حمله منع خدمت (DoS) چیست و چه خطراتی دارد؟
حمله منع خدت (DoS): هر سرور، وبسایت یا خدمتی در اینترنت هراندازه هم که منابع و زیرساختهایش قدرتمند باشد، بالاخره ظرفیت محدودی دارد. حملهی «منع خدمت»، «منع سرویس»، «منع دسترسی» یا DoS (مخفف Denial of Service) نوعی حملهی سایبری است که برای از کار انداختن، خاموش کردن یا مختل کردن یک شبکه، تارنما (وبسایت) یا خدمت بهکار میرود. برای این منظور معمولا مهاجم با سوءاستفاده از ضعفها یا رخنههای امنیتی و با بهکارگیری بدافزار، جریان دادهی ورودی و خروجی سامانهی هدف را مختل یا کاملا مسدود میکند تا هدف موردنظر را مشغول نگه دارد یا از دسترس خارج کند.
نکته: اگر حملهی DoS از نقاط مختلف و هماهنگ انجام شود، اغلب به آن منع سرویس توزیعشده یا DDoS (سرنام Distributed Denial of Service) میگویند.
در صورت وقوع حملهی منع خدمت، کاربران عادی نمیتوانند به شبکه، سامانه، دستگاه یا هر خدمت دیگری که قاعدتا میبایست به آن دسترسی میداشتند، دسترسی یابند. برای مثال، حملهی منع خدمت ممکن است برای مدتی کوتاه یا طولانی (بسته به نوع و گسترهی حمله)، دسترسی کاربران به ایمیل، حساب بانک الکترونیک یا خدمات برخط عمومی را مختل یا قطع کند.
حمله DoS چیست و چه خطراتی دارد؟
مهاجمان در حملهی DoS روی شبکه/رایانه/دستگاهِ هدف، ترافیک دروغین و سنگین ایجاد میکنند تا آنرا از کار بیاندازند. نتیجتاً ممکن است سرور از کار بیفتد یا چنان مشغول شود که نتواند به درخواستهای واقعی کاربرانش پاسخ دهد.
حمله منع خدمت معمولا فینفسه خطر دیگری ندارد، یعنی مثلا دادههای کاربران را نمیرباید یا به فایلهایشان آسیب نمیزند، اما ممکن است زمان و منابع زیادی هدر دهد. گاهی حملهی منع خدمت چند ساعت تا چند ماه هدفش را درگیر میکند.
تصویری نمادین که ماهیت حمله منع سرویس اعم از تکمنبع (DoS) و توزیعشده (DDoS) را نشان میدهد. درخواستهای دروغین یا ترافیک ساختگی و سنگینی که مهاجم بهسمت هدف ارسال میکند (اینجا خودروهای قرمز)، شبکه را مشغول نگه میدارد یا از کار میاندازد. لذا درخواستهای واقعیِ کاربران (اینجا خودروهای آبی) معطل میماند. مثلا اگر وبسایتی خدماتی مورد حمله DoS یا DDoS واقع شود، یا ارائهی خدماتش بسیار کند و یا کلاً از دسترس کاربران خارج میشود.
حمله منع خدمت چگونه انجام میشود؟
در حمله منع خدمت، مهاجم با ایجاد ترافیک ساختگی، میکوشد منابع طرف مقابل را مشغول نگاه دارد تا آنرا از ارائه خدمت به کاربران واقعی بازدارد. اگر حمله وسیع باشد، سرور یا تارنمایی که هدف قرار گرفته است، عملاً از کار میافتد.
روش حمله، به نقاط ضعف سامانهی هدف بستگی دارد؛ مثلا ممکن است مهاجم درخواستهای انبوهی را سمت سرورهای شبکه سرازیر کند. اگر منابع سرور برای پاسخگویی به چنان حجمی از درخواستها کافی نباشد، حافظه رم یا پردازندهی سرور قفل میکند.
حملههای DoS معمولا به سه نوع اصلی تقسیم میشوند:
- حملهی لایهی کاربرد (application-layer): هدفش از کار انداختن کاربرد یا خدمت خاصی است، و نه از کار انداختن کل شبکه. برای این منظور، مهاجم معمولا انبوهی از درخواستهای غیرواقعیِ HTTP را سمت برنامهی کاربردیِ مربوطه میفرستند؛ طوری که برنامهی کاربردی (اپلیکیشن) نمیتواند به همه آنها پاسخ دهد. مدت حملههای لایهی کاربرد را برحسب درخواستبرثانیه (RPS) میسنجند.
- حملهی لایهی پروتکل یا شبکه (protocol/network-layer): با هدف گرفتن زیرساختها و ابزارهای مدیریت شبکه، از ضعفهای موجود در پروتکلها و رویههای شبکه سوءاستفاده میکند. چنین حملاتی نه یک برنامهی کاربردی خاص بلکه تمام شبکه را مختل میکند. حملههای لایهی پروتکل/شبکه را برحسب بستهبرثانیه (PPS: packet per second) یا بیتبرثانیه (BPS) میسنجند.
- حملهی حجمی (Volumetric): رایجترین نوع حملههای منع سرویس است که با ارسال انبوه درخواستهای دروغین میکوشد ظرفیت پهنای باند هدف را پر کند. در آنصورت، ترافیک واقعی یا درخواستهای راستین مجال عبور پیدا نمیکنند. وسعت حملههای حجمی را برحسب بیتدرثانیه میسنجند.
نحوه تشخیص حمله منع سرویس (DoS)
تشخیص حمله DoS سخت است زیرا ممکن است در مراحل آغازین حمله، اختلالهای رخداده، مشکلی عادی تلقی شوند. اما با درنظر داشتن چند معیار میتوانید وقوع حمله منع خدمت را تشخیص دهید. کارشناسان US-CERT میگویند، حملههای منع خدمت، 3 نشانه رایج دارند:
- کند شدن عملکرد شبکه (مثلا باز کردن فایلها یا دسترسی به تارنما بیش از حد معمول طول میکشد.)
- از دسترس خارج شدن تارنمایی خاص، یا...
- قطع دسترسی به همه تارنماها
شیوههای حمله DoS نیز متفاوت است. بعضی از شیوهها دیگر بهکار نمیروند چون ضعفهایی که منجر به حمله میشدند، رفع شدهاند. اما بعضی دیگر هنوز هم کاربرد دارند.
در بعضی از شیوههای منع خدمت، مهاجم دنبال پورتهای باز در شبکه میگردد تا شاید از طریقشان بتواند به شبکه حمله کند. گاهی نیز پیکربندی شبکه طوری است که اجازه میدهد بستههای داده همزمان به همه دستگاهها یا اصطلاحا میزبانهای موجود در شبکه ارسال شود و مهاجم با سوءاستفاده از چنین سازوکاری شیوهی خاصی را بهکار میبندد.
تفاوت حمله DoS با DDoS
مهمترین تفاوت حمله DoS و DDoS به تعداد نقطههای شروع حمله مربوط است. اگر منشأ حمله تنها یک آدرس آیپی یا یک رایانه باشد، بهآن منع خدمت (DoS) میگویند. اما اگر چند رایانه هماهنگ با هم در حمله مشارکت کنند، بهآن منع خدمت توزیعشده (DDoS) میگویند. مثلا گاهی مهاجمان با آلوده کردن هزاران رایانه در اینترنت و ایجاد شبکهای از رایانههای آلوده (اصطلاحا باتنت) به هدف حمله میکنند. طبیعتاً مقابله با حملههای DDoS سختتر است.
روش جلوگیری از حمله DoS (منع سرویس)
در حال حاضر روشی وجود ندارد که بتوان کلاً جلوی هر نوع حملهی DoS را گرفت، اما با چند راهکار میتوان پیامدهای حمله را کاهش داد، از جمله:
- برای مواجهه با حملههای DoS طرحونقشهای تهیه کنید که همهی جنبههای مواجهه با حمله مثل ارتباطات، کاهش تبعات و بازگشت به وضعیت عادی در آن لحاظ شده باشد.
- با نصب ضدبدافزارها و راهاندازی دیوار آتش (جهت مدیریت و نظارت بر ترافیک شبکه) امنیت شبکهتان را بهبود دهید و آنرا تقویت کنید.
- میتوانید از شرکتهای امنیتی خاص، خدمات حفاظتی (سامانه تشخیص نفوذ) دریافت کنید تا در صورت وقع حمله DoS، ترافیک مخرب را فیلتر و آنرا گمراه کند و حتی نشانههای حمله را تشخیص دهد. ممکن است سازمانها و شرکتهای بزرگ، خودشان چنین سازوکاری داشته باشند.
- میتوانید با بخشبندی شبکه (اصطلاحا segmentation)، شبکه را به چند زیرشبکه مجزا تقسیم کنید تا ترافیک مخربِ ناشی از حملههای DoS، تمام شبکه را درگیر نکند.
- تنظیمات و اقدامات امنیتیتان را ارزیابی کنید و در صورت لزوم آنها را بهبود دهید.
.jpg)
.jpg)