• تماس فوری: 88885116 - 021

راهنمای جامع حملات DDoS، از تشخیص و انواع تا روش‌های مقابله و نمونه‌های واقعی

در این مقاله میخوانید
DDoS چیست

حملات محروم‌سازی از سرویس (DoS) و به‌ویژه نوع توزیع‌شده‌ی آن (DDoS) از جمله مهم‌ترین تهدیدات امنیت سایبری هستند که می‌توانند وب‌سایت‌ها، سرورها و خدمات آنلاین را از دسترس خارج کنند. در این مقاله به زبانی ساده اما دقیق، به بررسی مفهوم حمله DDoS، تاریخچه پیدایش آن، انواع مختلف چنین حملاتی، روش‌های تشخیص حمله DDoS و راهکارهای مقابله با آن خواهیم پرداخت. این راهنما برای عموم کاربران قابل فهم بوده و در عین حال حاوی نکاتی فنی و تخصصی است که توجه کارشناسان امنیت را نیز جلب می‌کند.

DoS  چیست؟

در یک حمله محروم‌سازی از سرویس (DoS) مهاجم تلاش می‌کند با ایجاد اختلال در سرویس‌دهی یک سیستم، دسترسی کاربران مجاز به آن را موقتاً یا به طور نامحدود قطع کند. این کار معمولاً با ارسال حجم انبوهی از درخواست‌های جعلی به سرور هدف انجام می‌شود تا منابع آن را مشغول کرده و از پاسخ‌دهی به درخواست‌های واقعی باز بماند. حملات DoS می‌توانند از فرستادن میلیون‌ها درخواست اضافی برای کاهش سرعت یا از کار انداختن سرور گرفته تا سوءاستفاده از نقص‌های پروتکلی (مانند ارسال داده‌های نامعتبر یا جعل آدرس IP) را شامل شوند.

DDoS چیست؟

حمله محروم‌سازی از سرویس توزیع‌شده (DDoS) نسخه پیشرفته‌تر DoS است که در آن ترافیک مخرب از سوی تعداد زیادی منبع مختلف به سمت قربانی روانه می‌شود. به عبارتی، مهاجم به جای یک کامپیوتر از شبکه‌ای گسترده از دستگاه‌های آلوده (معروف به بات‌نت) برای سیل‌آسا کردن ترافیک بهره می‌گیرد. تعدد منابع حمله باعث می‌شود که مسدود کردن یک یا چند آدرس مهاجم کافی نباشد و دفاع در برابر این حملات بسیار پیچیده‌تر شود. حمله DDoS را می‌توان به این صورت تشبیه کرد که گروه بزرگی از افراد درِ ورودی یک فروشگاه را اشغال کنند و اجازه ورود مشتریان واقعی را ندهند؛ در نتیجه کسب‌وکار مختل شده و کاربران واقعی از خدمات محروم می‌مانند. مهاجمان معمولاً وب‌سایت‌ها و سرویس‌های پرمخاطب (مانند درگاه‌های بانکی یا سامانه‌های پرداخت آنلاین) را هدف قرار می‌دهند و انگیزه‌هایی نظیر انتقام، باج‌خواهی یا هکتیویسم می‌تواند در پس این حملات باشد.

تاریخچه حملات DDoS

  • سال ۱۹۹۶: نخستین حمله DoS شناخته‌شده علیه شرکت Panix با استفاده از حمله SYN Flood موجب اختلال چندروزه در سرویس‌دهی شد.
  • سال ۲۰۰۰: حملات گسترده توسط نوجوانی با نام مستعار مافیا‌بوی علیه سایت‌های بزرگی چون Yahoo و Amazon، توجه جهانی را به تهدید DDoS جلب کرد.
  • سال ۲۰۰۷: حملات سایبری به زیرساخت‌های کشور استونی، به‌عنوان یکی از اولین نمونه‌های جنگ سایبری مبتنی بر DDoS شناخته شد.
  • سال ۲۰۱۳: حمله به Spamhaus با ترافیک چند صد گیگابیتی باعث اختلال در بخش‌هایی از اینترنت اروپا شد.
  • سال ۲۰۱۶: بات‌نت Mirai با استفاده از دستگاه‌های IoT، حمله‌ای بزرگ به شرکت Dyn ترتیب داد و بسیاری از سرویس‌های مطرح اینترنتی را دچار اختلال کرد.
  • سال ۲۰۱۸: حمله تقویت‌شده به GitHub رکورد ۱.۳ ترابیت بر ثانیه را ثبت کرد و شیوه‌های غیرسنتی در حملات DDoS را نشان داد.
  • سال ۲۰۲۰ تا ۲۰۲۵: حملات DDoS از نظر حجم و پیچیدگی به‌طور پیوسته رشد کردند؛ رکوردهایی چون حمله ۲.۳ ترابیتی به AWS در ۲۰۲۰، حمله HTTP/2 با نرخ ۳۹۸ میلیون درخواست در ثانیه به گوگل در ۲۰۲۳، و نهایتاً حمله ۳۰ ترابیتی به کلودفلر در ۲۰۲۵ ثبت شدند.

انواع حملات DDoS

حملات DDoS شیوه‌ها و گونه‌های متنوعی دارند. می‌توان آن‌ها را بر اساس لایه هدف در مدل OSI به چند دسته کلی تقسیم کرد. در ادامه سه دسته‌ی اصلی حملات منع سرویس را مرور می‌کنیم:

حملات حجمی (Volumetric Attacks)

رایج‌ترین گونه، حملات سیل‌آسای حجمی است که تلاش می‌کند با ارسال حجم عظیمی از داده‌ها، پهنای‌باند شبکه‌ی قربانی را کاملاً اشباع کند. در این روش انبوهی از بسته‌های جعلی به سمت هدف روانه می‌شود تا لوله‌های ارتباطی پر شوند و عملاً جایی برای عبور ترافیک سالم باقی نماند. به عنوان مثال می‌توان به حملات UDP flood یا ICMP flood اشاره کرد که با ارسال سیل‌وار بسته‌های UDP یا درخواست‌های پینگ، باعث ازدحام شبکه و اختلال در سرویس می‌شوند. حملات حجمی معمولاً با بهره‌گیری از بات‌نت‌های بزرگ یا تکنیک‌هایی مثل تقویت ترافیک (Traffic Amplification) انجام می‌گردند که در آن مهاجم یک درخواست کوچک را به سرویسی (مانند DNS یا NTP) می‌فرستد و پاسخی بسیار بزرگ‌تر دریافت کرده و آن را به سمت قربانی منعکس می‌کند.

حملات پروتکلی (Protocol Attacks)

در این نوع حملات، ضعف‌ها یا ویژگی‌های ذاتی پروتکل‌های شبکه در لایه‌های ۳ و ۴ مورد سوءاستفاده قرار می‌گیرد. هدف اصلی، مصرف منابع سرور یا تجهیزات میانی (مانند حافظه، پردازنده یا جداول سیشن) از طریق ایجاد تعداد زیادی نیمه‌اتصال یا بسته‌های ناتمام است. برای مثال حمله SYN flood را می‌توان نام برد که طی آن مهاجم انبوهی از پیام‌های SYN (درخواست اتصال TCP) با آدرس فرستنده جعلی به سرور می‌فرستد؛ سرور به هر کدام پاسخ SYN-ACK می‌دهد اما پاسخ نهایی از سمت مهاجم ارسال نمی‌شود. این امر تعداد زیادی اتصال نیمه‌باز روی سرور ایجاد می‌کند و منابع آن را اشغال کرده و از پاسخ‌گویی به اتصالات جدید بازمی‌دارد. یا نمونه دیگر حمله Ping of Death است که با ارسال بسته‌های پینگ مخرب و بزرگ‌تر از حد مجاز، موجب کرش کردن سیستم‌عامل قربانی می‌شود. نشانه‌های وقوع حملات پروتکلی می‌تواند مصرف غیرعادی بالای CPU یا پر شدن ظرفیت جداول اتصالات روی سرور باشد.

حملات لایه کاربرد (Application Layer Attacks)

در حملات لایه ۷ (Application Layer) مهاجم مستقیماً سرویس‌ها و اپلیکیشن‌های اجراشده روی سرور را هدف می‌گیرد. این حملات به جای مصرف صرف پهنای‌باند، با ارسال تعداد کمتری درخواست اما با ماهیت پیچیده‌تر و پرهزینه‌تر برای سرور، منابع بالاتری را در لایه نرم‌افزاری مصرف می‌کنند. برای مثال حمله HTTP Flood تعداد زیادی درخواست HTTP را مشابه کاربران واقعی به وب‌سرور ارسال می‌کند (مثلاً درخواست مکرر صفحات سنگین وب)، به‌طوری‌که سرور در پردازش این درخواست‌ها دچار کندی یا وقفه شود. یا حمله Slowloris که با باز نگه‌داشتن اتصالات HTTP و ارسال قطره‌چکانی داده، ظرفیت ارتباطی سرور را اشغال می‌کند. این قبیل حملات ممکن است ترافیک بسیار زیادی ایجاد نکنند و در ظاهر شبیه رفتار عادی کاربران باشند، بنابراین تشخیص آن‌ها دشوار بوده و نیازمند تحلیل عمیق‌تری از الگوهای تراکنش‌ها است. استفاده از فایروال‌های برنامه‌های وب (WAF) و مانیتورینگ رفتار کاربری از روش‌های دفاع در برابر حملات لایه کاربرد به شمار می‌روند که در بخش‌های بعدی توضیح داده خواهند شد.

تشخیص حمله DDoS

تشخیص به‌موقع یک حمله DDoS اهمیت زیادی دارد؛ هرچه زودتر متوجه وقوع حمله شوید، سریع‌تر می‌توانید برای کاهش اثرات آن اقدام کنید. با این حال، شناسایی این حملات هم برای کاربران عادی و هم برای مدیران شبکه می‌تواند چالش‌برانگیز باشد زیرا بعضاً ترافیک مخرب در نگاه اول مشابه ترافیک عادی کاربران است. با این وجود، علائم و نشانه‌هایی وجود دارند که می‌توانند هشداری برای در جریان بودن یک حمله DDoS باشند:

  • کند شدن غیرعادی سرعت شبکه یا وب‌سایت: افت قابل توجه در کارایی و افزایش زمان پاسخ‌دهی خدمات آنلاین.
  • در دسترس نبودن یا بارگذاری نشدن وب‌سایت: عدم امکان دسترسی به یک سایت خاص که قبلاً بدون مشکل قابل دسترسی بود.
  • قطع کامل دسترسی به اینترنت: ناتوانی در دسترسی به هر وب‌سایتی توسط کاربران شبکه (در موارد حملات بسیار بزرگ).
  • افزایش چشمگیر هرزنامه‌های دریافتی: انبوهی از ایمیل‌های اسپم ممکن است نشانه‌ای از حمله (Email Bombing) همراه با DoS باشد.
  • قطع و وصلی یا اختلال در سرویس‌های آنلاین دیگر: مثلاً قطع شدن ارتباط سرویس‌های پیام‌رسان یا اینترنت بی‌سیم بدون دلیل مشخص.

از دید مدیران شبکه، پایش ترافیک شبکه و کشف الگوهای غیرعادی بهترین راه تشخیص حملات DDoS است. ابزارهای مانیتورینگ می‌توانند تغییرات ناگهانی در حجم ترافیک یا تعداد اتصالات را شناسایی کنند. برای مثال، اگر ترافیک ورودی به سرور در عرض چند دقیقه به چند برابر حد معمول برسد یا درخواست‌هایی با الگوی مشکوک (مانند تعداد زیادی درخواست از یک کشور غیرمعمول) مشاهده شود، زنگ خطر حمله به صدا درمی‌آید. استفاده از سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS) نیز بسیار موثر است؛ این سیستم‌ها با پایش بسته‌های شبکه و تطبیق آن‌ها با امضاهای حملات شناخته‌شده یا تشخیص ناهنجاری‌های رفتاری، وقوع حمله را هشدار می‌دهند. برخی راهکارهای پیشرفته مبتنی بر هوش مصنوعی و یادگیری ماشین نیز قادرند الگوی ترافیک عادی یک سرویس را یاد گرفته و هرگونه انحراف معنادار از آن (مثلاً تعداد درخواست در ثانیه بسیار فراتر از الگوی عادی) را به عنوان احتمال حمله شناسایی کنند. به طور خلاصه، ترکیبی از مشاهده علائم ظاهری (از کاربر نهایی) و مانیتورینگ خودکار شبکه (از سمت مدیران) می‌تواند در تشخیص بهنگام حملات DDoS موثر باشد.

روش‌های مقابله و دفاع در برابر حملات DDoS

هیچ راه‌حل جادویی و تضمین‌شده‌ای برای مصون‌سازی کامل در برابر حملات DDoS وجود ندارد. علت این است که در بسیاری از مواقع ترافیک مخرب از نظر ماهیت شباهت زیادی به ترافیک مشروع دارد و نمی‌توان آن را به سادگی فیلتر کرد – برای مثال اگر یک بات‌نت متشکل از صدهزار رایانه آلوده، هر کدام شروع به ارسال یک درخواست عادی به وب‌سایت شما کنند، تشخیص اینکه کدام درخواست از کاربر واقعی است و کدام‌یک از زامبی، بسیار دشوار خواهد بود و عملاً نمی‌توان همه آن‌ها را بلاک کرد. از این رو استراتژی صحیح، کاهش اثرات حمله و تداوم خدمت‌رسانی حتی در شرایط حمله است. در ادامه، به مهم‌ترین روش‌های دفاع و مقابله با حملات DDoS اشاره می‌کنیم:

استفاده از فایروال و سیستم تشخیص/جلوگیری از نفوذ

تنظیم صحیح دیوار آتش (Firewall) می‌تواند بخش زیادی از ترافیک مخرب را بر اساس آدرس IP، پورت یا نوع پروتکل مسدود کند. همچنین بهره‌گیری از سیستم‌های IDS/IPS که ترافیک را به صورت بلادرنگ تحلیل کرده و الگوهای حمله را شناسایی می‌کنند، برای متوقف کردن حملات قبل از رسیدن به سرور بسیار مفید است. هرچند باید توجه داشت که در حملاتی که روی پورت‌های لازم (مانند وب‌سرویس روی پورت 80/443) انجام می‌شوند، نمی‌توان به سادگی آن پورت‌ها را بست و نیاز به راهکارهای تکمیلی است.

تحلیل ترافیک و تشخیص ناهنجاری

شبکه خود را به صورت مستمر مانیتور کنید و به هر گونه افزایش غیرطبیعی ترافیک یا الگوی دسترسی مشکوک حساس باشید. ابزارهای آنالیز ترافیک قادرند جهش‌های ترافیکی و الگوهای غیرمعمول را که می‌توانند نشان‌دهنده یک حمله DDoS باشند، تشخیص دهند. به عنوان مثال، مشاهده تعداد بسیار زیاد درخواست در ثانیه یا افزایش اتصال از مناطق جغرافیایی غیرمنتظره می‌تواند علامت هشدار باشد. تنظیم آستانه‌هایی برای نرخ ترافیک و فعال‌سازی هشدار در صورت عبور از این آستانه‌ها به واکنش سریع‌تر کمک می‌کند.

توزیع بار و افزایش ظرفیت

یکی از راهکارهای مهم دفاعی، بزرگ‌تر کردن ظرفیت و توزیع بار سرویس است. متعادل‌سازی بار (Load Balancing) ترافیک ورودی را بین چندین سرور و دیتاسنتر توزیع می‌کند تا هیچ کدام زیر فشار حمله از کار نیفتد. استفاده از شبکه تحویل محتوا (CDN) نیز مفید است؛ CDNها با داشتن سرورهای کش متعدد در نقاط مختلف جهان می‌توانند حجم زیادی از ترافیک را جذب کرده و نگذارند همگی به سرور اصلی برسند. همچنین بهره‌گیری از معماری anycast برای سرویس DNS یا سرویس‌های وب توزیع‌شده باعث می‌شود درخواست‌ها به نزدیک‌ترین یا کم‌بارترین سرور هدایت شوند و بار به صورت جغرافیایی پخش شود. مقیاس‌پذیری زیرساخت (مثلاً میزبانی سرویس در محیط ابری که امکان افزایش خودکار منابع را دارد) به شما اجازه می‌دهد در صورت وقوع حمله، ظرفیت پردازشی و پهنای‌باند را به سرعت بالا ببرید تا سرویس‌دهی ادامه یابد.

محدودسازی نرخ و فیلتر کردن ترافیک

اعمال سیاست‌های نرخ‌دهی (Rate Limiting) می‌تواند تاثیر حملات را کاهش دهد. بدین ترتیب که برای هر IP یا هر کاربر تعداد مشخصی درخواست در واحد زمان مجاز باشد و در صورت تجاوز از آن، موقتاً دسترسی‌اش محدود شود. بسیاری از سرورها و حتی سوئیچ‌ها/روترهای پیشرفته امکان محدودسازی نرخ ارسال/دریافت را دارند و می‌توانند به صورت خودکار ترافیک بیش از حد را دراپ یا فیلتر کنند. به عنوان مثال، می‌توان تنظیم کرد که یک IP نتواند بیش از تعداد معینی اتصال همزمان یا درخواست در ثانیه داشته باشد. البته تعیین این آستانه‌ها نیازمند دقت است تا کاربران عادی به اشتباه مسدود نشوند. Traffic Shaping نیز تکنیکی است که طی آن ترافیک شبکه بر اساس نوع و منبع آن اولویت‌بندی می‌شود تا در زمان حمله، ترافیک حیاتی‌تر (مثلاً درخواست‌های کاربران واقعی) بر ترافیک مشکوک اولویت پیدا کند.

امنیت لایه کاربرد و سرویس‌ها

برای محافظت در برابر حملات لایه ۷، استفاده از ابزارهای مخصوص این لایه ضروری است. فایروال‌های برنامه‌های وب (WAF) می‌توانند الگوی درخواست‌های HTTP را بررسی کرده و درخواست‌های مخرب یا غیرعادی (مثلاً درخواست‌های باتکر مشابه یا حاوی الگوی حملات شناخته‌شده) را بلاک کنند. اطمینان از پیکربندی امن سرورها و نرم‌افزارها نیز اهمیت زیادی دارد؛ مثلاً فعال‌سازی کپچا یا مکانیزم‌های Rate Limit در خود برنامه وب، می‌تواند روبات‌های مخرب را از کاربران انسانی تفکیک کند. همچنین ایمن‌سازی APIها (با احراز هویت، نرخ‌دهی و …)، بستن سرویس‌های غیرضروری روی سرورها و به‌روز نگه داشتن نرم‌افزارها برای رفع آسیب‌پذیری‌ها از دیگر اقدامات پیشگیرانه در این زمینه است.

سرویس‌ها و تجهیزات تخصصی ضد DDoS

امروزه شرکت‌های ارائه‌دهنده خدمات ابری و امنیتی، سرویس‌های کاهش اثر DDoS را عرضه می‌کنند. این سرویس‌ها (نظیر Cloudflare, Akamai, AWS Shield و غیره) با در اختیار داشتن ظرفیت پهنای‌باند بسیار بالا و زیرساخت توزیع‌شده، قادرند ترافیک حجیم حملات را جذب و غربال‌گری کنند و تنها ترافیک سالم را به سرور اصلی شما عبور دهند. استفاده از این خدمات برای وب‌سایت‌ها و کسب‌وکارهایی که هدف حملات گسترده قرار می‌گیرند، یک ضرورت به حساب می‌آید. برخی از این سرویس‌ها به صورت خودکار حمله را تشخیص داده و اقدام به اعمال فیلتر یا challenging (مثل ارائه کپچا به مراجعان) می‌کنند تا فشار از روی سرور مقصد برداشته شود.

برنامه واکنش و بازیابی

داشتن یک طرح واکنش به حمله از پیش آماده می‌تواند در زمان وقوع DDoS بسیار راهگشا باشد. این طرح باید شامل مراحل مشخصی برای تشخیص، هشدار، کاهش اثر حمله و بازیابی پس از حمله باشد. به عنوان مثال، مشخص کنید در صورت وقوع حمله چه کسانی در تیم مسئول هستند، ارتباط با ارائه‌دهنده اینترنت (ISP) چگونه برقرار شود، آیا نیاز به تغییر مسیر DNS یا راه‌اندازی سرورهای جایگزین هست یا خیر، و پس از حمله چه تحلیل‌هایی برای جلوگیری از حملات آتی صورت گیرد. تمرین و مانور دوره‌ای این برنامه نیز توصیه می‌شود تا تیم فنی در شرایط واقعی سردرگم نشده و سریعا اقدامات لازم را انجام دهد.

در مجموع، دفاع در برابر حملات DDoS باید چندلایه باشد. ترکیبی از اقدامات پیشگیرانه (مانند تقویت زیرساخت و پیکربندی امنیتی) و واکنشی (مانند سیستم‌های تشخیص بلادرنگ و پلان مدیریت بحران) لازم است تا یک سازمان بتواند در برابر این حملات تاب‌آوری نشان دهد. همان‌گونه که اشاره شد، هدف نهایی کاهش اثر حمله و ادامه سرویس‌دهی به کاربران واقعی حتی در بحبوحه یک حمله سایبری است.

مثال‌هایی از حملات واقعی DDoS

برای درک بهتر مقیاس و تنوع حملات DDoS در دنیای واقعی، در ادامه به چند نمونه مشهور از این حملات اشاره می‌کنیم:

فوریه ۲۰۰۰ – حملات مافیا‌بوی

در این سال یک نوجوان کانادایی با نام مستعار Mafiaboy موجی از حملات DDoS را علیه وب‌سایت‌های بزرگی مانند Yahoo، eBay، CNN و Amazon به راه انداخت. این حملات که با بهره‌گیری از کامپیوترهای دانشگاهی انجام شد، باعث از کار افتادن موقت این سایت‌های پرمخاطب گردید. شدت حملات مافیا‌بوی به حدی بود که توجه اف‌بی‌آی را جلب کرد و نهایتاً باعث دستگیری وی شد. این واقعه زنگ خطری درباره آسیب‌پذیری زیرساخت اینترنت بود و مستقیماً به تدوین قوانین سخت‌گیرانه‌تر در حوزه جرایم سایبری منجر شد.

آوریل ۲۰۰۷ – حمله به استونی

یکی از گسترده‌ترین حملات DDoS دولتی زمانی رخ داد که وب‌سایت‌های دولتی، بانکی و رسانه‌های کشور استونی زیر تهاجم سایبری قرار گرفتند. این حملات همزمان با تنش سیاسی بین استونی و روسیه بر سر جابجایی یک بنای یادبود جنگ جهانی دوم اتفاق افتاد و بسیاری آن را نخستین نمونه جنگ سایبری میان کشورها دانستند. در پی این حمله که چندین هفته طول کشید، استونی موقتاً بخش عمده‌ای از خدمات آنلاین خود را از دست داد. هرچند دولت روسیه دخالت در این ماجرا را انکار کرد، ابعاد حملات و بازداشت یکی از شهروندان روسی در این رابطه، بحث‌های زیادی را درباره امنیت سایبری ملی برانگیخت.

مارس ۲۰۱۳ – حمله به Spamhaus

اسپم‌هاوس یک سازمان ضداسپم است که فهرست‌های سیاه برای ایمیل‌های تبلیغاتی تهیه می‌کند. در سال ۲۰۱۳ این سازمان هدف یک حمله DDoS بی‌سابقه قرار گرفت که ترافیکی حدود ۳۰۰ گیگابیت بر ثانیه تولید کرد. این حمله بزرگ که در زمان خود یکی از شدیدترین‌ها محسوب می‌شد، زیرساخت اینترنت اروپا را نیز تحت تأثیر قرار داد و حتی سرعت اینترنت در برخی نقاط کاهش یافت. مهاجم که بعدها یک نوجوان ۱۷ ساله بریتانیایی معرفی شد، به شکل اجیرشده این حمله را انجام داده بود. شدت حمله به حدی بود که اسپم‌هاوس برای مقاومت، فوراً از سرویس‌های Cloudflare کمک گرفت و مهاجمان در واکنش حتی مراکز تبادل اینترنت (IXP) را نیز هدف قرار دادند تا دفاع کلودفلر را دور بزنند.

اکتبر ۲۰۱۶ – بات‌نت Mirai و حمله به  Dyn

حمله به شرکت Dyn (ارائه‌دهنده خدمات DNS) یکی از خبرسازترین حملات DDoS بود چرا که بر روی سرویس‌دهی ده‌ها وبسایت و سرویس محبوب تأثیر گذاشت. عامل این حمله بدافزار Mirai بود که با نفوذ به حدود ۵۰۰ هزار دستگاه IoT (دوربین‌های مداربسته، روترهای خانگی، پرینترهای هوشمند و …)، آن‌ها را به زامبی‌های بات‌نت تبدیل کرده بود. مهاجمان با فرمان به این بات‌نت عظیم، حجم انبوهی ترافیک را متوجه سرورهای Dyn کردند و در نتیجه وب‌سایت‌هایی چون توییتر، نتفلیکس، پی‌پال، Reddit، گیت‌هاب و … که از خدمات DNS Dyn استفاده می‌کردند دچار قطعی یا کندی شدند. هرچند Dyn توانست طی یک روز سرویس‌دهی را به حالت عادی برگرداند، این حمله نشان داد که آسیب‌پذیری دستگاه‌های IoT چطور می‌تواند به حملاتی در مقیاس غیرمنتظره منجر شود. جالب آن‌که انگیزه دقیق این حمله هرگز به طور قطعی مشخص نشد و گمانه‌زنی‌هایی از انتقام‌جویی هکتیویستی تا رقابت بازی‌های آنلاین در مورد آن مطرح بود.

فوریه ۲۰۱۸ – حمله به گیت‌هاب

پلتفرم توسعه‌دهندگان GitHub در سال ۲۰۱۸ هدف یکی از بزرگترین حملات ثبت‌شده قرار گرفت. این حمله بدون استفاده از بات‌نت و صرفاً با سوءاستفاده از ضعف پیکربندی سرورهای حافظه نهان Memcached انجام شد و به حجم ترافیک ۱٫۳ ترابیت بر ثانیه رسید. در این روش، مهاجمان درخواست‌های کوچکی را به تعداد زیادی سرور Memcached با آدرس جعلی گیت‌هاب ارسال کردند و هر سرور پاسخی حجیم (تقریباً ۵۰ هزار برابر بزرگ‌تر) به گیت‌هاب فرستاد. تجمع این پاسخ‌های تقویت‌شده، ترافیکی عظیم تولید کرد. خوشبختانه GitHub از سرویس‌های ابری محافظ DDoS بهره‌مند بود که ظرف کمتر از ۱۰ دقیقه ورود این ترافیک غیرعادی را تشخیص دادند و به سرعت ترافیک را به شبکه فیلترشده خود منتقل کردند. در نتیجه، با وجود شدت بسیار بالای حمله، وب‌سایت گیت‌هاب تنها حدود ۲۰ دقیقه با اختلال مواجه شد.

اکتبر ۲۰۲۳ – حمله “HTTP/2 Rapid Reset” گوگل

در سال ۲۰۲۳ یک ضعف امنیتی در پروتکل HTTP/2 منجر به شیوه جدیدی از حملات شد که رکورد جدیدی برجای گذاشت. گوگل اعلام کرد حمله‌ای را دفع کرده که با سوءاستفاده از این آسیب‌پذیری، نرخ خیره‌کننده ۳۹۸ میلیون درخواست HTTP در ثانیه را به سرورهایش تحمیل کرده بود. در این حمله، مهاجمان تعداد بسیار زیادی اتصال HTTP/2 را برقرار کرده و بلافاصله آن‌ها را لغو می‌کردند (ریست می‌کردند) و این چرخه را با سرعت بالا تکرار می‌کردند. نتیجه این رفتار، مصرف شدید منابع سرور و تلاش برای از کار انداختن سرویس بود. کلودفلر که به طور مستقل این نوع حملات را شناسایی کرده بود، گزارش داد پیش‌تر نیز حملات مشابهی با نرخ حدود ۲۰۱ میلیون درخواست بر ثانیه مشاهده و متوقف کرده است. حمله Rapid Reset نشان داد که حتی پروتکل‌های وب مدرن نیز می‌توانند اهدافی برای ایجاد اختلال باشند و اهمیت به‌روزرسانی سریع سرورها (پس از افشای این ضعف، وصله امنیتی برای HTTP/2 منتشر شد) و استفاده از سرویس‌های محافظ را بیش از پیش آشکار کرد.

این نمونه‌های واقعی نشان می‌دهند که حملات DDoS می‌توانند اهداف، مقیاس و روش‌های گوناگونی داشته باشند؛ از حملات نسبتا ساده‌ای که توسط یک نوجوان کنجکاو انجام می‌شود تا حملات پیچیده و عظیمی که زیرساخت اینترنت در چندین کشور را متأثر می‌کند. بنابراین آشنایی با مبانی این حملات و روش‌های دفاع در برابر آن‌ها برای تمام کاربران (و به‌ویژه مدیران سایت‌ها و کارشناسان شبکه) ضروری است. امید است با بهره‌گیری از نکات ارائه‌شده در این مقاله، بتوانید آمادگی بیشتری در برابر این‌گونه تهدیدات کسب کنید و در صورت مواجهه با حملات DDoS، خسارات را به حداقل برسانید.

نقش Trellix و EDR در پیشگیری و مهار حملات DDoS

راهکارهای امنیتی مانند Trellix و سامانه‌های EDR (تشخیص و پاسخ نقطه پایانی) هرچند مستقیماً برای مقابله با حملات DDoS طراحی نشده‌اند، اما در قالب یک استراتژی دفاع چندلایه نقش مهمی ایفا می‌کنند. Trellix با تحلیل هوشمند ترافیک و شناسایی رفتارهای غیرعادی در سطح شبکه، می‌تواند منابع احتمالی حمله یا بات‌نت‌ها را شناسایی کرده و از طریق هماهنگی با فایروال‌ها و سامانه‌های دفاعی، پاسخ مناسبی ارائه دهد. از سوی دیگر، EDR با مانیتورینگ دقیق فعالیت‌های نقاط پایانی، جلوی تبدیل شدن آن‌ها به بخشی از بات‌نت‌های DDoS را می‌گیرد و در صورت آلوده‌شدن، با ایزوله کردن سیستم یا قطع ارتباطات مشکوک، دامنه حمله را محدود می‌سازد. این ابزارها به‌ویژه در تشخیص سریع، واکنش خودکار و پیشگیری از حملات داخلی یا ترکیبی، مکمل خوبی برای سامانه‌های تخصصی مقابله با DDoS محسوب می‌شوند.

جمع‌بندی

حملات DDoS یکی از تهدیدات حیاتی در دنیای امنیت سایبری محسوب می‌شوند که با هدف ایجاد اختلال گسترده در سرویس‌های آنلاین، زیرساخت‌ها و کسب‌وکارها صورت می‌گیرند. این حملات، چه در قالب سیل ترافیک حجیم و چه در قالب درخواست‌های دقیق و هدفمند در لایه کاربرد، می‌توانند خسارات مالی، فنی و اعتباری چشمگیری به بار آورند. همان‌طور که در این مقاله دیدیم، از نخستین حملات در دهه ۹۰ میلادی تا حملات پیچیده و گسترده دهه ۲۰۲۰، روند تکامل DDoS همواره رو به افزایش بوده است. شناخت انواع حملات، آشنایی با نشانه‌های هشداردهنده، و بهره‌گیری از مجموعه‌ای از راهکارهای دفاعی از جمله فایروال‌ها، CDN، ابزارهای تشخیص ناهنجاری، و سرویس‌های ضد-DDoS ابری، بخش جدایی‌ناپذیر از رویکرد امنیتی سازمان‌هاست. همچنین راهکارهای مکمل مانند Trellix و EDR، هرچند مستقیماً برای توقف DDoS طراحی نشده‌اند، اما در تقویت تاب‌آوری زیرساخت، شناسایی منابع داخلی حمله و جلوگیری از گسترش آن، نقشی حیاتی دارند. با اتخاذ رویکردی چندلایه و آماده‌سازی برنامه‌های واکنش سریع، می‌توان اثرات حملات DDoS را به حداقل رساند و پایداری خدمات دیجیتال را حفظ کرد.