هجوم الحرمان من الخدمة Denial of Service Attack

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

محتويات

مقدمة

هجوم الحرمان من الخدمة Denial of Service attack ويعرف اختصارا بـ DoS هو نوع من الهجمات الخبيثة يقوم بها المهاجم أو مجموعة من المهاجمين بهدف إخراج الحاسب أو الحواسيب أو موارد الشبكات المستهدفة عن الخدمة لفترة محدودة أو بشكل دائم.

يقوم المهاجمون عادة في هذا النوع من الهجمات بإغراق الأجهزة المستهدفة بالطلبات Requests بسرعة أكبر من قدرة هذه الأجهزة على الاستجابة Response أو عبر إرسال طلبات Requests مصممة خصيصا لاستهلاك موارد الأجهزة المستهدفة بحيث لا تعود هذه الأجهزة قادرة على الاستجابة للطلبات الحميدة.

فإذا قامت مجموعة خبيثة ما بمهاجمة صفحة مدونة أحد الصحفيين بهذا الهجوم لن يتمكن أي من زوار المدونة من معاينة محتواها طوال فترة الهجوم وربما حتى بعده. إذ أن الحاسب وراء المدونة سيكون غارقا بالطلبات (طلبات الزيارة مثلا) التي ترد من الجهة الخبيثة ولن يتمكن لا للإستجابة لهذه الطلبات الخبيثة ولا للطلبات الحميدة وقد يؤدي ذلك إلى خروج الحاسب عن الخدمة (حتى يتم إعادة تشغيله مثلا).

يشبه ذلك أن يقوم مجموعة كبيرة جدا من الأشخاص الخبيثين بالدخول إلى متجر آخذين كامل مجال الحركة ضمن المتجر حتى مدخله، ما يمنع أي شخص يريد التبضع من الدخول إلى المتجر.

تطلق تسمية هجوم الحرمان من الخدمة Denial of Service Attack على هجمات الحرمان من الخدمة التي يكون مصدرها جهازا واحدا. أما إذا كان مصدر الهجوم عدد من الأجهزة المتباعدة في فضاء الإنترنت، فيسمى الهجوم عند ذلك هجوم الحرمان من الخدمة الموزّع Distributed Denial of Service attack الذي يعرف اختصارا بـ DDoS.

قد يكفي في هجوم الحرمان من الخدمة DoS قطع إتصال المهاجم أو وضع عنوان الآي بي IP Address الخاص بالمهاجم أو ترشيح Filter الطلبات التي تصل الجهاز وإزالة الطلبات التي تصل من الهاجم يكفي لإيقاف الهجوم. بينما في هجوم الحرمان من الخدمة الموزع DDoS يكون مصدر الهجوم موزعا كما يشير الاسم، ما يعني عدم إمكانية إيقاف الهجوم عبر الطرق المستخدمة لإيقاف هجوم الحرمان من الخدمة غير الموزع.

قياس شدة هجوم الحرمان من الخدمة

تقاس شدة هجوم الحرمان من الخدمة بحجم البيانات التي تصل إلى الجهة المستهدفة بالهجوم بالثانية على ان يقاس حجم البيانات بواحدة البت bit. إذا واحدة قياس شدة هذا النوع من الهجوم هي الـ bits/s أو bps اختصارا لـ bits per second. يضاف إلى ذلك واحدات القياس المشتقة من الـ bps مثل الـ Kbps أي Kilo bits per second وكذلك Mbps وGbps والـ Tbps اختصارا لـ Mega bits per secon وGiga bits per second وTera bits per second. وعادة تستخدم القيمة القصوى التي تصل إليها شدة هجوم من هذا النوع خلال حدث أو هجوم معين.


توضح الصورة القيمة العظمى التي وصل إليها أضخم جهمات الحرمان من الخدمة الموزعة بين كانون الثاني/يناير 2007 آذار/مارس 2018.

Mar2018 Peak Attack Size.png

متابعة أخبار هجمان الحرمان من الخدمة

يمكن متابعة أي مستجدات في موضوع هجمات الحرمان من الخدمة بأنواعها بشكل عام عبر متابعة المواقع المعنية بأمن المعلومات. بالإضافة لذلك يمكن معاينة الخدمات التالية:

Digital Attack Map

خريطة الهجمات الرقمية http://www.digitalattackmap.com/، خدمة من شركة Arbor تقوم بإظهار حالة هجمات الحرمان من الخدمة الموزعة DDoS التي تحدث في الوقت الراهن على خريطة تفاعلية. تقدم المنصة أيضا إمكانية معاينة هجمات سابقة وقراءة معلومات إضافية عن الهجمات.

Digital Attack Map 2018-03-15.png

Norse Attack Map

http://map.norsecorp.com/#/

Norse attack map 2018.04.05 02.35.21.png

Akamai Real Time Web Monitor

تقدم شركة Akamai Technologies وهي إحدى أكبر شبكات تزويد الحتوى Content Delivery Network وإحدى أهم شركات الخدمات السحابية، تدير الشركة بنية تحتية يمر خلالها 15-30% من جميع البيانات المتبادلة عبر الانترنت. هو رقم مهوول. هذا يخول الشركة إجراء إحصائيات ودراسات تمثل حالة شبكة الانترنت في جميع أنحاء العالم. ومن بين هذه الاحصائيات حالة هجمات الحرمان من الخدمة، مصدرها وهدفها كما هو مبين في الشكل أدناه من خلال هذا الرابط: https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp


Akamai Real Time Web Monitor 2018.04.05 02.22.18.png

أدوات هجمات الحرمان من الخدمة DoS and DDoS Tools and Instruments

البرامج الخاصة

يقوم هذا البرنامج بإرسال الطلبات بشكل مؤتمت من جهاز المستخدم بعد إعداده لاستهداف جهاز أو شبكة محددة. في يومنا هذا لا يكفي استخدام البرنامج من قبل مستخدم واحد لتحقيق شدة هجوم كافية لإخراج الهدف عن الخدمة. لذلك يقوم المهاجمون بتوجيه الكثير من الأشخاص لاستخدام هذا البرنامج بالتواقت لتحقيق شدة هجوم كافية لإخراج هدف ما عن الخدمة بشكل مؤقت أو دائم. تعد مجموعة Anonymous من أكثر المجموعات شهرة بالقيام بعملية الحشد والتوجيه لاستهداف جهة معينة، عبر استخدام برامج خاصة بإرسال الطلبات مثل برنامج R.U.D.Y. الذي يوفر واجهة سهلة الاستخدام لإجراء هجوم R.U.D.Y. وأيضا تطبيق Low Orbit Ion Cannon واختصارا LOIC او برنامج High Orbit Ion Cannon واختصارا HOIC الممثلين في الصورتين التاليتين.

LOIC-0.png

HOIC INTERFACE.png

خدمة الحرمان من الخدمة المأجورة DDoS-for-Hire

تقوم مجموعات عديدة على الانترنت خدمة حرمان من الخدمة مقابل مردود مادي. لأن هجوم الحرمان من الخدمة غير قانوني تجرمه قوانين أغلب دول العالم إن لم تكن جميها، فيمكن اعتبار هذه المجموعات مجموعات إجرامية، مارقة، خارجة عن القانون، وعرضة للملاحقة القانونية. لذلك تحاول هذه المجموعات اخفاء الهوية الحقيقية لمن يقفون وراءها.

من أهم هذه الخدمات الخدمة التي يقدمها موقع https://webstresser.org الذي تم إيقافه وإلقاء القبض على مدرائه في تاريخ 25 نيسان/أبريل 2018 بعملية قادها مركز مكافحة الجريمة البريطاني والشرطة الهولندية، بالتنسيق مع الشرطة الأوروبية وعدد آخر من مؤسسات الشرطة في عدد من الدولة، استطاعت السلطات فيها اعتقال 6 اشخاص يقفون خلف الخدمة في عدد من الدول. للمزيد: Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested و Cyber-attack website Webstresser taken down

في مقالة استقصائية أنجزتها شركة Fortinet يمكن معاينها هنا: DDoS-for-Hire Service Powered by Bushido Botnet وجد الباحثون المعلومات التالية المتقلة بأجور تنفيذ الحرمان من الخدمة الموزعة DDoS عبر موقع ZullSec مستخدمين Boshido Botnet:

توضح الصورة التالية الخيارات المختلفة الخبيثة التي يقدمها الموقع:

DDoS-for-Hire Service Powered by Bushido Botnet Copyrights Fortinet.png

  • الخدمة البرونزية - هجوم باستخدام طريقة واحدة - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 20$
  • الخدمة البرونزية+ - هجوم باستخدام طريقتين - 900 ثانية = 15 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
  • الخدمة البرونزية VIP - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة متميزة - 70$
  • الخدمة الفضية - هجوم باستخدام طريقة واحدة - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 30$
  • الخدمة الفضية+ - هجوم باستخدام طريقتين - 1800 ثانية = 30 دقيقة - دعم تقني 24/7 - 40$
  • الخدمة الفضية VIP - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة متميزة -100$
  • الخدمة الذهبية - هجوم باستخدام طريقة واحدة - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - شبكة اعتيادية - 40$
  • الخدمة الذهبية+ - هجوم باستخدام طريقتين - 3600 ثانية = 60 دقيقة - دعم تقني 24/7 - 50$
  • الخدمة الذهبية VIP - هجوم باستخدام طريقتين - 7200 ثانية = 120 دقيقة - دعم تقني 24/7 - شبكة متميزة - 150$

بالطبع لا نحاول هنا الترويج لهذه الخدمة وإنما نحاول تعريف القارئ والقارئة بالخدمات الخبيثة المتوفرة في السوق السوداء. فقد يبدو مصدر الجهوم على موقعكم جهة مقتدرة تقنيا في حين من يقف وراء الهجوم جهة مقتدرة ماديا ومستعدة لدفع كلفة الهجوم.

أيضا يمكن عبر معاينة مدة الهجوم وطبيعته تحديد ما إذا كان خدمة مأجورة، فإن كان مدة الهجوم الذي تعرض له موقعكم مضبوطا بدقة كأن يكون 900 ثانية بالضبط أو 3600 ثانية بالضبط فإن في ذلك إشارة لا بأس بها إلى كون الهجوم مأجورا. وإن كانت مدة الهجوم بعد بياناته أضعافا من قيمة محددة مثلا 5 ساعات تماما، فإن في ذلك إشارة إلى الأجرة التي دفعتها الجهة المستأجرة للخدمة وربما في ذلك إشارة إلى قدرة تلك الجهة المادية.

تصنيفات هجمات الحرمان من الخدمة DOS and DDOS Attacks categories

مجال أمن المعلومات الرقمية مجال سريع التغيّر، فهناك أساليب جديدة من الهجمات كل فترة وتغيرات على البنية التحتية للانترنت ما يعني إغلاق ثغرات كانت تستغل في الهجمات وأيضا ربما فتح ثغرات جديدة يمكن للمهاجمين استغلالها، بسبب طبيعة المجال هذه، لا يوجد تصنيف وحيد معتمد للهجمات وأنواعها ومنها هجمات الحرمان للخدمة. لكن يمكننا عبر معاينة بعض النواحي المشتركة في هجمات الحرمان من الخدمة لوضع التصنيفين التاليين. وعند الحديث عن هجوم معين من المفيد ذكر مكان الهجوم ضمن هذين التصنيفين. فيمكن القول مثلا أن هجوم HTTP Flood Attack هو هجوم على طبقة التطبيقات (التطبيق هو خادم HTTP) وهو أيضا من هجمات الإغراق Flood Attacks.

التصنيف الأول

الهجمات على طبقة التطبيقات Application Layer Attacks

وهي هجمات الحرمان من الخدمة التي تستهدف برامج الشبكة، أي البرامج التي تتموضع في الطبقة 7 من طبقات الشبكة حسب معيار نموذج OSI. أي أنها تستهدف تطبيقات الويب المتصلة بالشبكة مثل التطبيق الذي يعمل كخادم HTTP. تكون هذه الهجمات عادة أكثر تعقيدا من الهجمات الأخرى وتعتمد على استهلاك وإنهاك إمكانيات وموارد الجهاز المستهدف بهدف احتكارها. من الصعب تمييز حزم هذه الهجمات عن حزم الخدمة العادية. HTTP Flood Attack مثال عن هذا الصنف من الهجمات.

الهجمات المبنية على البروتوكول Protocol Based Attacks

تركز هجمات حرمان الخدمة المبنية على البروتوكول على نقاط الضعف في الطبقات 3 و4 من نموذج OSI للشبكات. وهما طبقتا البروتوكولات. تقوم هذه الهجمات باستهلاك كامل قدرة الجهاز المستهدف لمعالجة البيانات ما يؤدي إلى حرمان الآخرين من الخدمة. من الأمثلة على هذا النوع من الهجمات هجوم Syn Flood وهجوم Ping of Death.

الهجمات الحجمية Volumetric Attacks

في هذا النوع من هجمات الحرمان من الخدمة، يقوم المهاجمون بإرسال كمية كبيرة جدا من البيانات في محاولة منها لإغراق مجاري الاتصال الخاصة بالجهاز المستهدف. من السهل إجراء هذه الهجمات عند استغلال ما يسمى بأساليب التضخيم amplification techniques وهي أساليب يستخدمها المهاجمون لدفع مكونات وأجهزة أخرى على شبكة الإنترنت لتضخيم البيانات المتبادلة وتوجيهها تجاه الجهاز المستهدف. وهذه الهجمات تعد من أكثر الهجمات حدوثا. من أمثلتها هجوم UDP Flood وهجوم TCP Flood وأيضا NTP Amplification.

التصنيف الثاني

أما التصنيف الثاني فهو مبين هنا:

الجهمات المنخفضة والبطيئة Low and slow Attacks

ومنها هجوم اللوريس البطئ Slowloris Attack وأيضا هجوم R.U.D.Y. المختصر من عبارة "?Are you dead yet"  والتي تعني "هل بلغك الموت أم ليس بعد؟" وهو نوع من هجنات الحرمان من الخدمة الذي يعتمد لإجرائه على معدل تبادل بيانات ضئيل جدا، بحيث تحتكر هذه الطلبات وقت الجهاز المستخدم. وذلك على خلاف هجمات الحرمان من الخدمة الأخرى التي تعمد على إرسال عدد كبير من الطلبات أو كمية كبير من المعلومات.

وبسبب معدل تبادل البيانات الضئيل من الصعب تمييزها عن أي تبادل حميد للبيانات وبالتالي يصعب الحد من أذاها. وأبضا لأنها لا تحتاج إلى عتاد خاص أو عرض حزمة عريضة (اي اتصال سريع بالانترنت) فإنه يمكن يمكن إطلاق هجمات حرمان خدمة ناجحة من هذا الصنف باستخدام جهاز لابتوب واحد.

LowAndSlowDoSAttacks.png

هجمات الإغراق Flood Attacks

في هجمات الإغراق يقوم المهاجم أو المهاجمون بمحاولة إغراق الجهاز أو المنظومة المستهدفة بطلبات الخدمة، سواء كان ذلك على مستوى التطبيقات كما هو الحال في هجوم HTTP Flood Attack أو على مستوى البروتوكولات مثل هجوم Syn Flood أو هجوم ICMP Flood. عبر شغل الشبكة المستهدفة وعبر إنهاك موارد الجهاز المستهدف، يؤدي هجوم الإغراق إلى حرمان الجهاز المستهدف من الاستجابة للطلبات الحميدة التي قد لا تصل أساسا للجهاز المستهدف.

FloodingDDoSAttacks.png

الهجمات المعتمدة على الانعكاس Reflection-based Attacks

يقوم المهاجمون في هذا الصنف من هجمات الحرمان من الخدمة بإرسال طلبات معدة بشكل خاص، إلى خدمات على الشبكة يمكن استغلالها لهذاالغرض. يقوم المهاجمون بتزوير عنوان الجهة التي أرسلت الطلبات، مستبدلينه بعنوان الجهة المستهدفة. تستجيب هذه الخدمات للطلبات عبر إرسالها بيانات الإجابة إلى الجهة المذكورة في الطلبات أي إلى الجهة المستهدفة.

إذا قام المهاجم بإرسال طلبات المعدة بشكل خاص إلى خادمات كثيرة متباعدة في فضاء الشبكة، ستقوم هذه الخدمات بإغراق الجهة المستهدفة بالبيانات الواردة من هذه الخادمات. ما يخرج الجهة المستهدفة عن الخدمة ويحرم المستخدمين والنظم الحميدة من خدماتها.

يكون الهجوم أكثر فعالية إن كانت حجم بيانات كل استجابة، أكبر من حجم بيانات كل طلب. فذلك يعني أنه بالإمكان تضخيم الهجوم على الضحية بدون الحاجة لزيادة عرض الحزمة لدى الجهة المهاجمة. ويسمى الهجوم عند ذلك هجوم تضخيم مبني على الانعكاس Amplification Reflection-Based Attack.

ReflectionDDoSAttacks.png

تقنيات هجمات الحرمان من الخدمة DoS and DDoS Techniques

Teardrop Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Fraggle Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Christmas tree packet Attack

في مجال المعلوماتية وهندسة الاتصال، تشير تسمية رزمة شجرة الميلاد Christmas Tree Packet إلى رزمة Packet من رزم أي بروتوكول Protocol من بروتوكولات Protocols الاتصال في حال كانت جميع الخيارات options التي يقبلها البروتوكول مضبوطة. تأتي التسمية من تعبير في الانجليزية هو أن جميع الخيارات كانت مضبوطة في الرزمة كما هو حال جميع الأضواء في شجرة عيد الميلاد. The packet was lit up like a Christmas tree.

تستخدم هذه الرزم في هجمات الحرمان من الخدمة الموزعة DDoS Attacks عبر إرسال عدد كبير منها، لأنها بالمقارنة مع الرزم الاعتيادية، تحتاج موارد أكثر على الجهاز المستقبل لأن جميع أن جميع الخيارات مضبوطة، حتى أنها قد تشغل موارد أكثر من جهاز على الجهة المستقبلة بالمقارنة مع الرزم الاعتيادية

طبها على الجهة المستقبلة، يمكن كشف وصول رزم شجرة الميلاد Christmas tree packets بسهولة، ويشير وصولها عادة إلى أمر مريب أو حتى خبيث، فهي إن لم تستخدم لهجمات الحرمات من الخدمة، تستخدم لفحص الجهة المستقبلة ومعرفة خصائصها أي في عملية الاستطلاع Reconnaissance..

Ping of Death Attack

يقوم المهاجم هنا بإرسال رزمة من البيانات Data Packet إلى الجهاز المستهدف يتجاوز حجمها قدرة الجهاز المستهدف ما يؤدي إلى ما يسمى بـ Buffer Overflow على الجهاز المستهدف ما يؤدي غالبا إلى تعطله عن العمل وخروجه عن الخدمة مؤقتا.

يمكن أن ترسل هذه الرزمة عبر إرسال مجموعة كبيرة من الرزم يحدد حجمها الأقصى طبعية البروتوكول، تصل الجهاز المستهدف تباعا حيت يتم تجميعها. إذا يمكن اعتبار هذا النوع من الهجمات هجوما من صنف جهاز الحرمان من الخدمة الضعيف والبطئ Low and Slow DoS Attacks وأيضا من صنف الهجمات على مستوى البروتوكولات Protocols Based DoS Attacks.

تراجعت أهمية هذا الهجوم حتى أصبح يصنف في عداد الهجمات التاريخية Historical التي لم تعد مستخدمة في يومنا هذا. فجميع التجيزات المصنعة بعد عام 1998 منيع ضد هذا النوع من الهجمات على بروتوكولات IPv4. لكن هجوما من هذا النوع استهدف تغرة (CVE-2013-3183) في بروتوكولات IPv6 على Microsoft Windows حتى سد الثغرة في تطبيق بروتوكولات IPv6 عام 2013.

هجوم اللوريس البطئ Slowloris Attack

هجوم Slowloris هجوم حرمان من الخدمة DOS Attackمن صنف Low and Slow ابتكره روبيرت هانسين Robert Hansen الذي يطلق على نفسه لقب RSnake الذي أطلق عليه التسمية تيمنا بالحيوان من الرئيسيات الذي يحمل الاسم. يعتبر هجوم Slowloris أحد أساليب هجمات الحرمان من الخدمة التي تستغل ميزة أو مشكلة في البروتوكات Protocol ضمن طبقة التطبيقات (أي الطبقة 7 من نموذج ISO للشبكات). وهو أحد هجمات الحرمان من الخدمة القليلة التي لا تحتاج إلى بنية تحتية كبيرة (لارسال عدد كبير من الطلبات إلى الخادم) ولا إلى مشاركين كثر كما هو الحال في هجمات الحرمان من الخدمة التي تستغل شبكات البوتس BotNets أو التي تعتمد على المتطوعين وأجهزتهم. أي بكلمات أخرى هو من صنف الهجمات المنخفضة والبطيئة Low and Slow Attacks، حتى أنه يمكن تنفيذ هذا الهجوم بنجاح باستخدام حاسب شخصي عادي واتصال عادي بشبكة الانترنت.

يعتمد هذا الهجوم على محاولة فتح عدد من قنوات الاتصال مع الخادم وإبقائها مشغولة لأكبر فترة ممكنة. ويمكن تحقيق ذلك عبر توجيه طلبات Http Requests لقراءة صفحة ما في موقع ما، لكن بدل إرسال الطلبات بشكل كامل وسريع، يقوم المهاجم بإرسال كل طلب بأبطأ شكل ممكن، كأن يرسل أول حرف من الطلب ثم ينتظر أكبر فترة ممكنة (قبل أن يقطع الاتصال) ليرسل بعد ذلك الحرف التالي ثم ينتظر مجددا وهكذا. بذلك يحاول المهاجم شغل الاتصال أكبر فترة ممكنة. ويقوم المهاجم بإرسال مئات الطلبات البطيئة بهذا الشكل ما قد يجعل جميع قتوات الاتصال بالخادم مشغولة بهذه الطلبات البطيئة، وبذلك لا يستطيع زوار الموقع الذين يرغبون فعلا من زيارة الموقع من فتح اتصال وإرسال طلب قراءة الصفحات لأن جميع القنوات مشغولة.

يوضح السرد التالي طلب Http نظاميا لصفة من صفحات موقعنا.

GET /wiki/DDoS/ HTTP/1.1
Host: salamatechwiki.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,ar;q=0.8,de;q=0.7,fr-FR;q=0.6,fr;q=0.5,tr;q=0.4
Connection: keep-alive
Cache-Control: max-age=0

إذا لتنفيذ الهجوم يقوم المهاجم بإرسال كل حرف من حروف الطلب بأبطأ شكل ممكن قبل انقاط الاتصال. إذا G ثم ينتظر قليلا ثم E ثم ينتظر قليلا ثم T وهكذا...

للمزيد حول هذا الهجوم راجع المقابلة التالية من قناة Computerphile على موقع يوتيوب:

كما يمكنكم معاينة سطور برمجة برنامج يقوم بهجوم Slow Loris مكتوبا بلغة بايثون Pyhton تحت هذا الرابط: https://github.com/wal99d/SlowLoris

طبعا تنفيذ هجمات الحرمان من الخدمة يجعلكم عرضة للمساءلة القانونية لذلك ننصح القراء بعدم استخدام الأدوات على صفحات موجودة على شبكة الانترنت. وإنما استخدام الأدوات على الخوادم ضمن الشبكة المحلية الخاصة بكم.

R.U.D.Y. Attack

وهو هجوم حرمان من الخدمة DOS Attack من صنف Low and Slow يحاول إبقاء خادم ويب Web Server مشغولا باستقبال البيانات من قبل المهاجم الذي يرسل البيانات ببطء مبالغ به بشكل متعمد. ينجح الهجوم إذا استطاع المهاجمون شغل الخادم بمعالجة هذه الطلبات بشكل يكفي ليمنع الخادم من الاستجابة للطبات حميدة من نظم مستخدمين آخرين.

SYN Flood Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

HTTP Flood Attack

ويسمى أيضا GET/POST Attack.

UDP Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

ICMP Flood Attack

ويسمى أيضا Ping Flood Attack وهو أحد الأساليب البسيطة من أساليب هجوم الحرمان من الخدمة حيث يقوم المهاجمون بإغراق خادم الضحية بحزم طلبات الصدى Echo Request عبر بروتوكول ICMP. عادة ما تقوم الأجهزة بالرد على كل طلب من هذه الطلبات. فإن كان عرض حزمة المهاجمين أعلى من ذلك لدى الضحية فإن احتمال نجاح الهجوم عبر إغراق قناتي الطبات الواردة والصادرة للضحية بالطلبات. بالإضافة لذلك قد يسبب الهجوم أيضا استغلال موارد جهاز الضحية (في الاستجابة للطلبات، كل على حدى) ما يعني بطء استجابة الجهاز المستهدف وربما توقفه عن العمل،

يمكن للمهاجمين استخدام وضعية flood الخاص بتعليمة ping لإرسال الطلبات المذكورة. فمع وضعية flood يرسَل ping الحزم بأكبر سرعة ممكنة إلى جهاز الضحية بدون انتظار الرد. ما يرفع من احتمال نجاح الهجوم.

يمكن تحقيق هذا الهجوم عبر استخدام برنامج ping البسيط، يذكر أن أغلب أنظمة التشغيل تمنع المستخدمين العاديين على الأجهزة من استخدام تعليمة ping بهذه الوضعية. يمكن أيضا استخدام برامج أخرى مثل hping و scapy.

للمزيد اقرأوا المقالة التالية من موقع cloudflare.com عن هذا النوع من الهجمات [Ping (ICMP) Flood DDoS Attack]

DNS Flood Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء


هجوم السنفور Smurf Attack

هجوم السنفور هو هجوم حرمان من الخدمة موزعة Distributed Denial of Service يصنف ضمن هجمات الإغراق Flood Attacks وضمن الهجمات المبنية على الإنعكاس Reflection Attacks وضمن الهجمات على طبقة البروتوكولات Protocol Layer DoS Attacks حيث يقوم المهاجمون بمحاولة إغراق الجهاز المستهدف برزم بروتوكول ICMP عبر إرسال طلبات متلاعب بها تتضمن عنوان الجهاز المستهدف بدلا من عنوان الجهاز المرسل، إلى أجهزة أخرى على شبكة الإنترنت، لتستجيب الأخيرة للطلبات برزم أكبر حجما من الطلبات، مرسلة هذه الإستجابة إلى الجهاز المستهدف. ما يغرق الجهاز المستهدف بالطلبات ويجعله غير متاحا للاستجابة للطلبات الحميدة.

يعتبر هذا الهجوم من الهجمات التاريخية Historical Attacks غير الفعالة. للمزيد حول هذا الهجوم ننصحكم بقراءة المقالة التالية: Smurf Attack.

DNS Amplification Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

NTP Amplification Attack

هجوم NTP Amplification هو هجوم حرمان من الخدمة موزَّع DDoS، معتمد على الإنعكاس Reflection Based، ويصتف أيضا من بين الهجمات الحجمية Volumetric Attacks، يحاول المهاجمون عبر استخدامه استغلال وظيفة من وظائف بروتوكول NTP لتضخيم حركة مرور بيانات UDP التي تستهدف موارد شبكة أو جهاز معينا بغرض إنضابها، ما يحعل الشبكة أو الجهاز المستهدف غير متاحا للطلبات الحميدة.

كجميع الهجمات المضخمة، يعتمد هذا الهجوم على الفرق بين حجم في بيانات الطلبات وحجم الاستجابة على هذه الطلبات، ويعتمد كجميع هجمات الإنعكاس على تزوير عنوان مصدر هذه الطلبات واستبدالها بعنوان الجهة المستهدفة، بحيث تصل الردود المضخمة على هذه الطلبات إلى الجهة المستهدفة مستهلكة عرض حزمة وموارد تلك الهجة حارمة خدماتها عن المستخدمين والنظم الحميدة.


بالتحديد يقوم المهاجمون بإرسال طلب monlist عبر بروتوكول NTP. فخادم الـ NTP الذي يطله طلب monlist يقوم بالإستجابة على الطلب بذكر عناوين الـ IP لآخر 600 طلب وصلت لهذا الخادم. حجم الإستجابة هذه على طلب molist أكبر من حجم الطلب بـ 206 مرة. إذا إذا قام المهاجم بإرسال طلبات بحجم 1GB فإن الخادم سيقوم بالرد ب 206GB عبر الشبكة وهذا تضخيم كافٍ لإركاع شبكة الضحية و خادماتها.

إذا يجري الهجوم بالخطوات التالية:

  1. يقوم المهاجم باستخدام شبكة Bot لإرسال عدة طلبات monlist إلى خوادم NTP، عبر بروتوكول ضمن حزم UDP متلاعب بها تحمل عنوان IP الضحية بدل عنوان IP الجهات المرسلة.
  2. تقوم خوادم الـ NTP بالاستجابة للطلبات أي لتعليمة monlist وترسل استجاباتها الضخمة إلى عنوان IP الضحية.
  3. تستهلك كمية البيانات الضخمة التي تصل الجهة المستهدفة مواردها ما يحرم خدماتها عن الجهات الحميدة.

يلحق معظم أذى هذا الهجوم بالشبكة والبنية التحتية التي تحيط بالجهاز أو الخادم المستهدف. للتعامل مع هذا الهجوم يقوم مزود خدمة الانترنت الذي يدير البنية التحتية للشبكة بتحويل جميع البيانات الواردة دون الرد عليها أي عبر Blackholing ما يعني تماما حرمان المستخدمين من الخدمة. أي للتعامل مع هذا الهجوم تقوم مزودات خدمة الإنترنت بإنجاح هذف الهجوم.

يمكن بتعطيل التعليمة monlist على خوادم NTP. بهذا الإتجاه أصبحت تعليمة monlist معطلة بشكل افتراضي على خوادم NTP اعتبارا من النسخة 4.2.7.

يمكن أيضا لمدراء البنية التحتية تطبيق عملية التحقق من عنوان المصدر Source IP verificiation وعندم تمرير حزم UDP تحتوي على عنوان IP متلاعب به.

SNMP Reflection Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

SSDP Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

أساليب وأدوات الحماية من هجوم الحرمان من الخدمة

تعتمد أساليب وأدوات الحماية من هجوم الحرمان من الخدمة على مزيج من الإجراءات التي يمكن شملها في ثلاث نقاط:

  • اكتشاف الهجوم Attack Detection
  • تصنيف نوع حركة مرور البيانات Traffic classification
  • أدوات للإستجابة Response tools تقوم بإيقاف حركة مرور البيانات التي يتم تصنيفها على أنها خبيثة، وتقوم بالسماح لحركة البيانات الحميدة بالمرور.

نذكر فيما يلي أهم أساليب الحماية من هجمات الحرمان من الخدمة:

Application front end hardware

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Application level Key Completion Indicators

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Blackholing

في حالة الـ Blackholing يتم تحويل كامل حركة مرور البيانات التي تستهدف عنوان آي بي IP address محدد أو خادم DNS محدد إلى ما يسمى بالثقب الأسود Black-hole، وهي عبارة عن مخدم غير موجود non-existing server، أو تجهيزة شبكة غير موجودة null interface، وعادة ما يقوم مزودوا خدمة الإنترنت ISP بإدارة هذا النوع من الحماية.

Sinkholing

في هذه الطريقة، تقوم مخدم يسمى DNS Sinkhole أو بالوعة DNS بتحويل حركة مرور البيانات إلى عنوان آي بي IP address يقوم بتحليل حركة البيانات ورفض الحزم المسيئة. لكن هذه العملية غير فعالة إذ أنها تتطلب إمكانية تحليل عالية وبالتالي احتمال الفشل في الاستجابة احتمال عال خاصة في حال حدوث هجوم كبير.

IPS based prevention

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

DDS based defense

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

جدران الحماية Firewalls

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

الراوترات Routers

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

المبدلات Switches

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنظيف أو تصفية منبع نهر (البيانات) Upstream filtering

يتم تحويل حركة البيانات لتمر جميعها ضمن مركز تنظيف أو تصفية، يقوم بإيقاف حركة البينات الخبيثة عن المتابعة والسماح لحركة البيانات الحميدة بالمتابعة خارج المركز والوصول إلى هدفها. من الممكن أن تكون حركة البيانات الخييثة بيانات هجوم DDoS او غيرها من البيانات الخبيثة التي يتمكن المركز من تحديدها.

لكي تستطيع هذه المراكز القيام بعملها بشكل جيد، ينبغي أن تتواجد في عقد أساسية ضمن شبكة الانترنت تمر خلالها حركة الانترنت بدون الحاجة لتحويلها مسافات طويلة.

من مزودات هذه الخدمة:

  • Akamai Technologies
  • CloudFlare

وغيرها.

شركات ومؤسسات تعمل في مجال الحماية من هجمات الحرمان من الخدمة وتصفية المنبع Upstream Filtering

ديفليكت Deflect

Deflect-295x220.png

ديفليكت Deflect هو نظام مفتوح المصدر مقدم لمنظمات ومجموعات المجتمع المدني، والناشطين، والمدونين، ووسائل الإعلام المستقلة، لحمايتهم من هجمات DDoS بشكل مجاني عبر استخدام تقنية مخدمات مشروع Deflect التي تعمل عمل Reverse Proxy للموقع المراد حمايته. بالتالي يمكن القول أن ديفلكت يقوم باخفاء عنوان الـ IP الخاص بمخدم موقعكم الحقيقي. أيضا يقوم بتصفية Filter الطلبات بحيث يمنع الطلبات الخبيثة ويمرر الطلبات السليمة. للمزيد اقرأ المقالة الخاصة بخدمة ديفليكت Deflect.

Akamai

409px-Akamai logo.svg.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

كلاود فلير CloudFlare

Cf-logo-v-rgb.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنقّل في الكتيب eBook Navigation

السابق: برامج تسجيل المفاتيح Keystroke Loggers

التالي: برامج الفدية Ransomware

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

ديفليكت Deflect

شركات ومؤسسات تعمل في مجال ضمان المعلومات

مراجع References

هجمات الحرمان من الخدمة على ويكيبيديا

What is a DDoS Attack?

Syria’s Online Conflict: The Hackers And Their Weapons

Project Shield

Digital Attack Map

DDoS Extortionists made $100,000 without Launching a Single Attack

Anonymous on Wikipedia

Low Orbit Ion Cannon on Wikipedia

Slow Loris Attack - Computerphile

Cyber-attack website Webstresser taken down

Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested

DDoS-for-Hire Service Powered by Bushido Botnet

How to defend against DDoS attacks, 2004, Computerworld