرویس در اثر حملات DDoS از کار افتاده است.
اما ماهیت DDoS چیست؟ حملات آن چگونه صورت میگیرد و چرا مقابله با آن کار دشواریست؟ در این مقاله به بررسی پاسخ این سؤالات خواهیم پرداخت.
کریسمس امسال در حالی که بسیاری نوجوانان به عنوان هدیه از والدین خود اکسباکس و یا پلیاستیشن دریافت کرده بودند متوجه شدند که نمیتوانند به شبکههای آنلاین متصل شوند.
اینطور مشخص شد که گروه هکرهای Lizard Squad با حملات DDoS موفق به از کار انداختن سرورهای سونی و مایکروسافت شدهاند.
پس از آن کیم داتکام مؤسس وبسایت مگاآپلود و مگا ادعا کرد که این گروه را راضی به توقف حملات کرده است و حتی پس از آن خبر هک شدن این گروه هکری نیز منتشر شد!
DDoS مخفف عبارت Distributed Denial of Service است و به هدف از کار انداختن موقت و یا دائمی یک وبسایت و یا سرور انجام میشود.
حملات DDoS از گذشتهای نسبتاً دور وجود داشتهاند و معمولاً هم برای بیان اعتراض به کار برده میشدند.
شاید اولین حمله DDoS را بتوان مربوط به سال ۱۹۹۵ و شبکه Strano Network دانست که در اعتراض به سیاستهای هستهای دولت فرانسه انجام شد. اما چرا حملات DDoS روزبهروز قویتر شده و مقابله با آن دشوارتر؟
چگونه میتوان یک حمله DDoS ترتیب داد؟
حمله DDoS آنقدر ساده است که هر کسی میتواند آن را انجام دهد!
برای پاسخ این پرسش چند جواب وجود دارد. بهطور مثال در حال حاضر نرمافزار رایگانی به نام High Orbit Ion Cannon یا به اختصار HOIC وجود دارد که به هر فردی اجازه میدهد بهراحتی با ایجاد ترافیک ساختگی بر روی سرورهای یک وبسایت با استفاده از اسکریپتهای سفارشی سرور را از کار بیندازد.
هر فردی با یک رایانه میتواند این نرمافزار را دانلود کرده، آدرس URL سایت دلخواهی را وارد کرده و منتظر بماند تا HOIC عملیات ایجاد کاربران جعلی را به امید ایجاد اضافهبار یا اصطلاحاً Overload روی سرور اجرا کند.
البته تصور نکنید که حالا میتوانید این نرمافزار را دانلود کرده و فیسبوک را در چند ساعت از کار بیندازید! در واقع هرچه تعداد کاربرانی که از HOIC بهصورت همزمان یکسایت را هدف گرفتهاند بیشتر شود احتمال overload شدن نیز بیشتر خواهد بود.
حمله DDoS پیشرفتهتر چگونه انجام میشود؟
botnetالبته از کار انداختن سرور پلیاستیشن نتورک کار دشوارتری است و دیوید لارسن مدیر ارشد فناوری شرکت امنیتی Corero اعتقاد دارد هکرها ترکیبی از حملات DDoS با botnetها را اجرا کردهاند.
botnet یک شبکه از سرورهای کامپیوتری است که برای اتصال و انجام یک عملیات واحد برنامهریزی و طراحی شدهاند.
هر فردی میتواند یک botnet کرایه کند و با بودجه کافی و ترکیب آن با حملات Ion Cannon بار فوقالعاده زیادی روی سرور PSN وارد کند.
تصور کنید هزار کامپیوتر که همگی از ابزارهای DDoS مشابه برای ساخت اکانتهای جعلی استفاده کرده و سعی کنند به شبکه PSN وارد شوند.
در مدت کوتاهی هزاران گیگابایت اطلاعات در هر ثانیه به سرور وارد شده و از کار انداختن چنین شبکهای کار پیش پا افتادهای جلوه خواهد کرد.
لارسن همچنین اعتقاد دارد احتمالاً مهاجمان به جای مورد حمله قرار دادن سرور اصلی PSN، سرورهای لاگین کردن را مورد هدف قرار دادهاند و overload کردن این سرور هم کار نسبتاً آسانتری است.
کافیست سرورهای DNS خارجی دستاری شوند تا شبکه PSN با اطلاعات بیش از حد بمباران شود.
یک سرور DNS یا Domain Name System سروری است که وقتی کاربر نام یک وبسایت را تایپ کرده و کلید اینتر را فشار میدهد آن را به آدرس IP قابل فهم برای مرورگر تبدیل میکنند.
اینترنت پر از سرورهای DNS است و بسیاری از آنها بهراحتی میتوانند هدف هکرها قرار بگیرند.
لارسون میگوید:
شما میتوانید نرمافزارهای رایگانی از اینترنت دانلود کنید که حاوی دیتابیسی از سرورهای آسیبپذیر DNS بر روی اینترنت است.
من میتوانم یک درخواست ارسال کنم، یک بسته درخواست بسیار کوچک به یک سرور آسیبپذیر DNS. من میتوانم بگویم: "سلام سرور آسیبپذیر DNS! من سرور لاگین پلیاستیشن هستم – لطفاً برای من اطلاعات ورود را ارسال کن.”
و این اطلاعات ورود میواند چندین کیلوبایت حجم داشته باشد. پس با یک بسته کوچک ۶۴ بایتی میتوان طوری سرورهای DNS آسیبپذیر را فریب داد تا اطلاعات کیلوبایتی را به سرورهای سونی یا هر وبسایت دیگری روانه کند.
من میتوانم دهها هزار بایت درخواست به DNS ارسال کنم و این سرور هم با تصور اینکه من سونی هستم اطلاعات درخواستی را به سرورهای این شرکت سرازیر خواهد کرد.
حالا تصور کنید این اتفاق صدها یا هزاران و یا حتی میلیونها بار در ثانیه ارسال شود.
به این ترتیب حتی قویترین سرورها هم نمیتوانند با چنین حجمی از ترافیک مقابله کنند و از آنجایی که تشخیص اطلاعات جعلی و واقعی دشوار است (مخصوصاً وقتی مهاجمان از ترکیبی از botnet و IPهای ساختگی استفاده میکنند.) سرور به راحتی overload شده و از کار خواهد افتاد.
به این ترتیب برای فردی که میداند چگونه از این ابزار استفاده کند ایجاد دهها گیگابایت ترافیک ساختگی کار دشواری نخواهد بود.
چرا سونی نتوانست جلوی overload شدن شبکه را بگیرد؟
اما سونی پیش از این هم تجربه حملات DDoS را داشته و شبکههایی مانند PSN و Xbox Live معمولاً زیاد در معرض این حملات قرار میگیرند. پس چرا آنها نتوانستند حمله Lizard Squad را خنثی کنند؟
هرچند بدون جزئیات دقیق پاسخ دادن به این پرسش ممکن نیست اما لارسن حدس میزند از آنجا که مهاجمان به سرور لاگین PSN حمله کردهاند و به پهنای باند زیادی نیاز نبوده و از کار انداختن آن با حملات DDoS کار مشکلی نبوده است.
ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.
گفتنی است سال ۲۰۱۱ شبکه PSN مورد حمله بزرگی قرار گرفت که اطلاعات میلیونها کاربر این شبکه را فاش کرد و انتظار داشتیم سونی برای حملات هکری آمادگی داشته باشد.
البته باید در نظر داشت که یک حمله DDoS تفاوت زیادی با نفوذ امنیتی دارد و بهتر است به جای هک کردن نام آن را سرریز کردن یا غرق کردن ترافیکی گذاشت.
همچنین در ماههای اخیر این نوع حملات پیشرفتهای زیادی داشتهاند تا حدی که روشهای جلوگیری قدیمی مربوط به یکی دو سال پیش دیگر جوابگو نخواهد بود.
یکی از راههای رایج برای جلوگیری از حملات DDoS این است که وقتی مسئولان شبکه متوجه میشوند که حمله درحال صورت گرفتن و سرور در حال از کار افتادن است آنها از تأمین کنندگان شبکه میخواهند تا کاری به نام "سیاهچاله” یا Blackholing انجام دهند.
به این ترتیب که تمامی ترافیک رسیده به شبکه را متوقف کرده و از overload شدن جلوگیری میکنند.
تا حدود یک و نیم سال پیش حملات DDoS بسیار سادهتر بودند. شما مشاهده میکردید که چنین حملاتی در حال انجام است و آنرا سیاهچاله میکردید.
ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.
حالا به یک سیستم ماشینی احتیاج دارید که همواره در حال جستجو و شناسایی چنین حملاتی باشد و بلافاصله به مقابله با آنها بپردازد.
راه مقابله کنونی چیست؟
به توصیه لارسن شرکتها و هر فردی که شبکهها را اداره میکند باید چندین حفاظ برای جلوگیری از چنین حملاتی بهکار گیرد تا الگوهای غیرعادی ترافیک را شناسایی و آسیب وارده را کاهش دهد.
او همچنین توصیه میکند کمپانیها از سرویسهای ابری استفاده کنند تا هنگام هجوم ترافیک سرورهای خودشان از خطر overload شدن محفوظ بماند.
به گفته یکی از شرکتهای امنیتی DDoSها روزبهروز پیشرفتهتر میشوند و در حال حاضر هر ساعت حدود ۲۸ حمله شبیه به حمله به PSN رخ میدهد.
شاید در نگاه اول DDoS آنچنان هم خطرناک به نظر نرسد چراکه در واقع اطلاعاتی دزدیده نشده و کنترل سایت نیز خارج نخواهد شد و حتی یک deface ساده نیز رخ نخواهد داد اما برای سرویسهای حیاتی از کار افتادن شبکه میتواند صدمات جبران ناپذیری وارد کند.