هجوم الحرمان من الخدمة Denial of Service Attack

مقدمة

هجوم الحرمان من الخدمة Denial of Service attack ويعرف اختصارا بـ DoS هو نوع من الهجمات الخبيثة يقوم بها المهاجم أو مجموعة من المهاجمين بهدف إخراج الحاسب أو الحواسيب أو موارد الشبكات المستهدفة عن الخدمة لفترة محدودة أو بشكل دائم.

يقوم المهاجمون عادة في هذا النوع من الهجمات بإغراق الأجهزة المستهدفة بالطلبات Requests بسرعة أكبر من قدرة هذه الأجهزة على الاستجابة Response أو عبر إرسال طلبات Requests مصممة خصيصا لاستهلاك موارد الأجهزة المستهدفة بحيث لا تعود هذه الأجهزة قادرة على الاستجابة للطلبات الحميدة.

فإذا قامت مجموعة خبيثة ما بمهاجمة صفحة مدونة أحد الصحفيين بهذا الهجوم لن يتمكن أي من زوار المدونة من معاينة محتواها طوال فترة الهجوم وربما حتى بعده. إذ أن الحاسب وراء المدونة سيكون غارقا بالطلبات (طلبات الزيارة مثلا) التي ترد من الجهة الخبيثة ولن يتمكن لا للإستجابة لهذه الطلبات الخبيثة ولا للطلبات الحميدة وقد يؤدي ذلك إلى خروج الحاسب عن الخدمة (حتى يتم إعادة تشغيله مثلا).

يشبه ذلك أن يقوم مجموعة كبيرة جدا من الأشخاص الخبيثين بالدخول إلى متجر آخذين كامل مجال الحركة ضمن المتجر حتى مدخله، ما يمنع أي شخص يريد التبضع من الدخول إلى المتجر.

تطلق تسمية هجوم الحرمان من الخدمة Denial of Service Attack على هجمات الحرمان من الخدمة التي يكون مصدرها جهازا واحدا. أما إذا كان مصدر الهجوم عدد من الأجهزة المتباعدة في فضاء الإنترنت، فيسمى الهجوم عند ذلك هجوم الحرمان من الخدمة الموزّع Distributed Denial of Service attack الذي يعرف اختصارا بـ DDoS.

قد يكفي في هجوم الحرمان من الخدمة DoS قطع إتصال المهاجم أو وضع عنوان الآي بي IP Address الخاص بالمهاجم أو ترشيح Filter الطلبات التي تصل الجهاز وإزالة الطلبات التي تصل من الهاجم يكفي لإيقاف الهجوم. بينما في هجوم الحرمان من الخدمة الموزع DDoS يكون مصدر الهجوم موزعا كما يشير الاسم، ما يعني عدم إمكانية إيقاف الهجوم عبر الطرق المستخدمة لإيقاف هجوم الحرمان من الخدمة غير الموزع.

قياس شدة هجوم الحرمان من الخدمة

تقاس شدة هجوم الحرمان من الخدمة بحجم البيانات التي تصل إلى الجهة المستهدفة بالهجوم بالثانية على ان يقاس حجم البيانات بواحدة البت bit. إذا واحدة قياس شدة هذا النوع من الهجوم هي الـ bits/s أو bps اختصارا لـ bits per second. يضاف إلى ذلك واحدات القياس المشتقة من الـ bps مثل الـ Kbps أي Kilo bits per second وكذلك Mbps وGbps والـ Tbps اختصارا لـ Mega bits per secon وGiga bits per second وTera bits per second. وعادة تستخدم القيمة القصوى التي تصل إليها شدة هجوم من هذا النوع خلال حدث أو هجوم معين.

توضح الصورة القيمة العظمى التي وصل إليها أضخم جهمات الحرمان من الخدمة الموزعة بين كانون الثاني/يناير 2007 آذار/مارس 2018.

متابعة أخبار هجمات الحرمان من الخدمة

يمكن متابعة أي مستجدات في موضوع هجمات الحرمان من الخدمة بأنواعها بشكل عام عبر متابعة المواقع المعنية بأمن المعلومات. بالإضافة لذلك يمكن معاينة الخدمات التالية:

Digital Attack Map

خريطة الهجمات الرقمية http://www.digitalattackmap.com/، خدمة من شركة Arbor تقوم بإظهار حالة هجمات الحرمان من الخدمة الموزعة DDoS التي تحدث في الوقت الراهن على خريطة تفاعلية. تقدم المنصة أيضا إمكانية معاينة هجمات سابقة وقراءة معلومات إضافية عن الهجمات.

Norse Attack Map

http://map.norsecorp.com/#/

Akamai Real Time Web Monitor

تقدم شركة Akamai Technologies وهي إحدى أكبر شبكات تزويد الحتوى Content Delivery Network وإحدى أهم شركات الخدمات السحابية، تدير الشركة بنية تحتية يمر خلالها 15-30% من جميع البيانات المتبادلة عبر الانترنت. هو رقم مهوول. هذا يخول الشركة إجراء إحصائيات ودراسات تمثل حالة شبكة الانترنت في جميع أنحاء العالم. ومن بين هذه الاحصائيات حالة هجمات الحرمان من الخدمة، مصدرها وهدفها كما هو مبين في الشكل أدناه من خلال هذا الرابط: https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp

أدوات هجمات الحرمان من الخدمة DoS and DDoS Tools and Instruments

البرامج الخاصة

يقوم هذا البرنامج بإرسال الطلبات بشكل مؤتمت من جهاز المستخدم بعد إعداده لاستهداف جهاز أو شبكة محددة. في يومنا هذا لا يكفي استخدام البرنامج من قبل مستخدم واحد لتحقيق شدة هجوم كافية لإخراج الهدف عن الخدمة. لذلك يقوم المهاجمون بتوجيه الكثير من الأشخاص لاستخدام هذا البرنامج بالتواقت لتحقيق شدة هجوم كافية لإخراج هدف ما عن الخدمة بشكل مؤقت أو دائم. تعد مجموعة Anonymous من أكثر المجموعات شهرة بالقيام بعملية الحشد والتوجيه لاستهداف جهة معينة، عبر استخدام برامج خاصة بإرسال الطلبات مثل برنامج R.U.D.Y. الذي يوفر واجهة سهلة الاستخدام لإجراء هجوم R.U.D.Y. وأيضا تطبيق Low Orbit Ion Cannon واختصارا LOIC او برنامج High Orbit Ion Cannon واختصارا HOIC الممثلين في الصورتين التاليتين.

خدمة الحرمان من الخدمة المأجورة DDoS for Hire

تقوم مجموعات عديدة على الانترنت بتقديم ما يسمى بخدمة الحرمان من الخدمة المأجورة DDoS for hire أو DDoS as a Service مقابل أجر مادي. لأن هجوم الحرمان من الخدمة غير قانوني تجرمه قوانين أغلب دول العالم إن لم تكن جميها، فيمكن اعتبار هذه المجموعات مجموعات إجرامية، مارقة، خارجة عن القانون، وعرضة للملاحقة القانونية. لذلك تحاول هذه المجموعات اخفاء الهوية الحقيقية لمن يقفون وراءها.

من أهم هذه الخدمات، الخدمة التي يقدمها موقع https://webstresser.org الذي تم إيقافه وإلقاء القبض على مدرائه في تاريخ 25 نيسان/أبريل 2018 بعملية قادها مركز مكافحة الجريمة البريطاني والشرطة الهولندية، بالتنسيق مع الشرطة الأوروبية وعدد آخر من مؤسسات الشرطة في عدد من الدولة، استطاعت السلطات فيها اعتقال 6 اشخاص يقفون خلف الخدمة في عدد من الدول. للمزيد: Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested و Cyber-attack website Webstresser taken down

في مقالة استقصائية أنجزتها شركة Fortinet يمكن معاينها هنا: DDoS-for-Hire Service Powered by Bushido Botnet وجد الباحثون المعلومات التالية المتقلة بأجور تنفيذ الحرمان من الخدمة الموزعة DDoS عبر موقع ZullSec مستخدمين Boshido Botnet:

توضح الصورة التالية الخيارات المختلفة الخبيثة التي يقدمها الموقع عند كتابة هذه الفقرة (أيار/مايو 2019)

الخدمة البرونزية - هجوم باستخدام طريقة واحدة - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 20$
الخدمة البرونزية+ - هجوم باستخدام طريقتين - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
الخدمة البرونزية VIP - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة متميزة - 70$

الخدمة الفضية - هجوم باستخدام طريقة واحدة - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
الخدمة الفضية+ - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - 40$
الخدمة الفضية VIP - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة متميزة -100$

الخدمة الذهبية - هجوم باستخدام طريقة واحدة - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 40$
الخدمة الذهبية+ - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - 50$
الخدمة الذهبية VIP - هجوم باستخدام طريقتين - 7200 ثانية = 120 دقيقة - دعم تقني 24/7 - شبكة متميزة - 150$

بالطبع لا نحاول هنا الترويج لهذه الخدمة وإنما نحاول تعريف القارئ والقارئة بالخدمات الخبيثة المتوفرة في السوق السوداء. فقد يبدو مصدر الجهوم على موقعكم جهة مقتدرة تقنيا في حين من يقف وراء الهجوم جهة مقتدرة ماديا ومستعدة لدفع كلفة الهجوم.

أيضا يمكن عبر معاينة مدة الهجوم وطبيعته تحديد ما إذا كان خدمة مأجورة، فإن كان مدة الهجوم الذي تعرض له موقعكم مضبوطا بدقة كأن يكون 900 ثانية بالضبط أو 3600 ثانية بالضبط فإن في ذلك إشارة لا بأس بها إلى كون الهجوم مأجورا. وإن كانت مدة الهجوم بعد بياناته أضعافا من قيمة محددة مثلا 5 ساعات تماما، فإن في ذلك إشارة إلى الأجرة التي دفعتها الجهة المستأجرة للخدمة وربما في ذلك إشارة إلى قدرة تلك الجهة المادية.

تصنيفات هجمات الحرمان من الخدمة DOS and DDOS Attacks categories

مجال أمن المعلومات الرقمية مجال سريع التغيّر، فهناك أساليب جديدة من الهجمات كل فترة وتغيرات على البنية التحتية للانترنت ما يعني إغلاق ثغرات كانت تستغل في الهجمات وأيضا ربما فتح ثغرات جديدة يمكن للمهاجمين استغلالها، بسبب طبيعة المجال هذه، لا يوجد تصنيف وحيد معتمد للهجمات وأنواعها ومنها هجمات الحرمان للخدمة. لكن يمكننا عبر معاينة بعض النواحي المشتركة في هجمات الحرمان من الخدمة لوضع التصنيفين التاليين. وعند الحديث عن هجوم معين من المفيد ذكر مكان الهجوم ضمن هذين التصنيفين. فيمكن القول مثلا أن هجوم HTTP Flood Attack هو هجوم على طبقة التطبيقات (التطبيق هو خادم HTTP) وهو أيضا من هجمات الإغراق Flood Attacks.

التصنيف الأول

الهجمات على طبقة التطبيقات Application Layer Attacks

وهي هجمات الحرمان من الخدمة التي تستهدف برامج الشبكة، أي البرامج التي تتموضع في الطبقة 7 من طبقات الشبكة حسب معيار نموذج OSI. أي أنها تستهدف تطبيقات الويب المتصلة بالشبكة مثل التطبيق الذي يعمل كخادم HTTP. تكون هذه الهجمات عادة أكثر تعقيدا من الهجمات الأخرى وتعتمد على استهلاك وإنهاك إمكانيات وموارد الجهاز المستهدف بهدف احتكارها. من الصعب تمييز حزم هذه الهجمات عن حزم الخدمة العادية. HTTP Flood Attack مثال عن هذا الصنف من الهجمات.

الهجمات المبنية على البروتوكول Protocol Based Attacks

تركز هجمات حرمان الخدمة المبنية على البروتوكول على نقاط الضعف في الطبقات 3 و4 من نموذج OSI للشبكات. وهما طبقتا البروتوكولات. تقوم هذه الهجمات باستهلاك كامل قدرة الجهاز المستهدف لمعالجة البيانات ما يؤدي إلى حرمان الآخرين من الخدمة. من الأمثلة على هذا النوع من الهجمات هجوم Syn Flood وهجوم Ping of Death.

الهجمات الحجمية Volumetric Attacks

في هذا النوع من هجمات الحرمان من الخدمة، يقوم المهاجمون بإرسال كمية كبيرة جدا من البيانات في محاولة منها لإغراق مجاري الاتصال الخاصة بالجهاز المستهدف. من السهل إجراء هذه الهجمات عند استغلال ما يسمى بأساليب التضخيم amplification techniques وهي أساليب يستخدمها المهاجمون لدفع مكونات وأجهزة أخرى على شبكة الإنترنت لتضخيم البيانات المتبادلة وتوجيهها تجاه الجهاز المستهدف. وهذه الهجمات تعد من أكثر الهجمات حدوثا. من أمثلتها هجوم UDP Flood وهجوم TCP Flood وأيضا NTP Amplification.

التصنيف الثاني

أما التصنيف الثاني فهو مبين هنا:

الهجمات المنخفضة والبطيئة Low and slow Attacks

ومنها هجوم اللوريس البطئ Slowloris Attack وأيضا هجوم R.U.D.Y. المختصر من عبارة "?Are you dead yet" والتي تعني "هل بلغك الموت أم ليس بعد؟" وهو نوع من هجنات الحرمان من الخدمة الذي يعتمد لإجرائه على معدل تبادل بيانات ضئيل جدا، بحيث تحتكر هذه الطلبات وقت الجهاز المستخدم. وذلك على خلاف هجمات الحرمان من الخدمة الأخرى التي تعمد على إرسال عدد كبير من الطلبات أو كمية كبير من المعلومات.

وبسبب معدل تبادل البيانات الضئيل من الصعب تمييزها عن أي تبادل حميد للبيانات وبالتالي يصعب الحد من أذاها. وأبضا لأنها لا تحتاج إلى عتاد خاص أو عرض حزمة عريضة (اي اتصال سريع بالانترنت) فإنه يمكن يمكن إطلاق هجمات حرمان خدمة ناجحة من هذا الصنف باستخدام جهاز لابتوب واحد.

هجمات الإغراق Flood Attacks

في هجمات الإغراق يقوم المهاجم أو المهاجمون بمحاولة إغراق الجهاز أو المنظومة المستهدفة بطلبات الخدمة، سواء كان ذلك على مستوى التطبيقات كما هو الحال في هجوم HTTP Flood Attack أو على مستوى البروتوكولات مثل هجوم Syn Flood أو هجوم ICMP Flood. عبر شغل الشبكة المستهدفة وعبر إنهاك موارد الجهاز المستهدف، يؤدي هجوم الإغراق إلى حرمان الجهاز المستهدف من الاستجابة للطلبات الحميدة التي قد لا تصل أساسا للجهاز المستهدف.

الهجمات المعتمدة على الانعكاس Reflection-based Attacks

يقوم المهاجمون في هذا الصنف من هجمات الحرمان من الخدمة بإرسال طلبات معدة بشكل خاص، إلى خدمات على الشبكة يمكن استغلالها لهذاالغرض. يقوم المهاجمون بتزوير عنوان الجهة التي أرسلت الطلبات، مستبدلينه بعنوان الجهة المستهدفة. تستجيب هذه الخدمات للطلبات عبر إرسالها بيانات الإجابة إلى الجهة المذكورة في الطلبات أي إلى الجهة المستهدفة.

إذا قام المهاجم بإرسال طلبات المعدة بشكل خاص إلى خادمات كثيرة متباعدة في فضاء الشبكة، ستقوم هذه الخدمات بإغراق الجهة المستهدفة بالبيانات الواردة من هذه الخادمات. ما يخرج الجهة المستهدفة عن الخدمة ويحرم المستخدمين والنظم الحميدة من خدماتها.

يكون الهجوم أكثر فعالية إن كانت حجم بيانات كل استجابة، أكبر من حجم بيانات كل طلب. فذلك يعني أنه بالإمكان تضخيم الهجوم على الضحية بدون الحاجة لزيادة عرض الحزمة لدى الجهة المهاجمة. ويسمى الهجوم عند ذلك هجوم تضخيم مبني على الانعكاس Amplification Reflection-Based Attack.

تقنيات هجمات الحرمان من الخدمة DoS and DDoS Techniques

Teardrop Attack

هو هجوم حرمان من الخدمة يرسل فيه المهاجم مجموعة من الحزم packets المتلاعب بها بشكل يجعلها تتراكب على الجهاز المستهدف بشكل متعمد لتعطيل الجهاز المستهدف. ويصنف على مستوى الهجمات المنخفضة والبطيئة التي تستهدف طبقة البروتوكولات. وهو من الهجمات قديمة العهد التاريخية والتي تؤذي أنظمة التشغيل قديمة العهد مثل Windows 95 وWindows NT وإصدارات نظام التشغيل Linux قبل 2.1.63. إلا أن ثغرة جديدة في نظامي التشغيل Windows 7 and Windows Vista أتاحت للمهاجمين من استغلال هذا الهجوم على الأجهزة العاملة بنظامي التشغيل المذكورين إلى أن تم سدّ الثغرة. ما يعني إمكانية عودة هذا الهجوم في حال لم ينتبه المبرمجون أثناء تطويرهم للنظم لهذه النقطة.

إن كانت البيانات المراد إرسالها عبر بروتوكول IP أكبر من حجم الرزمة Packer الأقصى ينص بروتوكول TCP/IP على إرسال البيانات ضمن عدة رزم Packets. لذلك يقوم المرسل بتحديد الحقل offset والحقل length ضمن كل رزمة من هذه الرزم. يحدد الحقل length حجم البيانات في الرزمة ويحدد الحقل offset مقدار الإزاحة عن بداية البيانات، أي بعبارة أخرى يحدد الحقل offset موضع البيانات الموجودة في الرزمة ضمن البيانات الأساسية التي اضطر المرسل لتجزيئها.

في هذا الهجوم يقوم المهاجم بشكل متعمد بتعديل ترويسات الرزم بحيث تكون قيمتا الطول length والإزاحة offset في الرزمة وتاليتها مختلفتان. بحيث يقوم المستقبل بتجميع الرزم بشكل خاطئ مؤديا بالجهاز إلى التوقف عن العمل Crash وبالتالي حارما المستخدمين والنظم الأخرى من خدمة الجهاز.

Christmas tree packet Attack

في مجال المعلوماتية وهندسة الاتصال، تشير تسمية رزمة شجرة الميلاد Christmas Tree Packet إلى رزمة Packet من رزم أي بروتوكول Protocol من بروتوكولات Protocols الاتصال في حال كانت جميع الخيارات options التي يقبلها البروتوكول مضبوطة. تأتي التسمية من تعبير في الانجليزية هو أن جميع الخيارات كانت مضبوطة في الرزمة كما هو حال جميع الأضواء في شجرة عيد الميلاد. The packet was lit up like a Christmas tree.

تستخدم هذه الرزم في هجمات الحرمان من الخدمة الموزعة DDoS Attacks عبر إرسال عدد كبير منها، لأنها بالمقارنة مع الرزم الاعتيادية، تحتاج موارد أكثر على الجهاز المستقبل لأن جميع أن جميع الخيارات مضبوطة، حتى أنها قد تشغل موارد أكثر من جهاز على الجهة المستقبلة بالمقارنة مع الرزم الاعتيادية

طبها على الجهة المستقبلة، يمكن كشف وصول رزم شجرة الميلاد Christmas tree packets بسهولة، ويشير وصولها عادة إلى أمر مريب أو حتى خبيث، فهي إن لم تستخدم لهجمات الحرمات من الخدمة، تستخدم لفحص الجهة المستقبلة ومعرفة خصائصها أي في عملية الاستطلاع Reconnaissance..

Ping of Death Attack

يقوم المهاجم هنا بإرسال رزمة من البيانات Data Packet إلى الجهاز المستهدف يتجاوز حجمها قدرة الجهاز المستهدف ما يؤدي إلى ما يسمى بـ Buffer Overflow على الجهاز المستهدف ما يؤدي غالبا إلى تعطله عن العمل وخروجه عن الخدمة مؤقتا.

يمكن أن ترسل هذه الرزمة عبر إرسال مجموعة كبيرة من الرزم يحدد حجمها الأقصى طبعية البروتوكول، تصل الجهاز المستهدف تباعا حيت يتم تجميعها. إذا يمكن اعتبار هذا النوع من الهجمات هجوما من صنف جهاز الحرمان من الخدمة الضعيف والبطئ Low and Slow DoS Attacks وأيضا من صنف الهجمات على مستوى البروتوكولات Protocols Based DoS Attacks.

تراجعت أهمية هذا الهجوم حتى أصبح يصنف في عداد الهجمات التاريخية Historical التي لم تعد مستخدمة في يومنا هذا. فجميع التجيزات المصنعة بعد عام 1998 منيع ضد هذا النوع من الهجمات على بروتوكولات IPv4. لكن هجوما من هذا النوع استهدف تغرة (CVE-2013-3183) في بروتوكولات IPv6 على Microsoft Windows حتى سد الثغرة في تطبيق بروتوكولات IPv6 عام 2013.

هجوم اللوريس البطئ Slowloris Attack

هجوم Slowloris هجوم حرمان من الخدمة DOS Attackمن صنف Low and Slow ابتكره روبيرت هانسين Robert Hansen الذي يطلق على نفسه لقب RSnake الذي أطلق عليه التسمية تيمنا بالحيوان من الرئيسيات الذي يحمل الاسم. يعتبر هجوم Slowloris أحد أساليب هجمات الحرمان من الخدمة التي تستغل ميزة أو مشكلة في البروتوكات Protocol ضمن طبقة التطبيقات (أي الطبقة 7 من نموذج ISO للشبكات). وهو أحد هجمات الحرمان من الخدمة القليلة التي لا تحتاج إلى بنية تحتية كبيرة (لارسال عدد كبير من الطلبات إلى الخادم) ولا إلى مشاركين كثر كما هو الحال في هجمات الحرمان من الخدمة التي تستغل شبكات البوتس BotNets أو التي تعتمد على المتطوعين وأجهزتهم. أي بكلمات أخرى هو من صنف الهجمات المنخفضة والبطيئة Low and Slow Attacks، حتى أنه يمكن تنفيذ هذا الهجوم بنجاح باستخدام حاسب شخصي عادي واتصال عادي بشبكة الانترنت.

يعتمد هذا الهجوم على محاولة فتح عدد من قنوات الاتصال مع الخادم وإبقائها مشغولة لأكبر فترة ممكنة. ويمكن تحقيق ذلك عبر توجيه طلبات Http Requests لقراءة صفحة ما في موقع ما، لكن بدل إرسال الطلبات بشكل كامل وسريع، يقوم المهاجم بإرسال كل طلب بأبطأ شكل ممكن، كأن يرسل أول حرف من الطلب ثم ينتظر أكبر فترة ممكنة (قبل أن يقطع الاتصال) ليرسل بعد ذلك الحرف التالي ثم ينتظر مجددا وهكذا. بذلك يحاول المهاجم شغل الاتصال أكبر فترة ممكنة. ويقوم المهاجم بإرسال مئات الطلبات البطيئة بهذا الشكل ما قد يجعل جميع قتوات الاتصال بالخادم مشغولة بهذه الطلبات البطيئة، وبذلك لا يستطيع زوار الموقع الذين يرغبون فعلا من زيارة الموقع من فتح اتصال وإرسال طلب قراءة الصفحات لأن جميع القنوات مشغولة.

يوضح السرد التالي طلب Http نظاميا لصفة من صفحات موقعنا.

GET /wiki/DDoS/ HTTP/1.1
Host: salamatechwiki.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,ar;q=0.8,de;q=0.7,fr-FR;q=0.6,fr;q=0.5,tr;q=0.4
Connection: keep-alive
Cache-Control: max-age=0

إذا لتنفيذ الهجوم يقوم المهاجم بإرسال كل حرف من حروف الطلب بأبطأ شكل ممكن قبل انقاط الاتصال. إذا G ثم ينتظر قليلا ثم E ثم ينتظر قليلا ثم T وهكذا...

للمزيد حول هذا الهجوم راجع المقابلة التالية من قناة Computerphile على موقع يوتيوب:

كما يمكنكم معاينة سطور برمجة برنامج يقوم بهجوم Slow Loris مكتوبا بلغة بايثون Pyhton تحت هذا الرابط: https://github.com/wal99d/SlowLoris

طبعا تنفيذ هجمات الحرمان من الخدمة يجعلكم عرضة للمساءلة القانونية لذلك ننصح القراء بعدم استخدام الأدوات على صفحات موجودة على شبكة الانترنت. وإنما استخدام الأدوات على الخوادم ضمن الشبكة المحلية الخاصة بكم.

R.U.D.Y. Attack

وهو هجوم حرمان من الخدمة DOS Attack من صنف Low and Slow يحاول إبقاء خادم ويب Web Server مشغولا باستقبال البيانات من قبل المهاجم الذي يرسل البيانات ببطء مبالغ به بشكل متعمد. ينجح الهجوم إذا استطاع المهاجمون شغل الخادم بمعالجة هذه الطلبات بشكل يكفي ليمنع الخادم من الاستجابة للطبات حميدة من نظم مستخدمين آخرين.

SYN Flood Attack

هجوم SYN Flood Attack هجوم من صنف الإغراق Flood كما هو واضح في الاسم، وهو هجوم يستهدف طبقة البروتوكولات وبالتحديد بروتوكول TCP. وبالتحديد عملية إنشاء اتصال TCP بين جهازين متخاطبين.

لانشاء اتصال بين جهازين حسب بروتوكول TCP، ينص البروتوكول أن على الجهازين تنفذي ما يسمى بعملية المصافحة ذات الخطوات الثلاث three-way handshake وعند نجاح العملية، يتم إنشاء الاتصال ويبدأ الجهازان بتبادل البيانات. في الحالات العادية، يبدأ الجهاز الراغب بإنشاء الاتصال بإرسال رسالة تزامن Synchronize والتي تعرف اختصارا بـ SYN إلى الجهاز الآخر، الذي يقوم بدوره بالاستجابة وإرسال رسالة SYN-ACK اختصارا عن Synchronization-Acknowledged أي إقرار بالتزامن. ليقوم الجهاز الأول بإرسال رسالة إقرار Acknowledge أي ACK التي يستقبلها الجهاز الثاني، ولتنجح عملية المصافحة ذات الخطوات الثلاث وليتم إنشاء اتصال بين الجهازين وفق بروتوكول TCP.

يوضح الشكل التالي عملية المصافحة ذات الخطوات الثلاثة:

في هجوم SYN Flood يقوم الجهاز المهاجم بإرسال رسائل SYN متلاعب بها (عبر تعديل عنوان IP الجهاز المرسل) إلى الجهاز المستهدف ليشرع الأخير بخطوات المصافحة مرسلا SYN-ACK إلى عنوان الـ IP المتلاعب به، لكن دون وصول رد ACK على هذه الرسائل كما هو مفروض. ما يترك الجهاز المستهدف منتظرا لهذه الرسائل شاغلا قنوات الاتصال المتاحة للجهاز إلى أن يقوم الجهاز المستهدف بقطع عملية المصافحة لعدم نجاحها بعد مرور وقت محدد. لكن المهاجم لا يكتفي بإرسال بضع رسائل SYN متلاعب بها وإنما يغرق الجهاز المستهدف بهذه الرسائل التي لن تفضي إلى إنشاء اتصال ناجح ما يعني إذا شغل قنوات اتصال الجهاز المستهدف وجعله غير متاحا لحركة البيانات الحميدة إلى حين توقف الهجوم.

يوضح الشكل التالي الهجوم على عملية المصافحة ذات الخطوات الثلاث:

ويوضح الشكل التالي هجوم SYN Flood Attack الموزع:

للمزيد اقرأوا المقالة الخاصة بهذا الهجوم على موقع CloudFlare بالانجليزية SYN Flood Attack

ICMP Flood Attack

ويسمى أيضا Ping Flood Attack وهو أحد الأساليب البسيطة من أساليب هجوم الحرمان من الخدمة حيث يقوم المهاجمون بإغراق خادم الضحية بحزم طلبات الصدى Echo Request عبر بروتوكول ICMP. عادة ما تقوم الأجهزة بالرد على كل طلب من هذه الطلبات. فإن كان عرض حزمة المهاجمين أعلى من ذلك لدى الضحية فإن احتمال نجاح الهجوم عبر إغراق قناتي الطبات الواردة والصادرة للضحية بالطلبات. بالإضافة لذلك قد يسبب الهجوم أيضا استغلال موارد جهاز الضحية (في الاستجابة للطلبات، كل على حدى) ما يعني بطء استجابة الجهاز المستهدف وربما توقفه عن العمل،

يمكن للمهاجمين استخدام وضعية flood الخاص بتعليمة ping لإرسال الطلبات المذكورة. فمع وضعية flood يرسَل ping الحزم بأكبر سرعة ممكنة إلى جهاز الضحية بدون انتظار الرد. ما يرفع من احتمال نجاح الهجوم.

يمكن تحقيق هذا الهجوم عبر استخدام برنامج ping البسيط، يذكر أن أغلب أنظمة التشغيل تمنع المستخدمين العاديين على الأجهزة من استخدام تعليمة ping بهذه الوضعية. يمكن أيضا استخدام برامج أخرى مثل hping و scapy.

للمزيد اقرأوا المقالة التالية من موقع cloudflare.com عن هذا النوع من الهجمات [Ping (ICMP) Flood DDoS Attack]

UDP Flood Attack

هجوم إغراق بروتوكول UDP أو UDP Flood Attack هو هجوم من صنف الإغراق يهاجم طبقة البروتوكولات وبالتحديد بروتوكول User Datagram Protocol الذي يعرف اختصارا ببروتوكول UDP ، تقوم فيه الجهة المهاجمة بإرسال عدد كبير من رزم UDP إلى الجهة المستهدفة بهدف انهاك موارد الجهة المستهدفة بحيث لا يتمكن أخرون من استخدام خدماتها، وفي حال حاول جدار الحماية Firewall الذي يحمي الجهاز المستهدف إيقاف هذا الهجوم فقد تنهك موارد جدار الحماية نفسه وبالتالي تصبح خدمات الجهاز المستهدف أيضا غير متاحة للطلبات الحميدة.

في الحالات العادية يقوم الحهاز الذي يستقبل حزمة UDP واصلة إلى إحدى بوابات الاتصال port بالاستجابة للحزمة بخطوتين.

يتحقق الجهاز من وجود برنامج ينصت لتلك البوابة
إن لم يكن هناك برنامج ينصت للبوابة، يقوم الجهاز بالاستجابة عبر إرسال حزمة ICMP التي تعرف أيضا بـ ping مشيرا إلى الجهاز المرسل بأن حزمة UDP لم يتم استلامها لأن لا أحد ينصت وتعرف هذه الحالة بالخطأ تعذر الوصول إلى الهدف destination unreachable.

يتم معالجة كل رزمة UDP تصل للجهاز بهذه الطريقة. فإذا قام المهاجم بإرسال عدد كبير من طلبات UDP إلى بوابات لا ينصت لها أي برنامج، فإمكان المهاجم شغل موارد الجهة المستهدفة بطلبات ورزم UDP هذه. عادة ما يقوم المهاجم بإجراء هجوم موزع عبر شبكة Bot يديرها، ويستطيع بذلك المهاجم إرسالة حجم كبير من رزم UDP لا يقدر عليها جهاز الجهة المستهدفة. بالإضافة لذلك يقوم المهاجم بالتلاعب برزم UDP بحيث لا تحمل عناوين IP الخاصة بالأجهزة المهاجِمة كي لا تقوم الجهة المستهدفة بحجبها.

يوضح الشكل التالي حجوم إغراق UDP من عدة أجهزة يتحكم بها المهاجم لإرسال رزم UDP متلاعب بها إلى بوابات لا ينصت لها برنامج على الجهاز المستهدف بحيث تنهك موارده ويصبح غير قادر على تلبية الطلبات الحميدة.

DNS Flood Attack

هجوم إغراق DNS هو هجوم حرمان من الخدمة موزّع تقوم فيه الجهة المهاجمة بإغراق خدمة Domain Name Service بالطلبات بحيث يتعذر على الخدمة الاستجابة للطلبات الحميدة وبالتالي يتعذر على المستخدمين الحميدين إمكانية الوصول إلى النطاقات التي تديرها هذه الخدمة. يشمل ذلك المواقع، خدمات API وتطبيقات الويب التي تقع ضمن النطاقات التي يديرها خادم الـ DNS المستهدف.

يقوم المهاجمون عادة بإرسال طلبات لمواقع وصفحات ضمن النطاقات التي تديرها الخدمة المستهدفة بهدف جعلها صعبة التمييز عن الطلبات الحميدة، ما يجعل الحد من أثر هذه الهجمات وإيقافها أكثر صعوبة.

يختلف هذا الهجوم عن الهجوم على خدمة DNS المبني على الانعكاس DNS Amplification Attacks.

HTTP Flood Attack

ويسمى أيضا GET/POST Attack وهو هجوم إغراق حجمي موزّع Distributed Volumetric Attack على طبقة التطبيقات Application Layer وبالتحديد على تطبيق خادم HTTP، يقوم بإغراق الخادم بطلبات HTTP ناشئة عادة من شبكة Bot يتحكم المهاجم بها. بحيث يصبح الخادم منهمكا بالاستجابة لهذه الطلبات ما يجعل الخدمة غير متوافر للمستخدمين والنظم الحميدة.

لأن الهجوم يحصل على طبقة تطبيق HTTP فيمكن استخدام الطريقة الـ Capcha مثلا لتحديد إن كان مصدر الطلبات جهاز مستخدم عادي أو جهازا في شبكة Bot. أو معاينة حركة مؤشر الفأرة على شاشة المستخدم أو غيرها من الأساليب الشبيهة التي تهدف إلى فصل الطلبات الناتجة عن مستخدمين عاديين عن الطلبات المؤتمتة التي تكون عادة خبيثة.

وهناك أساليب أخرى منها Web Application Firewall التي تستخدم قواعد بيانات بعنوانين الـ IP المعروف أنها تقع ضمن شبكات Bot والتي تسمى بأ IP reputation databases. عبر استخدام قواعد البيانات هذه يمكن لجدار الحماية فصل الطلبات القادمة من مصادر حميدة عن الطلبات القادمة من مصادر خبيثة.

هجوم السنفور Smurf Attack

هجوم السنفور هو هجوم حرمان من الخدمة موزعة Distributed Denial of Service يصنف ضمن هجمات الإغراق Flood Attacks وضمن الهجمات المبنية على الإنعكاس Reflection Attacks وضمن الهجمات على طبقة البروتوكولات Protocol Layer DoS Attacks حيث يقوم المهاجمون بمحاولة إغراق الجهاز المستهدف برزم بروتوكول ICMP عبر إرسال طلبات متلاعب بها تتضمن عنوان الجهاز المستهدف بدلا من عنوان الجهاز المرسل، إلى أجهزة أخرى على شبكة الإنترنت، لتستجيب الأخيرة للطلبات برزم أكبر حجما من الطلبات، مرسلة هذه الإستجابة إلى الجهاز المستهدف. ما يغرق الجهاز المستهدف بالطلبات ويجعله غير متاحا للاستجابة للطلبات الحميدة.

يعتبر هذا الهجوم من الهجمات التاريخية Historical Attacks غير الفعالة. للمزيد حول هذا الهجوم ننصحكم بقراءة المقالة التالية: Smurf Attack.

Fraggle Attack

هجوم Fraggle Attack هجوم مشابه تماما لهجوم السنفور Smurf Attack إلا من ناحية استخدامه لبروتوكول datagram أو بروتوكول UDP بدلا من بروتوكول ICMP. وكما هو الحال في هجوم السنفور Smurf Attack فإنه يمكن اعتبار هجوم Fraggle من الهجمات التاريخية غير المؤثرة لأن أغلب أجهزة الراوترز وجدران النار تقوم بمنعه وإيقافه.

فلمنع حدوثه يكفي إغلاق بوابة الصدى echo port اي port 7. وأيضا البوابة 19 التي قد يستهدفها هجوم Fraggle أيضا.

DNS Amplification Attack

هجوم على خدمة DNS المبني على الانعكاس أو هجوم DNS Amplification Attack عو هجوم حرمان من الخدمة موزع، حجمي ومبني على الانعكاس، تقوم فيه الجهة المهاجمة باستغلال خدمات DNS المفتوحة لتضخيم الهجوم عدة مرات وبالتالي لإنهاك موارد الجهة المستهدفة والشبكة والبنية التحتية المحيطة بها لجعلها غير متاحة لحركة مرور البيانات الحميدة.

يعتمد الهجوم على إرسال طلب إلى عدد من خدمات DNS المتاحة، يتضمن كل طلب مرسل إلى خادم DNS تعليمة لسرد جميع النطاقات التي يديرها الخادم. يقوم الخادم بإرسال الاستجابة، التي يكون حجمها أكبر بكثير من الطلب الأساسي، إلى العنوان المذكور في الطلب. هنا يكون المهاجم قد تلاعب بهذا العنوان واضعا عنوان الجهة المستهدفة، كما هو الحال في جميع الهجمات المبنية على الانعكاس، ليصل الجهة المستهدفة لوائح كل من خوادم DNS التي استقبلت طلب المهاجم مغرقة الجهة المستهدفة والشبكة المحيطة بها بالبيانات بشكل مفاجئ. عادة ما يقوم المهاجم بإدارة شبكة Bot لإرسال مجموعة كبيرة من طلبات الـ DNS المتلاعب بها والتي تستهدف جهة واحدة.

إذا يمكن تلخيص الهجوم بما يلي:

يقوم المهاجم باستخدام شبكة Bot لإرسال طلبات UDP متلاعب بها، تحمل عنوان IP الجهة المستهدفة إلى خوادم DNS Resolver.
تتضمن طلبات الـ UDP تعليمات مثل "any" كي تكون استجابات الخوادم بأكبر حجم ممكن، ما يعني اقصى حد ممكن من التضخيم
يقوم كل خادم DNS Resolver بإرسال أكبر استجابة مناسبة للطلب إلى عنوان الـ IP المذكور في طلب الـ UDP أي إلى عنوان الجهة المستهدفة
تصل كمية ضخمة جدا من البيانات إلى عنوان IP الخاص بالجهة المستهدفة بشكل مفاجئ، مستهلكا موارده وموارد الشبكة المحيطة به وجاعلا إياها غير متاحة لحركة البيانات الحميدة.

NTP Amplification Attack

هجوم NTP Amplification هو هجوم حرمان من الخدمة موزَّع DDoS، معتمد على الإنعكاس Reflection Based، ويصتف أيضا من بين الهجمات الحجمية Volumetric Attacks، يحاول المهاجمون عبر استخدامه استغلال وظيفة من وظائف بروتوكول NTP لتضخيم حركة مرور بيانات UDP التي تستهدف موارد شبكة أو جهاز معينا بغرض إنضابها، ما يحعل الشبكة أو الجهاز المستهدف غير متاحا للطلبات الحميدة.

كجميع الهجمات المضخّمة، يعتمد هذا الهجوم على الفرق بين حجم في بيانات الطلبات وحجم الاستجابة على هذه الطلبات، ويعتمد كجميع هجمات الإنعكاس على تزوير عنوان مصدر هذه الطلبات واستبدالها بعنوان الجهة المستهدفة، بحيث تصل الردود المضخّمة على هذه الطلبات إلى الجهة المستهدفة مستهلكة عرض حزمة وموارد تلك الجهة حارمة خدماتها عن المستخدمين والنظم الحميدة.

بالتحديد يقوم المهاجمون بإرسال طلب monlist عبر بروتوكول NTP. فخادم الـ NTP الذي يطله طلب monlist يقوم بالإستجابة على الطلب بذكر عناوين الـ IP لآخر 600 طلب وصلت لهذا الخادم. حجم الإستجابة هذه على طلب molist أكبر من حجم الطلب بـ 206 مرة. إذا إذا قام المهاجم بإرسال طلبات بحجم 1GB فإن الخادم سيقوم بالرد ب 206GB عبر الشبكة وهذا تضخيم كافٍ لإركاع شبكة الضحية و خادماتها.

إذا يجري الهجوم بالخطوات التالية:

يقوم المهاجم باستخدام شبكة Bot لإرسال عدة طلبات monlist إلى خوادم NTP، عبر بروتوكول ضمن حزم UDP متلاعب بها تحمل عنوان IP الضحية بدل عنوان IP الجهات المرسلة.
تقوم خوادم الـ NTP بالاستجابة للطلبات أي لتعليمة monlist وترسل استجاباتها الضخمة إلى عنوان IP الضحية.
تستهلك كمية البيانات الضخمة التي تصل الجهة المستهدفة مواردها ما يحرم خدماتها عن الجهات الحميدة.

يلحق معظم أذى هذا الهجوم بالشبكة والبنية التحتية التي تحيط بالجهاز أو الخادم المستهدف. للتعامل مع هذا الهجوم يقوم مزود خدمة الانترنت الذي يدير البنية التحتية للشبكة بتحويل جميع البيانات الواردة دون الرد عليها أي عبر Blackholing ما يعني تماما حرمان المستخدمين من الخدمة. أي للتعامل مع هذا الهجوم تقوم مزودات خدمة الإنترنت بإنجاح هذف الهجوم.

يمكن بتعطيل التعليمة monlist على خوادم NTP. بهذا الإتجاه أصبحت تعليمة monlist معطلة بشكل افتراضي على خوادم NTP اعتبارا من النسخة 4.2.7.

يمكن أيضا لمدراء البنية التحتية تطبيق عملية التحقق من عنوان المصدر Source IP verificiation وعندم تمرير حزم UDP تحتوي على عنوان IP متلاعب به.

SNMP Reflection Attack

هو هجوم حرمان من الخدمة موزّع DDoS مبني على الانعكاس Reflection based attack يعتمد على استهداف بروتوكول Simple Network Management Protocol او SNMP لتضخيم رزم متلاعب بها بحيث تصل الاستجابة المضخمة إلى عنوان IP الخاص بالجهة المستهدفة.

كغيرها من هذه الهجمات يعتمد المهاجمون هنا على استغلال إمكانية التلاعب بعنوان الـ IP في الطلبات المرسلة لهذه البروتوكولات التي لا تتحقق من عنوان IP مصدر الطلبات، وتعتمد أيضا على أن الاستجابة للطلب أكبر من الطلب ذاته بعامل تضخيم يختلف بين بروتوكول مستخدم وآخر.

عبر استخدام شكبة Bot يستطيع المهاجمون ارسال كبية كبيرة من الطلبات المتلاعب بها إلى عدد كبير من خادمات SNMP المتاحة على الشبكة بحيث تقوم الأخيرة بارسال كبية كمبية كبيرة من الاستجابات الاكبر حجما إلى عنوان الـ IP للجهة المستهدفة مستهلكة موارد تلك الجهة والبنية التحتية لها وشبكتها حارمة خدماتها لحركة البيانات الحميدة.

SSDP Attack

هجوم Simple Service Discovery Protocol هو هجوم حرمان من الخدمة موزّع مبني على الإنعكاس، يستغل بروتوكول Universal Plug and Play أو UPnP التي تقدمها أجهزة مستخدمين كثيرة كالكاميرات ومخدمات الميديا والطابعات وغيرها، بحيث يقوم المهاجم إرسال طلبات متلاعب بها إلى هذه الأجهزة لتقوم هذه الأجهزة بإرسال ردود أكبر حجما من الطلبات نفهسا، وهنا التضخيم، إلى الجهة المستهدفة منهكة مواردها وبنيتها التحتية بحيث تحرم خدمتها عن المستخدمين والنظم الحميدة.

لكي ينجح هذا الهجوم على الشبكات المحلية المتصلة بالانترنت أن تعلن عن أجهزة التي يمكن الوصول لها عبر SSDP علنا على الإنترنت بحيث تصلها الطلبات المتلاعب بها لتعكسها مضخمة إلى الجهة المستهدفة. يمكنكم عبر هذا الرابط التحقق من وجود جهاز SSDP يمكن لأي كان الوصول إليه عبر شبكة الإنترنت:

Bad UPnP/SSDP - Check for WAN UPnP listening

في الأحوال الطبيعية، تقوم الأجهزة اعاملة ببروتوكول SSDP بالإعلان عن وجودها ضمن شبكة ما عبر إرسالها رسالة إلى عنوان IP محدد ضمن هذه الشبكة يسمى Multicast، لتصل نسخ من هذا الإعلان إلى بقية الأجهزة الأخرى المتصلة بنفس الشبكة ولتعرف بذلك بوجود الجهاز. تقوم أجهزة الشبكة التي وصلها الإعلان بإرسال رسالة للاستفسار عن قدرات الجهاز الذي يجيب بلائحة تتضمن كامل إمكانات الجهاز لتصبح في متناول الجهاز المستفسر.

يقوم هجوم SSDP على استغلال المرحلة الأخيرة من هذه العملية، بحيث تقوم الأجهزة العاملة ببروتوكول SSDP بإرسال لائحة إمكانياتها إلى الجهاز المستهدف بدل الجهاز المستفسر. ويحدث الهجوم بالخطوات التالية:

يقوم المهاجم بتحديد أجهزة UPnP التي يمكن استغلالها لتضخيم الهجوم مكونا لائحة بجميع هذه الأجهزة التي تستجيب للطلبات.
يقوم المهاجم بالتلاعب برزمة UDP واضعا عنوان IP الضحية بدل عنوان الجهاز المهاجم.
يقوم المهاجم باستخدام شبكة Bot لإرسال رزم الـ UDP التي تحتوي طلب Discovery (بروتوكول SSDP) معدة مع خيارات ssdp:rootdevice أو ssdp:all إلى الأجهزة الموجودة على اللائحة، بحيث تقوم الأجهزة بالاستجابة بأقصى ما لديها من بيانات.
تقوم الأجهزة المذكورة بالاستجابة للطلبات عبر إرسال ما لديها من بيانات إلى عنوان IP الجهاز المستهدف حيث تصل نسبة التضخيم عادة 30 مرة.
تصل كمية البيانات الهائلة من عدد كبير من عناوين الـ IP فجأة إلى الجهاز المستهدف، منهكة ومحتكرة موارد الجهاز بحيث يحرم المستخدمون والنظم الحميدة من خدمة الجهاز المستهدف

يوضح الشكل هجوم SSDP:

Memcached Attack

هجوم Memcached هجوم حرمان من الخدمة موزّع Distributed Denial of Service Attack يعتمد على الإنعكاس Reflection-based لتضخيم طلبات متلاعب بها يرسلها المهاجم عبر شبكة Bot يتحكم بها إلى خادمات Memchaed التي تحتفظ بنسخ عن المواقع لتسريع الاستجابة لطلبات التصفح، لتقوم الأخيرة بإرسال الاستجابة إلى عنوان الـ IP للهجة المستهدفة والمذكورة في الطلبات المتلاعب بها، واضعة البنية التحتية للجهة المستهدفة والأجهزة والشبكات المحيطة بها تحت وطأة كمية مهولة من البيانات بحيث تحرم الجهات الحميدة من خدمة الجهة المستهدفة.

هجوم Memcached ممكن لأن هذه الخادمات تقدم إمكانية العمل وفق بروتوكول UDP الذي لا يطلب التأكد من مصدر الطلب المذكور في ترويسات الرزم بعكس الحالة في بروتوكول TCP الذي يعتمد طريقة المصافحة ذات الخطوات الثلاث Three-way handshake. بالتالي يمكن للمهاجم عبر التلاعب بترويسة UDP ووضع عنوان الـ IP الخاص بالضحية، توجيه الردود على الطلبات إلى جهاز الضحية بدل الجهاز مصدر هذه الطلبات. بالإضافة لذلك فإن استجابة خادم Memcached على الطلبات تكون أكبر بكثير من الطلب نفسه، ما يتيح للمهاجم إمكانية تضخيم الهجوم، ويمكن أن تصل نسبة التضخيم إلى عشرات الآلاف، حيث وصلت في إحدى الهجمات الشهيرة إلى 51200 ضعف.

يوضح الشكل حجم هجوم الحرمان من الخدمة في 27 من شباط/فبراير 2018 والذي يعد أضخم هجوم حرمان من الخدمة من ناحية كمية البيانات الموجة تجاه الضحية حتى لحظة كتابة هذه الفقرة في نهاية أيار/مايو 2019.

إذا يمكن تلخيص هجوم Memchached بالخطوات الأربعة التالية:

يقوم المهاجم بتجهيز كبية ضخمة من البيانات المخزنة في خوادم memcached متوفرة على الإنترنت (بقصد استخدامها لاحقا)
يقوم المهاجم بالتلاعب برزمة طلب HTTP GET عبر وضع عنوان الـ IP الخاص بالجهة الضحية في ترويسة الـ UDP التي تحمل الطلب ويرسل الطلب إلى خوادم memchached.
تقوم خوادم memcached باحترام الطلبات وإرسال الاستجابة إلى عنوان الـ IP المذكور في الطلبات، إي مباشرة إلى عنوان الـ IP الخاص بالضحية.
تصل فجأة كمية مهولة من البيانات إلى الجهاز المستهدف والبنية التحتية والشبكات المجاورة، ما يستهلك مواردها ويشغلها بشكل شبه كامل أو يخرجها عن الخدمة تماما. ما يحرم المستخدمين الحميدين والنظم الحميدة من خدمة الجهاز المستخدم.

NXNSAttack

هجوم NXNSAttack هجوم حرمان من الخدمة موزّع Distributed Denial of Service Attack يستهدف طريقة عمل خادمات DNS recursive resolvers عن استقبالها لاستجابة NS referral تتضمن لائحة بخادمات أسماء النطاقات بدون عناوين الآي پي الخاصة بها. عدد الرسائل التي يتم تبادلها عادة لتحديد عنوان الـ IP الخاص بنطاق معين قد تكون أكبر بكثير مما هو متوقع حيث قد يصل حجم التكبير 1620 مرة في عدد الرزم المتبادلة مع الـ recursive solvers، إلى جانب ذلك يؤدي الهجوم إلى إشباع الكاش الخاص بخادمات الأسماء.

Plex Media SSDP (PMSSDP) Attack

هجوم Plex Media Server هو هجوم حرمان من الخدمة موزّع Distributed Denial of Service Attack يصنف ضمن هجمات التضخيم المبني على الانعكاس Amplification Reflection-Based Attack يعتمد على استغلال بروتوكول Simple Service Discovery Protocol أي SSDP فهو بذلك شبيه SSDP Attack لكنه يتميز عنه بكونه متعلقا بالأجهزة التي تشغل Server Plex Media بالتحديد. عند تشغيل Plex Media Server يحاول الأخير استكشاف الشبكة المحيطة لتحديد أجهزة متوافقة مع الخادم مثل التلفاز الذكي وغيره من التجهيزات مستخدما بروتوكول GDM. كما يقوم باستخدام مسابير SSDP Probes لتحديد بوابة UPnP على الإنترنت عند اتصالها بمحولات Routers قامت بتفعيل SSDP. عندما يجد Plex بوابة UPnP يحاول استخدام NAT-PMP لإنشاء قاعدة تمرير NAT أي NAT Forwarding Rules إلى الراوتر. بالنتجية قد تصبح خدمة Plex UPnP-enabled service registration responder مكشوفة على الإنترنت ما يعني امكانية استغلالها بطريقة هجوم SSDP Attack.

في الأحوال الطبيعية، تقوم الأجهزة العاملة ببروتوكول SSDP بالإعلان عن وجودها ضمن شبكة ما عبر إرسالها رسالة إلى عنوان IP محدد ضمن هذه الشبكة يسمى Multicast، لتصل نسخ من هذا الإعلان إلى بقية الأجهزة الأخرى المتصلة بنفس الشبكة ولتعرف بذلك بوجود الجهاز. تقوم أجهزة الشبكة التي وصلها الإعلان بإرسال رسالة للاستفسار عن قدرات الجهاز الذي يجيب بلائحة تتضمن كامل إمكانات الجهاز لتصبح في متناول الجهاز المستفسر.

يقوم هجوم SSDP على استغلال المرحلة الأخيرة من هذه العملية، بحيث تقوم الأجهزة العاملة ببروتوكول SSDP بإرسال لائحة إمكانياتها إلى الجهاز المستهدف بدل الجهاز المستفسر. ويحدث الهجوم بالخطوات التالية:

يقوم المهاجم بتحديد أجهزة UPnP التي يمكن استغلالها لتضخيم الهجوم مكونا لائحة بجميع هذه الأجهزة التي تستجيب للطلبات. وهي في حالة هجوم PMSSDP الأجهزة التي تكشف خدمة Plex UPnP-enabled service registration responder.
يقوم المهاجم بالتلاعب برزمة UDP واضعا عنوان IP الضحية بدل عنوان الجهاز المهاجم.
يقوم المهاجم باستخدام شبكة Bot لإرسال رزم الـ UDP التي تحتوي طلب Discovery (بروتوكول SSDP) معدة مع خيارات ssdp:rootdevice أو ssdp:all إلى الأجهزة الموجودة على اللائحة، بحيث تقوم الأجهزة بالاستجابة بأقصى ما لديها من بيانات.
تقوم الأجهزة المذكورة بالاستجابة للطلبات عبر إرسال ما لديها من بيانات إلى عنوان IP الجهاز المستهدف حيث تصل نسبة التكبير في هجوم PMSSD إلى 4.68. أي هوالي أربع مرات ونصف.
تصل كمية البيانات الهائلة من عدد كبير من عناوين الـ IP فجأة إلى الجهاز المستهدف (الذي يكون في الغالم خادما مستهدفا على الإنترنت)، منهكة ومحتكرة موارد الجهاز بحيث يحرم المستخدمون والنظم الحميدة من خدمة الجهاز المستهدف

يوضح الشكل هجوم SSDP:

للمزيد: https://www.netscout.com/blog/asert/plex-media-ssdp-pmssdp-reflectionamplification-ddos-attack

Service Location Protocol Attack

هجوم Service Location Protocol هو هجوم حرمان من الخدمة موزّع Distributed Denial of Service Attack يصنف ضمن هجمات التضخيم المبني على الانعكاس Amplification Reflection-Based Attack يعتمد على استغلال بروتوكول Service Location. البروتوكول المعروف بـ Service Location Protocol يستخدم عادة ضمن الشبكات المحلية، ويخول أي جهاز اتصل بشبكة محلية، التعرف على الخدمات المتاحة على تلك الشبكة بشكل أوتوماتيكي مزيلا الحاجة لضبط الجهاز بعد وصله بشكل يدوي مثل التعرف على وجود طابعة متصلة بالشبكة أو كاميرا متصلة بالشبكة بشكل أوتوماتيكي. الأجهزة التي تدعم هذه الميزة (كالطابعات المتصلة بالشبكة) تتوقع الاتصال على عبر بروتوكول UDP على البوابة 427 وأيضا عبر بروتوكول TCP على نفس البوابة.

في نيسان/أبريل 2023، اعلن باحثون من Bitsight و Curesec عن اكتشافهم لهجوم DDOS يعتمد على استغلال الأجهزة المتصلة بلاإنترنت والتي لم يحرص من يديرها على إلفاء تفعيل هذا الميزة أو منع الإتصال من الإنترنت على البوابة 427 بقاعدة جدار حماية Firewall مناسبة سواء على بروتوكول TCP أو على بروتوكول UDP. وكجميع الهجمات المضخمة، يعتمد هذا الهجوم على الفرق بين حجم في بيانات الطلبات وحجم الاستجابة على هذه الطلبات، ويعتمد كجميع هجمات الإنعكاس على تزوير عنوان مصدر هذه الطلبات واستبدالها بعنوان الجهة المستهدفة، بحيث تصل الردود المضخّمة على هذه الطلبات إلى الجهة المستهدفة مستهلكة عرض حزمة وموارد تلك الجهة حارمة خدماتها عن المستخدمين والنظم الحميدة. ويصتف أيضا من بين الهجمات الحجمية Volumetric Attacks حيث قد يصل التضخيم الممكن عبر هذا الهجوم إلى 2200 مرة. وأعطي هذا الاكتشاف الرمز CVE-2023-29552.

يحدث الهجوم على مرحلتين أساسيتين:

يقوم المهاجمون بتحديد الأجهزة المتصلة بشبكة الإنترنت والتي تدعم Service Location Protocol ثم تقوم بإرسال بيانات عن خدمات اعتباطية على الشبكة دافعين الأجهزة المستهدفة التي تدعم البروتوكول للاعتقاد أن الخدمات الاعتباطية فعلا موجودة على الشبكة. تضمن هذه الخطوة التضخيم، إذ أن استفسار أيا من هذه الأجهزة عن الخدمات المتاحة على الشبكة سيدفعها لإرسال البيانات الاعتباطية للجهة المستفسرة. أي أن طلبا request بسيطا سينتج عنه كبية كبيرة من البيانات. يقول الباحثون أن مستوى التضخيم يمكن أن يصل إلى 2200 مرة.
في الخطوة التالية يقوم المهاجمون بإرسال طلبات requests على بروتوكول UDP على البوابة 427 للأجهزة التي تم تزويدها بالبيانات الاعتباطية، حيث يقوم المهاجمون بتزوير عنوان الـ IP مصدر هذه الطلبات واستبدال المصدر الحقيقي بعنوان الـ IP الخاص بالخادم المستهدف بهجوم DDOS. محققين الانعكاس.

يذكر أنه في نيسان/أبريل 2023 قدّر عدد الأجهزة المتصلة بالإنترنت والتي تدعم بروتوكول Service Location Protocol والتي يمكن استغلالها لتحقيق هذه الهجوم بحدود 35 ألف جهاز.

أساليب وأدوات الحماية من هجوم الحرمان من الخدمة

تعتمد أساليب وأدوات الحماية من هجوم الحرمان من الخدمة على مزيج من الإجراءات التي يمكن شملها في ثلاث نقاط:

اكتشاف الهجوم Attack Detection
تصنيف نوع حركة مرور البيانات Traffic classification
أدوات للإستجابة Response tools تقوم بإيقاف حركة مرور البيانات التي يتم تصنيفها على أنها خبيثة، وتقوم بالسماح لحركة البيانات الحميدة بالمرور.

يمكن تصنيف أساليب الحماية من مختلف هجمات الحرمان من الخدمة DoS و هجمات الحرمان من الخدمة الموزعة DDoS إلى الأصناف التالية:

On-Premise based Protection
ISP Based Protection
Cloud Based Protection and Mitigation

وسنمر عليها فيما يلي:

On-premise based Protection

يعتمد هذا الأسلوب على إجراءات يمكن للشخص أو مدير شبكة معينة القيام بها لحماية الشبكة من هجمات الحرمان من الخدمة، أي يمكن القول أن الاسلوب مبني على الاعتماد على الذات وهي أساليب يمكن القول أنها ليست الأمثل في مواجهة تحديات هجمات الـ DDoS الحديثة لكنها ربما فعالة أمام الهجمات صغيرة الحجم والأثر.

من ضمن هذه الأساليب استخدام جدران الحماية كتطبيقات على الأجهزة المتصلة بالانترنت والمعرضة للهجوم أو كجهاز مستقل يسمى عادة DoS Defense System واختصارا DDS خاص يُضَع بين الشبكة المراد حمايتها وشبكة الانترنت Internet بحيث يقوم هذا الجهاز بفلترة الطلبات التي تصل الشبكة وراء جهاز الحماية.

لكن هذه الطرق تعني أن على مدراء الجهاز أو الشبكة تحديث هذه الأجهزة بشكل مستمر وتطويرها بحيث تستطيع مواجهة الأنواع الجديدة من الهجمات، ما يعني أن هذه الطريقة قد تكون مكلفة ماديا. بالإضافة لذلك لا يمكن لهذه الأجهزة بسبب مواردها الصمود في وجه الهجمات الحجمية او هجمات الإغراق.

ISP Based Protection

وهي حماية يقوم بتقديمها عادة مزود خدمة الانترنت، أو مزود خدمة الاستضافة Hosting، وتشمل إجراءات وتقنيات وأساليب على مستوى البنية التحتية التي يديرها مزود الخدمة، نذكر منها Blackholing حيث يتم تحويل كامل حركة مرور البيانات التي تستهدف عنوان آي بي IP address محدد أو خادم DNS محدد إلى ما يسمى بالثقب الأسود Black-hole، وهي عبارة عن مخدم غير موجود non-existing server، أو تجهيزة شبكة غير موجودة null interface، وعادة ما يقوم مزودوا خدمة الإنترنت ISP بإدارة هذا النوع من الحماية. أمّا في الـ Sinkholing يقوم مخدم يسمى DNS Sinkhole أو بالوعة DNS بتحويل حركة مرور البيانات إلى عنوان آي بي IP address يقوم بتحليل حركة البيانات ورفض الحزم المسيئة. لكن هذه العملية غير فعالة إذ أنها تتطلب إمكانية تحليل عالية وبالتالي احتمال الفشل في الاستجابة احتمال عال خاصة في حال حدوث هجوم كبير.

بالإضافة لذلك يمكن أن يقوم مزود الخدمة أو مزود خدمات السحابة المرنة Elastic Cloud Computing Services باستخدام أساليب مثل Application level Key Completion Indicators لتحديد إن كانت الخدمة المعتمدة على التمدد عن الحاجة والتي تحاول الاستجابة للطلبات عبر تشغيل عقد Nodes إضافية ضمن السحابة، تتعرض للهجوم أم لا. فإن كانت تتعرض للهجوم يقوم مزود خدمة الاستضافة بمنع الخدمة من شغل عقد Nodes جديدة لعدم إيقاع الخدمة المستهدفة بخسائر مادية جراء استئجار العقد Nodes.

Cloud Based Protection and Mitigation

بسبب طبيعة هجمات حرمان الخدمة الموزعة DDoS التي تستهدف فيما تستهدف خدمات السحابة Cloud Services على شبكة الانترنت اليوم وبسبب قدرة الشركات الكبيرة التي تدير شبكات تقديم المحتوى Content Delivery Networks على معاينة وتحليل حركة مرورد البيانات حول العالم. يمكن القول أن أساليب الحماية المعتمدة على السحابة التي تقدمها شركات مثل CloudFlare وغيرها هي الأقدر على مقاومة الأنواع الجديدة من هذه الهجمات الصادرة عن شبكات Bot المختلفة التي يسيطر عليها المهاجمون.

نذكر فيما يلي عددا من المشاريع والشركات التي تقدم هذه الخدمة:

ديفليكت Deflect

ديفليكت Deflect هو نظام مفتوح المصدر مقدم لمنظمات ومجموعات المجتمع المدني، والناشطين، والمدونين، ووسائل الإعلام المستقلة، لحمايتهم من هجمات DDoS بشكل مجاني عبر استخدام تقنية مخدمات مشروع Deflect التي تعمل عمل Reverse Proxy للموقع المراد حمايته. بالتالي يمكن القول أن ديفلكت يقوم باخفاء عنوان الـ IP الخاص بمخدم موقعكم الحقيقي. أيضا يقوم بتصفية Filter الطلبات بحيث يمنع الطلبات الخبيثة ويمرر الطلبات السليمة. للمزيد اقرأ المقالة الخاصة بخدمة ديفليكت Deflect.

Project Shield

هو مشروع من مشاريع Jigsaw غير الربحية ضمن شركة Google هدفه حماية مواقع منظمات حقوق الإنسان، ومواقع الأخبار ومواقع مراقبة نتائج الانتخابات من هجمات DDoS. يقدم Project Shield الخدمة دون مقابل ويمكن الحصول على الخدمة عبر الموقع التالي: https://projectshield.withgoogle.com/landing.

Akamai

شركة .Akamai Technologies, Inc شركة أمريكية تدير شبكة إيصال محتوى Content Delivery Network وخدمات hالسحابة، مركزها Cambridge, Massachusetts في الولايات المتحدة الأمريكية. تدير هذه الشركة واحدة من أكبر شبكات العالم الموزعة لإيصاب المحتوى، وهي مسؤولة عن حركة بيانات 15%-30% من كامل حركة البيانات على الإنترنت.

تقدم الشركة أيضا خدمتي الحماية Protection من هجمات الحرمان من الخدمة الموزعة DDoS وتخفيف الأذى Mitigation من هذه الهجمات. عبر منتجها Kona Site Defender.

كلاود فلير CloudFlare

كلاود فلير Cloudflare, Inc شركة أمريكية تقدم خدمات عدة منها خدمات شبكة تقديم المحتوى Content Delivery Network وأمن الإنترنت Internet Security والحماية من هجمات DDoS Protection والتقليل من آثارها DDoS Mitigation وغير ذلك. للمزيد حول الشركة وخدماتها اقرأوا المقالة الخاصة بكلاود فلير Cloudflare.