هجوم الحرمان من الخدمة Distributed Denial of Service (DDoS) attack

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

هجوم الحرمان من الخدمة Denial of Service attack أو هجوم الحرمان من الخدمة الموزع Distributed Denial of Service attack هو نوع من الهجمات الخبيثة يقوم بها المهاجم أو مجموعة من المهاجمين بهدف إخراج الحاسب أو الحواسيب أو موارد الشبكات المستهدفة عن الخدمة لفترة محدودة أو بشكل دائم.

يقوم المهاجمون عادة في هذا النوع من الهجمات بإغراق الأجهزة المستهدفة بالطلبات Requests بسرعة أكبر من قدرة هذه الأجهزة على الاستجابة Response أو عبر إرسال طلبات Requests مصممة خصيصا لاستهلاك موارد الأجهزة المستهدفة بحيث لا تعود هذه الأجهزة قادرة على الاستجابة للطلبات الحميدة.

فإذا قامت مجموعة خبيثة ما بمهاجمة صفحة مدونة أحد الصحفيين بهذا الهجوم لن يتمكن أي من زوار المدونة من معاينة محتواها طوال فترة الهجوم وربما حتى بعده. إذ أن الحاسب وراء المدونة سيكون غارقا بالطلبات (طلبات الزيارة مثلا) التي ترد من الجهة الخبيثة ولن يتمكن لا للإستجابة لهذه الطلبات الخبيثة ولا للطلبات الحميدة وقد يؤدي ذلك إلى خروج الحاسب عن الخدمة (حتى يتم إعادة تشغيله مثلا).

يشبه ذلك أن يقوم مجموعة كبيرة جدا من الأشخاص الخبيثين بالدخول إلى متجر آخذين كامل مجال الحركة ضمن المتجر حتى مدخله، ما يمنع أي شخص يريد التبضع من الدخول إلى المتجر.

يختلف هجوم الحرمان من الخدمة DoS عن هجوم الحرمان من الخدمة الموزع DDoS بأن مصدر هجوم حرمان الخدمة يكون وحيدا ما يعني أن قطع إتصال المهاجم أو وضع عنوان الآي بي IP Address الخاص بالمهاجم أو ترشيح Filter الطلبات التي تصل الجهاز وإزالة الطلبات التي تصل من الهاجم يكفي لإيقاف الهجوم. بينما في هجوم الحرمان من الخدمة الموزع يكون مصدر الهجوم موزعا كما يشير الاسم، ما يعني عدم إمكانية إيقاف الهجوم عبر الطرق المستخدمة لإيقاف هجوم الحرمان من الخدمة غير الموزع.

قياس شدة هجوم الحرمان من الخدمة

تقاس شدة هجوم الحرمان من الخدمة بحجم البيانات التي تصل إلى الجهة المستهدفة بالهجوم بالثانية على ان يقاس حجم البيانات بواحدة البت bit. إذا واحدة قياس شدة هذا النوع من الهجوم هي الـ bits/s أو bps اختصارا لـ bits per second. يضاف إلى ذلك واحدات القياس المشتقة من الـ bps مثل الـ Kbps أي Kilo bits per second وكذلك Mbps وGbps والـ Tbps اختصارا لـ Mega bits per secon وGiga bits per second وTera bits per second. وعادة تستخدم القيمة القصوى التي تصل إليها شدة هجوم من هذا النوع خلال حدث أو هجوم معين.


توضح الصورة القيمة العظمى التي وصل إليها أضخم جهمات الحرمان من الخدمة الموزعة بين كانون الثاني/يناير 2007 آذار/مارس 2018.

Mar2018 Peak Attack Size.png

متابعة أخبار هجمان الحرمان من الخدمة

يمكن متابعة أي مستجدات في موضوع هجمات الحرمان من الخدمة بأنواعها بشكل عام عبر متابعة المواقع المعنية بأمن المعلومات. بالإضافة لذلك يمكن معاينة الخدمات التالية:

Digital Attack Map

خريطة الهجمات الرقمية http://www.digitalattackmap.com/، خدمة من شركة Arbor تقوم بإظهار حالة هجمات الحرمان من الخدمة الموزعة DDoS التي تحدث في الوقت الراهن على خريطة تفاعلية. تقدم المنصة أيضا إمكانية معاينة هجمات سابقة وقراءة معلومات إضافية عن الهجمات.

Digital Attack Map 2018-03-15.png

Norse Attack Map

http://map.norsecorp.com/#/

Norse attack map 2018.04.05 02.35.21.png

Akamai Real Time Web Monitor

تقدم شركة Akamai Technologies وهي إحدى أكبر شبكات تزويد الحتوى Content Delivery Network وإحدى أهم شركات الخدمات السحابية، تدير الشركة بنية تحتية يمر خلالها 15-30% من جميع البيانات المتبادلة عبر الانترنت. هو رقم مهوول. هذا يخول الشركة إجراء إحصائيات ودراسات تمثل حالة شبكة الانترنت في جميع أنحاء العالم. ومن بين هذه الاحصائيات حالة هجمات الحرمان من الخدمة، مصدرها وهدفها كما هو مبين في الشكل أدناه من خلال هذا الرابط: https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp


Akamai Real Time Web Monitor 2018.04.05 02.22.18.png

أدوات هجمات الحرمان من الخدمة DoS and DDoS Tools and Instruments

البرامج الخاصة

يقوم هذا البرنامج بإرسال الطلبات بشكل مؤتمت من جهاز المستخدم بعد إعداده لاستهداف جهاز أو شبكة محددة. في يومنا هذا لا يكفي استخدام البرنامج من قبل مستخدم واحد لتحقيق شدة هجوم كافية لإخراج الهدف عن الخدمة. لذلك يقوم المهاجمون بتوجيه الكثير من الأشخاص لاستخدام هذا البرنامج بالتواقت لتحقيق شدة هجوم كافية لإخراج هدف ما عن الخدمة بشكل مؤقت أو دائم. تعد مجموعة Anonymous من أكثر المجموعات شهرة بالقيام بعملية الحشد والتوجيه لاستهداف جهة معينة، عبر استخدام برنامج خاص بإرسال الطلبات يسمى Low Orbit Ion Cannon واختصارا LOIC.

LOIC-0.png


خدمة الحرمان من الخدمة المأجورة DDoS-for-Hire

تقوم مجموعات عديدة على الانترنت خدمة حرمان من الخدمة مقابل مردود مادي. لأن هجوم الحرمان من الخدمة غير قانوني تجرمه قوانين أغلب دول العالم إن لم تكن جميها، فيمكن اعتبار هذه المجموعات مجموعات إجرامية، مارقة، خارجة عن القانون، وعرضة للملاحقة القانونية. لذلك تحاول هذه المجموعات اخفاء الهوية الحقيقية لمن يقفون وراءها.

من أهم هذه الخدمات الخدمة التي يقدمها موقع https://webstresser.org الذي تم إيقافه وإلقاء القبض على مدرائه في تاريخ 25 نيسان/أبريل 2018 بعملية قادها مركز مكافحة الجريمة البريطاني والشرطة الهولندية، بالتنسيق مع الشرطة الأوروبية وعدد آخر من مؤسسات الشرطة في عدد من الدولة، استطاعت السلطات فيها اعتقال 6 اشخاص يقفون خلف الخدمة في عدد من الدول. للمزيد: Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested و Cyber-attack website Webstresser taken down

في مقالة استقصائية أنجزتها شركة Fortinet يمكن معاينها هنا: DDoS-for-Hire Service Powered by Bushido Botnet وجد الباحثون المعلومات التالية المتقلة بأجور تنفيذ الحرمان من الخدمة الموزعة DDoS عبر موقع ZullSec مستخدمين Boshido Botnet:

توضح الصورة التالية الخيارات المختلفة الخبيثة التي يقدمها الموقع:

DDoS-for-Hire Service Powered by Bushido Botnet Copyrights Fortinet.png

  • الخدمة البرونزية - هجوم باستخدام طريقة واحدة - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 20$
  • الخدمة البرونزية+ - هجوم باستخدام طريقتين - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
  • الخدمة البرونزية VIP - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة متميزة - 70$
  • الخدمة الفضية - هجوم باستخدام طريقة واحدة - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
  • الخدمة الفضية+ - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - 40$
  • الخدمة الفضية VIP - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة متميزة -100$
  • الخدمة الذهبية - هجوم باستخدام طريقة واحدة - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 40$
  • الخدمة الذهبية+ - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - 50$
  • الخدمة الذهبية VIP - هجوم باستخدام طريقتين - 7200 ثانية = 120 دقيقة - دعم تقني 24/7 - شبكة متميزة - 150$

بالطبع لا نحاول هنا الترويج لهذه الخدمة وإنما نحاول تعريف القارئ والقارئة بالخدمات الخبيثة المتوفرة في السوق السوداء. فقد يبدو مصدر الجهوم على موقعكم جهة مقتدرة تقنيا في حين من يقف وراء الهجوم جهة مقتدرة ماديا ومستعدة لدفع كلفة الهجوم.

أيضا يمكن عبر معاينة مدة الهجوم وطبيعته تحديد ما إذا كان خدمة مأجورة، فإن كان مدة الهجوم الذي تعرض له موقعكم مضبوطا بدقة كأن يكون 900 ثانية بالضبط أو 3600 ثانية بالضبط فإن في ذلك إشارة لا بأس بها إلى كون الهجوم مأجورا. وإن كانت مدة الهجوم بعد بياناته أضعافا من قيمة محددة مثلا 5 ساعات تماما، فإن في ذلك إشارة إلى الأجرة التي دفعتها الجهة المستأجرة للخدمة وربما في ذلك إشارة إلى قدرة تلك الجهة المادية.

تقنيات هجمات الحرمان من الخدمة DoS and DDoS Techniques

هجوم اللوريس البطئ Slowloris Attack

هجوم Slowloris هجوم ابتكره روبيرت هانسين Robert Hansen الذي يطلق على نفسه لقب RSnake الذي أطلق عليه التسمية تيمنا بالحيوان من الرئيسيات الذي يحمل الاسم. يعتبر هجوم Slowloris أحد أساليب هجمات الحرمان من الخدمة التي تستغل ميزة أو مشكلة في البروتوكات Protocol ضمن طبقة التطبيقات (أي الطبقة 7 من نموذج ISO للشبكات). وهو أحد هجمات الحرمان من الخدمة القليلة التي لا تحتاج إلى بنية تحتية كبيرة (لارسال عدد كبير من الطلبات إلى الخادم) ولا إلى مشاركين كثر كما هو الحال في هجمات الحرمان من الخدمة التي تستغل شبكات البوتس BotNets أو التي تعتمد على المتطوعين وأجهزتهم. إذا يمكن تنفيذ هذا الهجوم باستخدام حاسب شخصي عادي واتصال عادي بشبكة الانترنت.

يعتمد هذا الهجوم على محاولة فتح عدد من قنوات الاتصال مع الخادم وإبقائها مشغولة لأكبر فترة ممكنة. ويمكن تحقيق ذلك عبر توجيه طلبات Http Requests لقراءة صفحة ما في موقع ما، لكن بدل إرسال الطلبات بشكل كامل وسريع، يقوم المهاجم بإرسال كل طلب بأبطأ شكل ممكن، كأن يرسل أول حرف من الطلب ثم ينتظر أكبر فترة ممكنة (قبل أن يقطع الاتصال) ليرسل بعد ذلك الحرف التالي ثم ينتظر مجددا وهكذا. بذلك يحاول المهاجم شغل الاتصال أكبر فترة ممكنة. ويقوم المهاجم بإرسال مئات الطلبات البطيئة بهذا الشكل ما قد يجعل جميع قتوات الاتصال بالخادم مشغولة بهذه الطلبات البطيئة، وبذلك لا يستطيع زوار الموقع الذين يرغبون فعلا من زيارة الموقع من فتح اتصال وإرسال طلب قراءة الصفحات لأن جميع القنوات مشغولة.

يوضح السرد التالي طلب Http نظاميا لصفة من صفحات موقعنا.

GET /wiki/DDoS/ HTTP/1.1
Host: salamatechwiki.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,ar;q=0.8,de;q=0.7,fr-FR;q=0.6,fr;q=0.5,tr;q=0.4
Connection: keep-alive
Cache-Control: max-age=0

إذا لتنفيذ الهجوم يقوم المهاجم بإرسال كل حرف من حروف الطلب بأبطأ شكل ممكن قبل انقاط الاتصال. إذا G ثم ينتظر قليلا ثم E ثم ينتظر قليلا ثم T وهكذا...

للمزيد حول هذا الهجوم راجع المقابلة التالية من قناة Computerphile على موقع يوتيوب: Slowloris Attack - Computerphile

كما يمكنكم معاينة سطور برمجة برنامج يقوم بهجوم Slow Loris مكتوبا بلغة بايثون Pyhton تحت هذا الرابط: https://github.com/wal99d/SlowLoris

طبعا تنفيذ هجمات الحرمان من الخدمة يجعلكم عرضة للمساءلة القانونية لذلك ننصح القراء بعدم استخدام الأدوات على صفحات موجودة على شبكة الانترنت. وإنما استخدام الأدوات على الخوادم ضمن الشبكة المحلية الخاصة بكم.

ICMP Flood Attack

Smurf Attack

Reflection Attacks

Amplification Attacks

DNS Flood Attack

GET/POST Flood Attack

Christmas tree packet Attack

في مجال المعلوماتية وهندسة الاتصال، تشير تسمية رزمة شجرة الميلاد Christmas Tree Packet إلى رزمة Packet من رزم أي بروتوكول Protocol من بروتوكولات Protocols الاتصال في حال كانت جميع الخيارات options التي يقبلها البروتوكول مضبوطة. تأتي التسمية من تعبير في الانجليزية هو أن جميع الخيارات كانت مضبوطة في الرزمة كما هو حال جميع الأضواء في شجرة عيد الميلاد. The packet was lit up like a Christmas tree.

تستخدم هذه الرزم في هجمات الحرمان من الخدمة الموزعة DDoS Attacks عبر إرسال عدد كبير منها، لأنها بالمقارنة مع الرزم الاعتيادية، تحتاج موارد أكثر على الجهاز المستقبل لأن جميع أن جميع الخيارات مضبوطة، حتى أنها قد تشغل موارد أكثر من جهاز على الجهة المستقبلة بالمقارنة مع الرزم الاعتيادية

طبها على الجهة المستقبلة، يمكن كشف وصول رزم شجرة الميلاد Christmas tree packets بسهولة، ويشير وصولها عادة إلى أمر مريب أو حتى خبيث، فهي إن لم تستخدم لهجمات الحرمات من الخدمة، تستخدم لفحص الجهة المستقبلة ومعرفة خصائصها أي في عملية الاستطلاع Reconnaissance..

أساليب وأدوات الحماية من هجوم الحرمان من الخدمة

تعتمد أساليب وأدوات الحماية من هجوم الحرمان من الخدمة على مزيج من الإجراءات:

  • اكتشاف الهجوم Attack Detection
  • تصنيف نوع حركة مرور البيانات Traffic classification
  • أدوات للإستجابة Response tools تقوم بإيقاف حركة مرور البيانات التي تصنف خبيثة، وتقوم بالسماح لحركة البيانات الحميدة بالمرور.

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنظيف أو تصفية منبع نهر (البيانات) Upstream filtering

يتم تحويل حركة البيانات لتمر جميعها ضمن مركز تنظيف أو تصفية، يقوم بإيقاف حركة البينات الخبيثة عن المتابعة والسماح لحركة البيانات الحميدة بالمتابعة خارج المركز والوصول إلى هدفها. من الممكن أن تكون حركة البيانات الخييثة بيانات هجوم DDoS او غيرها من البيانات الخبيثة التي يتمكن المركز من تحديدها.

لكي تستطيع هذه المراكز القيام بعملها بشكل جيد، ينبغي أن تتواجد في عقد أساسية ضمن شبكة الانترنت تمر خلالها حركة الانترنت بدون الحاجة لتحويلها مسافات طويلة.

من مزودات هذه الخدمة:

  • Akamai Technologies
  • CloudFlare

وغيرها

شركات ومؤسسات تعمل في مجال الحماية من هجمات الحرمان من الخدمة وتصفية المنبع Upstream Filtering

ديفليكت Deflect

Deflect-295x220.png

ديفليكت Deflect هو نظام مفتوح المصدر مقدم لمنظمات ومجموعات المجتمع المدني، والناشطين، والمدونين، ووسائل الإعلام المستقلة، لحمايتهم من هجمات DDoS بشكل مجاني عبر استخدام تقنية مخدمات مشروع Deflect التي تعمل عمل Reverse Proxy للموقع المراد حمايته. بالتالي يمكن القول أن ديفلكت يقوم باخفاء عنوان الـ IP الخاص بمخدم موقعكم الحقيقي. أيضا يقوم بتصفية Filter الطلبات بحيث يمنع الطلبات الخبيثة ويمرر الطلبات السليمة. للمزيد اقرأ المقالة الخاصة بخدمة ديفليكت Deflect.

Akamai

409px-Akamai logo.svg.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

كلاود فلير CloudFlare

Cf-logo-v-rgb.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنقّل في الكتيب eBook Navigation

السابق: برامج تسجيل المفاتيح Keystroke Loggers

التالي: برامج الفدية Ransomware

الهجمات الالكترونية المسيئة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

ديفليكت Deflect

شركات ومؤسسات تعمل في مجال ضمان المعلومات

مراجع References

هجمات الحرمان من الخدمة على ويكيبيديا

Syria’s Online Conflict: The Hackers And Their Weapons

Project Shield

Digital Attack Map

DDoS Extortionists made $100,000 without Launching a Single Attack

Anonymous on Wikipedia

Low Orbit Ion Cannon on Wikipedia

Slow Loris Attack - Computerphile

Cyber-attack website Webstresser taken down

Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested

DDoS-for-Hire Service Powered by Bushido Botnet