چگونه در حملات منع سرویس توزیع‌شده شرکت نکنیم؟

هرچند در حال حاضر می‌دانیم که حملات منع سرویس توزیع‌شده به عنوان یک تهدید بزرگ برای سازمان‌ها و وب‌گاه‌های دولتی تا وب‌گاه‌های شخصی تبدیل شده‌اند ولی این حملات رفته‌رفته بزرگ‌تر و گسترده‌تر می‌شوند و به نظر می‌رسد روندی برای توقف آن وجود ندارد. این حملات مانند طوفان یا زلزله هستند که به سختی بتوان از آن‌ها جان سالم بدر برد.

 

در شرایط فعلی خیلی سخت نیست تا وضعیت خود را مورد بررسی قرار دهیم. براساس گزارشی که توسط بخش‌های فعال در زمینه‌ی مقابله با حملات منع سرویس توزیع‌شده، انجام شده است، شدت و اندازه‌ی این حملات دو برابر شده و به 50 گیگابیت بر ثانیه رسیده است. تعداد حملات منع سرویس توزیع‌شده نیز در 12 ماه گذشته، 15 درصد افزایش داشته است. 

 

در این گزارش آمده است در اکثر مواقع از حملات منع سرویس توزیع‌شده به‌عنوان روشی برای استتار سایر حملات استفاده می‌شود. 42 درصد از سازمان‌هایی که در نظرسنجیِ این گزارش شرکت کرده‌اند، اعلام کرده‌اند از حملات منع سرویس توزیع‌شده برای توزیع بدافزار استفاده شده است. در 27 درصد از موارد نیز برای توزیع باج‌افزار و در برخی موارد دیگر، برای اخاذی از این حملات استفاده شده است. شاید جالب باشد عنوان کنیم که وقوع یک حمله‌ی منع سرویس توزیع‌شده، برای یک شرکت می‌تواند 2.5 میلیون دلار هزینه به دنبال داشته باشد. 

 

این آمار و اطلاعات بسیار تأمل‌برانگیز هستند و ضروری است تا سازمان‌ها گام‌هایی را برای بهتر کردن وضعیت و در دست گرفتن کنترل شبکه‌ها انجام دهند. شرایطی که فعلاً داریم بدین شکل است که وضعیت را تحمل می‌کنیم و مهاجمان با انجام حملات منع سرویس توزیع‌شده، به ما پوزخند می‌زنند. 

 

در اولین گام برای مقابله با حملات منع سرویس توزیع‌شده، باید به این درک برسیم که وب‌گاه ما در برخورد با ترافیک غیرمنتظره‎ی ورودی، چه واکنشی را باید از خود نشان دهد. به‌عنوان یک راه‌حل سنتی می‌توان از سامانه‌های تعادل و موازنه‌ی بار استفاده کرد تا ترافیک ورودی را بین کارگزارهای مختلف توزیع کرده و تأثیرات حمله را کاهش دهد. با این حال روش‌های مؤثر برای تعادل بار نیز نمی‌توانند پاسخگوی حملات منع سرویس توزیع‌شده در مقیاس گسترده باشند. پس راه‌حل چیست؟

 

تنها راه‌حل برای اینکه بدانیم چه مقدار از ترافیک قابل قبول و کنترل است، این است که آزمایشی بر روی وب‌گاه‌ها، برنامه‌های کاربردی و مراکز داده با این مقدار ترافیک انجام دهیم. برای بهتر کردن این آزمایش خوب است از ابزارهایی استفاده کنیم که به‌درستی حملات منع سرویس توزیع‌شده را شبیه‌سازی کرده و این حملات را در مقیاس‌های بسیار گسترده و واقعی اجرا کنند. 

 

یکی دیگر از روش‌های مؤثر برای جلوگیری از ترافیک زیاد و غیرمنتظره به شبکه، این است که در مراحل اولیه، ترافیک را به‌طور مناسبی مسدود و پالایش کنیم. این روش به‌طور چشمگیری تأثیرات حمله را کاهش داده و می‌تواند در روند عملیات دیواره‌ی آتش و سایر راه‌حل‌های امنیتی بهبود حاصل کند. به‌عبارت دیگر راه‌حل‌های امنیتی به‌خوبی خواهند توانست تهدیدات را شناسایی کنند به‌طوری که نرخ خطای مثبت-نادرست آن‌ها کاهش یابد. 

 

برای پیاده کردن این روش می‌توان از تجهیزاتی مانند دروازه‌ها استفاده کرد که به‌طور دائمی ترافیک شبکه را کنترل کرده و آدرس‌های IP که در حملات منع سرویس توزیع‌شده مورد استفاده قرار می‌گیرند را مسدود کنند. این دروازه می‌تواند به‌حالت بلادرنگ عمل کرده و به محض کشف تهدیدها و آسیب‌پذیری‌های جدید، بر روی آن به‌روزرسانی‌هایی اعمال شود. زمانی‌که ترافیک مخربی به دست دروازه رسید، آن را مسدود کرده و از ورود آن به شبکه جلوگیری می‌کند. 

 

می‌توان از این دروازه‌ی نظارتی برای مسدود کردن ترافیکِ مربوط به نقاط جغرافیایی خاص نیز استفاده کرد. نتایج تحقیقات نشان می‌دهد که بسیاری از کارگزارهای دستور و کنترل که برای مدیریت و هدایت حملات منع سرویس توزیع‌شده مورد استفاده قرار می‌گیرند، در تعداد انگشت‌شماری از کشورها واقع شده‌اند. وقتی سازمان شما با یکی از این کشورها تعامل خاصی ندارد، ضرورتی ندارد که آدرس‌های مربوط به آن کشور و منطقه‌ی جغرافیایی را مسدود نکنید. 

 

یکی دیگر از مزایای استفاده از دروازه این است که به‌راحتی می‌توان بات‌های آلوده را در سطح شبکه شناسایی کرد. کم نیستند سازمان‌هایی که برخی از سامانه‌های آن‌ها به بات تبدیل شده و اطلاعات حساس را از سامانه خارج می‌کنند و یا حملات منع سرویس توزیع‌شده انجام می‌دهند ولی مدیر شبکه از این مسئله بی‌اطلاع است. در شرایطی که از دروازه استفاده می‌شود، وقتی مشاهده کنیم که یک سامانه به‌طور مداوم به یک درگاه مشخص گوش می‌دهد و بر روی آن داده دریافت می‌کند، می‌توان متوجه شد که دستورات را از کارگزارهای دستور و کنترل خود دریافت می‌کند. در ادامه می‌توان این سامانه‌ی آلوده را به‌طور دائمی از شبکه حذف و یا در قرنطینه قرار داد. 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید