هجوم الحرمان من الخدمة Distributed Denial of Service (DDoS) attack

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

هجوم الحرمان من الخدمة Denial of Service attack أو هجوم الحرمان من الخدمة الموزع Distributed Denial of Service attack هو نوع من الهجمات الخبيثة يقوم بها المهاجم أو مجموعة من المهاجمين بهدف إخراج الحاسب أو الحواسيب أو موارد الشبكات المستهدفة عن الخدمة لفترة محدودة أو بشكل دائم.

يقوم المهاجمون عادة في هذا النوع من الهجمات بإغراق الأجهزة المستهدفة بالطلبات Requests بسرعة أكبر من قدرة هذه الأجهزة على الاستجابة Response أو عبر إرسال طلبات Requests مصممة خصيصا لاستهلاك موارد الأجهزة المستهدفة بحيث لا تعود هذه الأجهزة قادرة على الاستجابة للطلبات الحميدة.

فإذا قامت مجموعة خبيثة ما بمهاجمة صفحة مدونة أحد الصحفيين بهذا الهجوم لن يتمكن أي من زوار المدونة من معاينة محتواها طوال فترة الهجوم وربما حتى بعده. إذ أن الحاسب وراء المدونة سيكون غارقا بالطلبات (طلبات الزيارة مثلا) التي ترد من الجهة الخبيثة ولن يتمكن لا للإستجابة لهذه الطلبات الخبيثة ولا للطلبات الحميدة وقد يؤدي ذلك إلى خروج الحاسب عن الخدمة (حتى يتم إعادة تشغيله مثلا).

يشبه ذلك أن يقوم مجموعة كبيرة جدا من الأشخاص الخبيثين بالدخول إلى متجر آخذين كامل مجال الحركة ضمن المتجر حتى مدخله، ما يمنع أي شخص يريد التبضع من الدخول إلى المتجر.

يختلف هجوم الحرمان من الخدمة DoS عن هجوم الحرمان من الخدمة الموزع DDoS بأن مصدر هجوم حرمان الخدمة يكون وحيدا ما يعني أن قطع إتصال المهاجم أو وضع عنوان الآي بي IP Address الخاص بالمهاجم أو ترشيح Filter الطلبات التي تصل الجهاز وإزالة الطلبات التي تصل من الهاجم يكفي لإيقاف الهجوم. بينما في هجوم الحرمان من الخدمة الموزع يكون مصدر الهجوم موزعا كما يشير الاسم، ما يعني عدم إمكانية إيقاف الهجوم عبر الطرق المستخدمة لإيقاف هجوم الحرمان من الخدمة غير الموزع.

قياس شدة هجوم الحرمان من الخدمة

تقاس شدة هجوم الحرمان من الخدمة بحجم البيانات التي تصل إلى الجهة المستهدفة بالهجوم بالثانية على ان يقاس حجم البيانات بواحدة البت bit. إذا واحدة قياس شدة هذا النوع من الهجوم هي الـ bits/s أو bps اختصارا لـ bits per second. يضاف إلى ذلك واحدات القياس المشتقة من الـ bps مثل الـ Kbps أي Kilo bits per second وكذلك Mbps وGbps والـ Tbps اختصارا لـ Mega bits per secon وGiga bits per second وTera bits per second. وعادة تستخدم القيمة القصوى التي تصل إليها شدة هجوم من هذا النوع خلال حدث أو هجوم معين.


توضح الصورة القيمة العظمى التي وصل إليها أضخم جهمات الحرمان من الخدمة الموزعة بين كانون الثاني/يناير 2007 آذار/مارس 2018.

Mar2018 Peak Attack Size.png

متابعة أخبار هجمان الحرمان من الخدمة

يمكن متابعة أي مستجدات في موضوع هجمات الحرمان من الخدمة بأنواعها بشكل عام عبر متابعة المواقع المعنية بأمن المعلومات. بالإضافة لذلك يمكن معاينة الخدمات التالية:

Digital Attack Map

خريطة الهجمات الرقمية http://www.digitalattackmap.com/، خدمة من شركة Arbor تقوم بإظهار حالة هجمات الحرمان من الخدمة الموزعة DDoS التي تحدث في الوقت الراهن على خريطة تفاعلية. تقدم المنصة أيضا إمكانية معاينة هجمات سابقة وقراءة معلومات إضافية عن الهجمات.

Digital Attack Map 2018-03-15.png

Norse Attack Map

http://map.norsecorp.com/#/

Norse attack map 2018.04.05 02.35.21.png

Akamai Real Time Web Monitor

تقدم شركة Akamai Technologies وهي إحدى أكبر شبكات تزويد الحتوى Content Delivery Network وإحدى أهم شركات الخدمات السحابية، تدير الشركة بنية تحتية يمر خلالها 15-30% من جميع البيانات المتبادلة عبر الانترنت. هو رقم مهوول. هذا يخول الشركة إجراء إحصائيات ودراسات تمثل حالة شبكة الانترنت في جميع أنحاء العالم. ومن بين هذه الاحصائيات حالة هجمات الحرمان من الخدمة، مصدرها وهدفها كما هو مبين في الشكل أدناه من خلال هذا الرابط: https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp


Akamai Real Time Web Monitor 2018.04.05 02.22.18.png

أساليب وأدوات هجمات الحرمان من الخدمة

البرامج الخاصة

يقوم هذا البرنامج بإرسال الطلبات بشكل مؤتمت من جهاز المستخدم بعد إعداده لاستهداف جهاز أو شبكة محددة. في يومنا هذا لا يكفي استخدام البرنامج من قبل مستخدم واحد لتحقيق شدة هجوم كافية لإخراج الهدف عن الخدمة. لذلك يقوم المهاجمون بتوجيه الكثير من الأشخاص لاستخدام هذا البرنامج بالتواقت لتحقيق شدة هجوم كافية لإخراج هدف ما عن الخدمة بشكل مؤقت أو دائم. تعد مجموعة Anonymous من أكثر المجموعات شهرة بالقيام بعملية الحشد والتوجيه لاستهداف جهة معينة، عبر استخدام برنامج خاص بإرسال الطلبات يسمى Low Orbit Ion Cannon واختصارا LOIC.

LOIC-0.png


خدمة الحرمان من الخدمة المأجورة DDoS-for-hire

تقوم مجموعات عديدة على الانترنت خدمة حرمان من الخدمة مقابل مردود مادي. لأن هجوم الحرمان من الخدمة غير قانوني تجرمه قوانين أغلب دول العالم إن لم تكن جميها، فيمكن اعتبار هذه المجموعات مجموعات إجرامية، مارقة، خارجة عن القانون، وعرضة للملاحقة القانونية. لذلك تحاول هذه المجموعات اخفاء الهوية الحقيقية لمن يقفون وراءها.

من أهم هذه الخدمات الخدمة التي يقدمها موقع https://webstresser.org الذي تم إيقافه وإلقاء القبض على مدرائه في تاريخ 25 نيسان/أبريل 2018 بعملية قادها مركز مكافحة الجريمة البريطاني والشرطة الهولندية، بالتنسيق مع الشرطة الأوروبية وعدد آخر من مؤسسات الشرطة في عدد من الدولة، استطاعت السلطات فيها اعتقال 6 اشخاص يقفون خلف الخدمة في عدد من الدول. للمزيد: Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested و Cyber-attack website Webstresser taken down

هجوم Slowloris

هجوم Slowloris ابتكره روبيرت هانسين Robert Hansen الذي يطلق على نفسه لقب RSnake. يعتبر هجوم Slowloris أحد أساليب هجمات الحرمان من الخدمة التي تستغل ميزة أو مشكلة في البروتوكات Protocol ضمن طبقة التطبيقات (أي الطبقة 7 من نموذج ISO للشبكات). وهو أحد هجمات الحرمان من الخدمة القليلة التي لا تحتاج إلى بنية تحتية كبيرة (لارسال عدد كبير من الطلبات إلى الخادم) ولا إلى مشاركين كثر كما هو الحال في هجمات الحرمان من الخدمة التي تستغل شبكات البوتس BotNets أو التي تعتمد على المتطوعين وأجهزتهم. إذا يمكن تنفيذ هذا الهجوم باستخدام حاسب شخصي عادي واتصال عادي بشبكة الانترنت.

يعتمد هذا الهجوم على محاولة فتح عدد من قنوات الاتصال مع الخادم وإبقائها مشغولة لأكبر فترة ممكنة. ويمكن تحقيق ذلك عبر توجيه طلبات Http Requests لقراءة صفحة ما في موقع ما، لكن بدل إرسال الطلبات بشكل كامل وسريع، يقوم المهاجم بإرسال كل طلب بأبطأ شكل ممكن، كأن يرسل أول حرف من الطلب ثم ينتظر أكبر فترة ممكنة (قبل أن يقطع الاتصال) ليرسل بعد ذلك الحرف التالي ثم ينتظر مجددا وهكذا. بذلك يحاول المهاجم شغل الاتصال أكبر فترة ممكنة. ويقوم المهاجم بإرسال مئات الطلبات البطيئة بهذا الشكل ما قد يجعل جميع قتوات الاتصال بالخادم مشغولة بهذه الطلبات البطيئة، وبذلك لا يستطيع زوار الموقع الذين يرغبون فعلا من زيارة الموقع من فتح اتصال وإرسال طلب قراءة الصفحات لأن جميع القنوات مشغولة.

يوضح السرد التالي طلب Http نظاميا لصفة من صفحات موقعنا.

GET /wiki/DDoS/ HTTP/1.1
Host: salamatechwiki.org
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9,ar;q=0.8,de;q=0.7,fr-FR;q=0.6,fr;q=0.5,tr;q=0.4
Connection: keep-alive
Cache-Control: max-age=0

إذا لتنفيذ الهجوم يقوم المهاجم بإرسال كل حرف من حروف الطلب بأبطأ شكل ممكن قبل انقاط الاتصال. إذا G ثم ينتظر قليلا ثم E ثم ينتظر قليلا ثم T وهكذا...

للمزيد حول هذا الهجوم راجع المقابلة التالية من قناة Computerphile على موقع يوتيوب: Slowloris Attack - Computerphile

كما يمكنكم معاينة سطور برمجة برنامج يقوم بهجوم Slow Loris مكتوبا بلغة بايثون Pyhton تحت هذا الرابط: https://github.com/wal99d/SlowLoris

طبعا تنفيذ هجمات الحرمان من الخدمة يجعلكم عرضة للمساءلة القانونية لذلك ننصح القراء بعدم استخدام الأدوات على صفحات موجودة على شبكة الانترنت. وإنما استخدام الأدوات على الخوادم ضمن الشبكة المحلية الخاصة بكم.

ICMP Flood

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Smurf Attack

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Reflection Attacks

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

Amplification Attacks

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

أساليب وأدوات الحماية من هجوم الحرمان من الخدمة

تعتمد أساليب وأدوات الحماية من هجوم الحرمان من الخدمة على مزيج من الإجراءات:

  • اكتشاف الهجوم Attack Detection
  • تصنيف نوع حركة مرور البيانات Traffic classification
  • أدوات للإستجابة Response tools تقوم بإيقاف حركة مرور البيانات التي تصنف خبيثة، وتقوم بالسماح لحركة البيانات الحميدة بالمرور.

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنظيف أو تصفية منبع نهر (البيانات) Upstream filtering

يتم تحويل حركة البيانات لتمر جميعها ضمن مركز تنظيف أو تصفية، يقوم بإيقاف حركة البينات الخبيثة عن المتابعة والسماح لحركة البيانات الحميدة بالمتابعة خارج المركز والوصول إلى هدفها. من الممكن أن تكون حركة البيانات الخييثة بيانات هجوم DDoS او غيرها من البيانات الخبيثة التي يتمكن المركز من تحديدها.

لكي تستطيع هذه المراكز القيام بعملها بشكل جيد، ينبغي أن تتواجد في عقد أساسية ضمن شبكة الانترنت تمر خلالها حركة الانترنت بدون الحاجة لتحويلها مسافات طويلة.

من مزودات هذه الخدمة:

  • Akamai Technologies
  • CloudFlare

وغيرها

شركات ومؤسسات تعمل في مجال الحماية من هجمات الحرمان من الخدمة وتصفية المنبع Upstream Filtering

ديفليكت Deflect

Deflect-295x220.png

ديفليكت Deflect هو نظام مفتوح المصدر مقدم لمنظمات ومجموعات المجتمع المدني، والناشطين، والمدونين، ووسائل الإعلام المستقلة، لحمايتهم من هجمات DDoS بشكل مجاني عبر استخدام تقنية مخدمات مشروع Deflect التي تعمل عمل Reverse Proxy للموقع المراد حمايته. بالتالي يمكن القول أن ديفلكت يقوم باخفاء عنوان الـ IP الخاص بمخدم موقعكم الحقيقي. أيضا يقوم بتصفية Filter الطلبات بحيث يمنع الطلبات الخبيثة ويمرر الطلبات السليمة. للمزيد اقرأ المقالة الخاصة بخدمة ديفليكت Deflect.

Akamai

409px-Akamai logo.svg.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

كلاود فلير CloudFlare

Cf-logo-v-rgb.png

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تنقّل في الكتيب eBook Navigation

السابق: برامج تسجيل المفاتيح Keystroke Loggers

التالي: برامج الفدية Ransomware

الهجمات الالكترونية المسيئة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

ديفليكت Deflect

شركات ومؤسسات تعمل في مجال ضمان المعلومات

مراجع References

هجمات الحرمان من الخدمة على ويكيبيديا

Syria’s Online Conflict: The Hackers And Their Weapons

Project Shield

Digital Attack Map

DDoS Extortionists made $100,000 without Launching a Single Attack

Anonymous on Wikipedia

Low Orbit Ion Cannon on Wikipedia

Slow Loris Attack - Computerphile

Cyber-attack website Webstresser taken down

Police Shut Down World's Biggest 'DDoS-for-Hire' Service–Admins Arrested