021-22222711 info@pdnco.ir

امنیت کاربران زیر سایه ی استفاده از DDos Protection

آشنایی با حملات Distributed Denial of Service و راهکارهای مقابله با آن

شرکت پایانه های داده ای نوین - خدمات انفورماتیک، سخت افزار و نرم افزار | امنیت کاربران زیر سایه ی استفاده از DDos Protection

اخبار منتشر شده حاکی از آن است که سرویس امنیتی DDos Protection ابر دراک در اختیار کاربران زیادی قرار گرفته است.
DDos Protection اولین بار در مراسم رونمایی ابر دراک در قالب یک کنش تعاملی با کاربران به نمایش درآمده بود که نحوه ی کارکرد این سامانه به نمایش گذاشته شده بود.

 

این رویداد که با حضور تمام حاضران جهت استفاده از یک اپلیکیشن و ثبت نام در آن، عملکرد یک حمله کننده DDos شبیه سازی شده است.نحوه ی عملکرد آن از تعامل با اپلیکیشن و فشردن دکمه موجود در اپلیکیشن درخواست های زیادی برای سرورهای دراک ارسال میگردید . 
در همین‌حال حاضران می‌توانستند نمودار درخواست‌های ارسال شده را بر روی تصویر نمایشگر مشاهده‌ کنند.

پس از چند ثانیه اعلام شد که این درخواست‌ها، در واقع حملاتی بوده که با تعداد بسیار زیاد توسط BotNetهایی به سمت سرورهای دِراک روانه شده‌اند. در‌واقع کاربران با این ارسال درخواست‌ها، دِراک را تحت یک حمله DDoS قرار داده بودند؛ اَبر دِراک نیز با تشخیص صحیح و به موقع این درخواست‌های مخرب، توانسته بود بدون وقفه و ایجاد مشکل برای سایت www.derak.cloud به خوبی از پس این حملات برآید.

با درخواست مجدد از حاضران، برای بار دوم سرورهای دِراک مورد حمله قرار گرفت. در بار دوم، این حملات در زمان کمتری تشخیص داده شد و با مقایسه نمودارهای زمان تشخیص حملات قبلی و جدید، سیستم هوشمندسازی اَبر دِراک به نمایش گذاشته شد.
مراسم رونمایی اَبر دِراک ۹ اردیبهشت با حضور دکتر ستار هاشمی معاون وزیر ارتباطات و فناوری اطلاعات برگزار گردید.
 

چگونگی عملکرد این سیستم  
حملات Distributed Denial of Service نوعی از حملات بر پایه تعداد بسیار زیاد درخواست از سوی سستم مختلف به یک وب سایت یا سرور بوده که هدف آن از دسترس خارج کردن سرور اصلی عمل می‌کند یا درهنگام بار زیاد بر روی سرور از سمت کاربران ایجاد می‌شود.

 

مقابله با حملات DDoS در سه لایه انجام می‌شوند:

حملات لایه اپلیکیشن (لایه ۷)
این حملات با هدف ارسال درخواست‌های مداوم در مدت زمان کوتاه به سرور اصلی اتفاق می‌افتند. این درخواست‌ها دو دسته‌اند:
- درخواست‌های چالش‌پذیر:  
در این روش کاربر یا نرم افزارهایی شبیه مرورگر اقدام به ارسال زیاد درخواست به سرور اصلی کرده که به کاربر یک صفحه و یا عبارت چالشی نمایش داده شده و حقیقی بودن کاربر ارزیابی می‌شود.

- درخواست‌های چالش‌ناپذیر:  
در این حالت صفحه چالشی امکان پذیر نیست.مثال بارز این حالت، درخواست های Rest API هستند که سامانه هوشمند با تشخیص درخواست های سالم سبب شده تا درخواست های مخرب مشخص شده و از درخواست های سالم تفکیک گردد.در این حالت با مشخص شدن درخواست های مخرب ارور 403 ارسال می‌شود.
در این حالت درخواست‌های سالم همچنان به سرور اصلی عبور داده می‌شوند و جواب صحیح را از سرور اصلی دریافت می‌کنند.

حملات لایه ۳ و ۴:

این حملات که در جهت پر کردن ظرفیت پهنای باند سرورها انجام شده و حمله کننده با ایجاد packet های شبکه مانند TCP و ..... سعی در اتمام ظرفیت پهنای باند شبکه دارد.از انواع دیگر این پکت می‌توان از اتصال ناقص TCP با هدف ایجاد Time out برای بسته های ارسال شده است.

طی این اتفاق به ازای هر کانکشن ایجاد شده مقداری از منابع سیستم مانند RAM و ... اشغال شده و تا انتهای Timeout آزاد نمی‌گردد. این اتفاق باعث هدررفتن منابع سیستم و عدم کارآیی در پاسخ به درخواست‌های کاربران خواهد بود.

کاربران به ۳ روش می‌توانند نحوه برخورد دراک با حملات لایه ۳ و ۴ را تعیین کنند:
- Connection Limit: با تنظیم این عدد، سیستم بر روی تعداد کانکشن‌های برقرارشده بین یک سیستم و سرورهای ابردراک محدودیت قرار می‌دهد.
- Request Rate Limit: در این حالت بر روی تعداد درخواست‌های لایه‌های بالاتر از ۳ و ۴ محدودیت قرار خواهد گرفت.
- Rate Limit: این گزینه برای محدود کردن سرعت برقراری ارتباط را مشخص می‌کند، با تنظیم این گزینه میزان بایت دریافتی به ازاری هر اتصال محدود می‌شود.
این تنظیمات که در پنل کاربر قابل تنظیم هستند نحوه برخورد دراک با خطرات و حملات احتمالی مرتبط با تعداد درخواست‌ها را تعیین می‌کنند.

نوع برخورد دراک با هر حمله، بسته به رفتار حمله‌کننده (درخواست‌دهنده) متفاوت است. با عبور از میزان تعیین‌شده در هریک از پارامترهای بالا کاربر به عنوان حمله‌کننده شناخته نخواهد شد و با گذشت زمان و کاهش تعداد درخواست ارائه سرویس به حالت عادی بازخواهدگشت. اما در صورت ارسال درخواست‌های با تعداد بسیار زیاد (بالاتر از دوبرابر میزان مجاز) درخواست‌دهنده به عنوان یک مخرب شناسایی شده و صفحه چالشی و یا خطای ۴۰۳ (ممنوعیت دسترسی) به کاربر نمایش داده خواهد شد.

بر اساس اعلام رسمی دراک در مراسم رونمایی ۹ اردیبهشت، ظرفیت مدیریت و Mitigate درخواست‌های مخرب DDoS توسط ابر دراک برابر با 5 میلیون عدد درخواست همزمان است. البته این ظرفیت بالفعل سامانه است که به صورت بالقوه با افزایش منابع افزایش پیدا خواهد کرد.

با تنظیم Security Level در پنل کاربری، به دراک این اجازه داده می‌شودکه مطابق با حساسیت مورد نظر، نوع برخورد با کاربر تعیین شود. حالت تحت حمله به معنی بالاترین درجه حساسیت و در هنگام وقوع حمله است که علاوه بر فعال شدن به وسیله دارنده وب‌سایت، می‌تواند به صورت هوشمند توسط خود دراک نیز فعال گردد.

سرویس Anycast:
سرویس Anycast دراک با اتصال درخواست‌دهنده‌ها به نزدیکترین DNS Server باعث جلوگیری از Down شدن سرویس نیم‌سرور خواهد شد. در این حالت تنها یک یا چند DNS Server مورد حمله واقع شده و در بدترین حالت از دسترس خارج می‌شوند.

منبع ایتنا



مطالب مرتبط