بهترین روش مقابله با حمله‌های DDoS

تجربه‌ی یک حمله‌ی انسداد سرویس توزیع‌شده (DDoS) مانند تجربه‌ی سیلاب در خانه است. مهاجمان بدون اطلاع قبلی شبکه‌ی شرکتی را به زانو در می‌آورند. هنگام رخداد چنین حمله‌ای هر لحظه سرنوشت‌ ساز است، اما متأسفانه زمانی که برخی از راهکارهای امنیتی، حمله را شناسایی و گزارش می‌کنند، دیگر کار از کار گذشته است و خسارتی به بار آمده است. به همین دلیل، برای پیشگیری و مقابله با این دست تهدیدات شدید، راهی جز پیاده‌سازی ابزارهای تشخیصی بلادرنگ در شبکه‌ وجود ندارد.

هنگام وقوع حمله‌ی DDoS به یک شبکه، عامل زمان بسیار اهمیت دارد. گاهی پیش می‌آید که کارشناسان بخش شبکه و امنیت اختلالات در خدمات شبکه را به دلیل خرابی کارگزار یا نرم‌افزارها تلقی می‌کنند تا یک حمله. حتی زمانی هم که شناسایی صحیح صورت می‌گیرد، خنثی‌سازی تهدید با مشکل کندی پاسخ مواجه است.

حملات حجمی1، با وجود قدرت تخریب‌کنندگی بالا، معمولاً با تأخیر زیادی شناسایی می‌شوند. بعلاوه، شناسایی حملات در سطح نرم‌افزاری بسیار دشوارتر بوده و معمولاً به دلیل اجرا در سطح حجمی پایین، از رادارهای نظارتی می‌گریزند.

زمانی هم که اقدامات خنثی‌سازی به موقع اجرا نشوند، ممکن است کار از کار گذشته و شبکه خسارت زیادی را متحمل شده باشد. در طی حملات حجمی، جدول وضعیت دیوار آتش2 اشباع می‌شود و حتی ممکن است منجر به راه‌اندازی‌های مجدد کارساز شود، شاید هم اوضاع وخیم‌تر شده و باعث قفل شدن سامانه شود، طوری که دیگر کاربران قانونی هم نتوانند از خدمات استفاده کنند.

روش‌های اجرا و شناسایی

روش‌های متعددی وجود دارند که به تیم‌های امنیتی امکان نظارت بر فعالیت‌های درون شبکه را می‌دهند. یکی از روش‌های معروف، نمونه‌گیری از جریان ترافیک3 است، چرا که تقریباً همه‌ی روترها از این فناوری، به شیوه‌های مشابه به نام‌های NetFlow، IPFIX، یا sFlow پشتیبانی می‌کنند. در این روش، روتر نمونه‌هایی از بسته‌های4 ترافیک شبکه تهیه می‌کند و داده‌نگاری5 حاوی اطلاعاتی درباره‌ی آن بسته صدور می‌کند. این فناوریِ رایج، به راحتی در دسترس بوده، مقیاس‌پذیری خوبی داشته و برای نمایش روند حرکت ترافیک شبکه مناسب است.

اما به منظور تحلیل عمیق‌تر امنیت شبکه، تکیه‌ی صِرف بر این نمونه‌ها دقت بالایی را در پی ندارد، چرا که در این روش، نمونه‌ی حاصل تنها بر اساس یک دسته از هزاران دسته‌ی عبوری در ترافیک شبکه بوده و به نوعی کلیت واقعیت از دید محفوظ می‌ماند. دستگاه تحلیل جریان داده‌ها6 باید رفتار جریان‌های ترافیک داده‌ای را در طول زمان طولانی‌تری زیر نظر داشته و ارزیابی کند تا از وجود اتفاقات مشکوک اطمینان حاصل شود، و حتی‌الامکان از هشدارهای مثبت کاذب7 جلوگیری شود.

در روش‌های معمول برای حفاظت از حملات DDoS از دستگاه‌های تحلیل جریان داده بهره‌گیری می‌شود. بعد از کشف رفتارهای مشکوک مهاجم، ترافیک رایانه‌ی قربانی به دستگاه خنثی‌ساز8 هدایت می‌شود و در آن‌جا دستورات بعدی برای مقابله صادر می‌شود. این روش برای جمع‌آوری ترافیک جهت تحلیل مناسب است، و مدل واکنشی آن تنها ترافیک‌ مشکوک را تغییر مسیر می‌دهد، که باعث می‌شود اشتراک بیش‌ از حد پهنای‌ باند9 ممکن شود. اما این کار کمی مخاطره‌آمیز است، چرا که زمان متوسط برای خنثی‌سازی ممکن است به چند دقیقه هم افزایش پیدا کند.

به منظور شناسایی با دقت بالا و خنثی‌سازی تهدید در کمترین زمان، یکی از گزینه‌های قدرتمند استفاده از دستگاه‌های خنثی‌ساز DDoS با عملکرد بالا درونِ مسیرهای ترافیک داده پیشنهاد شده است. جایگذاری درون‌مسیر10 امکان پردازش مستمر تمامی ترافیک ورودی (نامتقارن) و احتمالاً ترافیک خروجی (متقارن) را فراهم می‌کند. این یعنی دستگاه خنثی‌ساز می‌تواند در صورت بروز رفتاری مشکوک، پاسخ‌های بلادرنگ، و حتی کمتر از ثانیه بدهد. همچنین جالب است بدانید که این راهکارِ امنیتیِ خنثی‌ساز قادر است در مقیاس  اتصال بالایی11 هم کار کند و در حملات چند جهته12 در واقعیت عملکرد بالایی از خود نشان دهد.

در روش جایگزین شناسایی و نمونه‌برداریِ درون‌مسیر، آینه‌ی بسته‌های داده‌ای13 (رونوشتی کامل از بسته‌های درون‌ شبکه) می‌تواند تمام جزئیات برای تحلیل ترافیک را در اختیار قرار داده، در حالی که دیگر نیازی به جایگذاریِ درون‌مسیر هم نیست. این روش نیز شناسایی سریع ناهنجاری‌ها در ترافیک را امکان پذیر می‌کند. درست است که راه‌اندازی راهکارهای آینه‌ای در شبکه‌های بزرگ چالش برانگیز است، اما استفاده از این روش برای مراکز خنثی‌سازی و تحلیلِ متمرکز بسیار مناسب می‌باشد.

مراقب معیارهای عملکرد باشید

برای بسیاری از کاربران اینترنت، پهنای باند یکی از معیارهای اصلی به حساب می‌آید. کاربران هنگامی که می‌خواهند اشتراک اینترنت خانگی خود را خریداری کنند، تقریباً همیشه معیار پهنای باند اولین گزینه‌ای است که مد نظر قرار می‌دهند. هرچند که موضوع پهنای باند اهمیت بالایی دارد، اما اهمیت بیشتر کار در جزئیات است. معمولاً‌ دستگاه‌های درون شبکه، نهایتاً بسته‌های شبکه را که از نظر اندازه هم متفاوت هستند، پردازش می‌کنند. بسته‌های کوچک، پهنای باند کمتری را استفاده می‌کنند؛ در مقابل، بسته‌های بزرگ‌تر به پهنای باند بیشتری نیازمندند. اصلی‌ترین عامل محدودکننده در یک گره‌ از شبکه، با توان دستگاه درون شبکه برای پردازش بسته‌ها در هر ثانیه تعیین می‌شود. یک مهاجم به راحتی می‌تواند با ارسال بسته‌های کوچک و با نرخ سرعت بالا، کل زیرساخت شبکه را تحت فشار قرار دهد، که به طور خاص این اقدام را علیه زیرساخت‌های امنیتی سنتی مانند دیوارهای آتش یا سامانه‌های تشخیص نفوذ به کار می‌گیرد. این دسته از سامانه‌ها به دلیل رویکرد امنیتی حالتمند14 خود به مراتب در برابر حملات بی‌حالت15 و سرعت بالا مانند حملات سیلابی آسیب‌پذیری بیشتری دارند.

گزارش نفوذ به داده16 در سال ۲۰۱۴ توسط شرکت ارتباطات و فناوری Verizon نشان می‌دهد که نرخ حملات بسته در ثانیه (pps) نسبت به سال قبل ۴.۵ برابر افزایش داشته است. با یک حساب سر انگشتی مشخص می‌شود که سال ۲۰۱۴ عدد ۳۷ مگا pps، و در سال ۲۰۱۵ عدد ۱۷۵ مگا  pps‌را تجربه می‌کند. این‌ اعداد میانگین سالانه هستند و تنها برای نمایش روندتغییرات استفاده می‌شوند، با این حال، تاریخ حملات سایبری نرخ‌های pps بالاتری را نیز به خود دیده است. اگر می‌خواهید امنیت شبکه‌‌تان را تضمین کنید، باید همیشه خود را برای بدترین حالت آماده کنید.

با ورود  نرخ‌ بالای بسته‌ها در هر ثانیه‌ در پی حملات DDoS، و به ویژه حملات حجمی، به داخل شبکه، خنثی‌سازی تهدیدات به راهکارهایی با توان پردازشی کافی نیازمند است.

متناسب‌ کردن توان تحلیل داده‌های عبوری در شبکه هم یکی دیگر از اقدامات اساسی است. فناوری‌های نظارت بر جریان داده‌ها نسبتاً مقیاس‌پذیری قابل قبولی دارند، اما در شرایطی هم هزینه‌ی بالایی را تحمیل می‌کنند: دقت بسیار کاهش یافته و زمان خنثی‌سازی افزایش می‌یابد.

اگر در ویژگی‌های دستگاه شبکه ارقامی مبنی بر توان کاری آن مشاهده می‌کنید که جواب‌گوی نیازتان هست، دقت کنید که همیشه آن‌چه توسط شرکت‌ها تبلیغ می‌شود، بهترین حالت بوده و ممکن است در شرایط واقعی عملکرد پایین‌تری از دستگاه ببینید.

در حال حاضر، مهاجمین از روش‌های حمله‌ی چند جهته استفاده می‌کنند، به این معنی که به طور همزمان روش‌های حمله‌ی متعددی را به کار می‌گیرند. همچنین توجه به ارقام عملکرد در صفحه‌داده17 دستگاه می‌تواند در شناخت بهتر توان عملی و مطابقت آن با نیازهای شما کمک‌ کننده باشد. با این وجود، توصیه می‌کنیم راهکارهای خنثی‌سازی را قبل از به‌ کارگیری نهایی با آزمون‌ها و سناریوهای حمله‌ی متعدد توان‌سنجی کنید.

گرایش مهاجمان به استفاده از حملات چند جهته، ضرورت اعتبارسنجی عملکرد راهکارهای امنیت شبکه را دوچندان می‌کند. اجرای حملات ساده مانند سیلاب SYN برای آزمایش شبکه، فشار زیادی بر پردازنده‌های مرکزی متمرکز می‌کند، که البته اگر امکان خنثی‌سازی حمله در سطح سخت‌افزاری باشد، پاسخ‌دهی کارساز بهتر خواهد بود. همچنین مواجهه‌ی همزمان سامانه با حملات پیچیده در سطح نرم‌افزاری مانند سیلاب HTTP GET می‌تواند تمام منابع پردازشی آن را اشغال کرده و موجب قفل شدن کارساز شود.

یکی دیگر از نکات ضروری در جهت تضمین توان مقابله‌ی سامانه در برابر حملات همزمان، اعتبارسنجی دوره‌ای عملکرد امنیتی شبکه و سخت‌افزارهای زیرمجموعه‌ی آن است.

همان‌طور که در ابتدا اشاره شد، سیلاب شبکه‌ای شباهت زیادی با سیلاب واقعی دارد. هرچه زودتر از وقوع آن خبر یابید، می‌توانید سریع‌تر اقدامات لازم را برای پیش‌گیری از خسارت انجام دهید.    ‌        

 

اخبار مرتبط:

 

  • 1. Volumetric attacks
  • 2. firewall state table
  • 3. Traffic flow
  • 4. Packet
  • 5. Datagram
  • 6. flow analytics device
  • 7. false positive
  • 8. mitigation device
  • 9. bandwidth oversubscription
  • 10. in-path
  • 11. uplink
  • 12. multi-vector attacks
  • 13. mirrored data packet
  • 14. stateful
  • 15. stateless
  • 16. data breach
  • 17. datasheet
0
هنوز هیچ ستاره‌ای موجود نیست.