بزرگترین حمله “از کاراندازی سرویس” (DoS) در جهان

طی هفته گذشته شاهد بزرگترین حمله اینترنتی از نوع “حملات از کاراندازی سرویس” یا Denial of Services Attacks بودیم که باعث تاخیر یا وقفه در دسترسی بسیاری از کاربران به اینترنت شد. کاربرانی که در کشورهای اروپایی و آمریکای شمالی بودند، این تاثیرات را بیشتر احساس کردند.

چه اتفاقی افتاده است ؟

حدود 10 روز پیش یک شرکت ارائه دهنده خدمات میزبانی بر روی اینترنت (Internet Hosting Provider) در کشور هلند به نام Cyberbunker تصمیم به یک اقدام تلافی جویانه علیه موسسه غیرانتفاعی SpamHaus که در زمینه خدمات ضدهرزنامه (Anti-Spam) فعالیت می کند، گرفت. موسسه SpamHaus سال 1998 میلادی راه اندازی شده و مقر آن در شهرهای لندن و  ژنو است.  این موسسه فهرست هایی از نشانی های IP، نام دامنه ها و دیگر منابع اینترنت که با ارسال هرزنامه، بدافزار و دیگر عملیات مخرب اینترنتی ارتباط دارند، تهیه و منتشر می کند. این فهرست ها در اختیار سرویس دهنده های اینترنت (ISP)، دولتها، مراکز علمی و دانشگاهی و دیگر شرکتها و موسسات قرار داده می شوند تا برای پالایش ترافیک اینترنت، شبکه های محلی و سرورهای خود، از آنها استفاده کنند.

شرکت Cyberbunker به مشتریانی خدمات میزبانی اینترنت می دهد که نمی توانند از شرکتهای دیگر این خدمات را دریافت کنند و یا می ترسند که اطلاعات و سایت های خود را در محل دیگری منتشر نمایند. مشتریان این شرکت اغلب ناقضان کپی رایت، ارسال کنندگان هرزنامه، توزیع کنندگان بدافزار و دیگر افرادی است که در فعالیت های مخرب اینترنتی مشغول بکار هستند. شرکت Cyberbunker تنها فعالیت های مرتبط با عملیات تروریستی و اعمال منافی عفت با کودکان را نمی پذیرد.

به دلیل نوع فعالیت شرکت Cyberbunker، موسسه SpamHaus اخیرا تصمیم گرفت که نشانی های IP مرتبط با خدمات اینترنتی این شرکت را در فهرست های سیاه خود قرار دهد. شرکت Cyberbunker نیز در تلافی این اقدام، تصمیم می گیرد که فعالیت SpamHaus را مختل کرده و آنرا از کار بیندازد.

حملات چقدر بزرگ بودند ؟

در اوج حملات هفته گذشته علیه موسسه SpamHaus ترافیک به وجود آمده به بیش از 300 گیگابیت در ثانیه هم می رسید. اغلب حملات “از کاراندازی سرویس” که توسط شبکه ای از کامپیوترهای تسخیر شده و تحت کنترل درآمده، صورت می گیرد، قادر به ایجاد ترافیک در اندازه چندصد مگابیت یا نهایتاً چند گیگابیت در ثانیه هستند.

در این حمله چه نکته ویژه و خاصی هست ؟

در این حمله که به بزرگترین حمله اینترنتی در جهان شهرت یافته، از روش DNS Reflection استفاده شده که از سرورهای DNS آسیب پذیر سوء استفاده می کند. بدین روش، توان و تاثیرگذاری حمله، چندبرابر توان اولیه آن می شود.

شرکت امنیتی Cloudflare که مسئولیت نگهداری و پشتیبانی از سیستم های SpamHaus را در برابر حملات DoS برعهده دارد و تاکنون قادر بوده که سیستمهای SpamHaus را برپا نگه دارد، اعلام نمود که در یک حمله بسیار کوچک تر که در سال گذشته میلادی صورت گرفت، بیش از 68 هزار سرور DNS مورد سوء استفاده قرار گرفته بود. در این حمله جدید بطور حتم از تعداد سرورهای بیشتری استفاده شده ولی هنوز آمادر دقیقی جمع آوری نگردیده است.

سرورهای DNS تا چه اندازه مشکل زا هستند ؟

براساس آخرین گزارش منتشر شده از سوی تشکل Open Resolver Project، بیش از 7/21 میلیون سرور DNS ناامن با تنظیمات ناصحیح بر روی پودمان IPv4 اینترنت وجود دارد.

دلیل کند شدن اینترنت چه بود ؟

تعدادی از شاهراه های اصلی اینترنت (که اصطلاحاً به آنها Tier 1 Service Provider می گویند) تحت تاثیر ترافیک ایجاد شده توسط این حملات قرار گرفتند. همین امر باعث کندی سرعت دسترسی به برخی سایت ها و حتی غیرقابل دسترس بودن سایتها در اوج مصرف کاربران، شد.

روش DNS Reflection  به چه صورت انجام می شود ؟

درخواست های DNS یا Domain Name System معمولاً از طریق پودمان UDP ارسال می شوند. در پودمان UDP نیازی به برقراری ارتباط بر روی شبکه، بین دو نقطه فرستنده و گیرنده نیست. بسته های اطلاعاتی دارای مشخصات کافی از دریافت کننده هستند تا بتوانند مستقلاً بر روی شبکه انتقال یابند. به پودمان UDP اصطلاحاً پودمان Connectionless گفته می شود. همین نکته باعث می شود تا بتوان نشانی فرستنده را جعل کرده و هر نامی را بعنوان نشانی فرستنده درخواست DNS قرار داد.

همانطور که اشاره شد، بیش از 7/21 میلیون سرور DNS ناامن و باز بر روی اینترنت وجود دارد که به هر درخواستی از هر فرستنده، پاسخ می دهند.

حمله کنندگان ابتدا اقدام به شناسایی این سرورهای آسیب پذیر می کنند. سپس از یک شبکه مخرب (Botnet) که از مجموعه ای از کامپیوترهای تسخیر شده و تحت کنترل (Bot) تشکیل شده، استفاده می کنند تا انبوهی از درخواست های DNS جعلی را به این سرورهای آسیب پذیر ارسال کنند. در این درخواست های جعلی، نشانی فرستنده تغییر داده شده و نشانی قربانی (هدف حملات) قرار داده می شود. این مرحله، قسمت Reflection حمله است. در مرحله بعد، توان (Amplification) حملات افزایش داده می شود.

اگر حجم درخواست DNS کمتر از 512 بایت باشد، از پودمان UDP برای ارسال آن استفاده می شود. دقیقاً همان چیزی که حمله کنندگان می خواهند. در مقابل، اگر حجم پاسخ درخواست DNS از 512 بایت بیشتر باشد، از پودمان TCP برای ارسال پاسخ استفاده می شود. در ارسال اطلاعات از طریق پودمان TCP زمان بیشتری صرف می شود و حجم اطلاعات ارسالی نیز بیشتر است.

بدین ترتیب یک درخواست DNS با حجم حدود 300 بایت، تبدیل به یک پاسخ DNS با حجم حدود 3000 بایت می شود. این مرحله، قسمت Amplification است و تاثیرگذاری حمله را چند برابر توان اولیه آن می کند.

این افزایش حجم بسته های اطلاعاتی و در نتیجه ایجاد ترافیک بیشتر می تواند به دلیل استفاده از یک فناوری امنیتی به وضعیت بدتری هم تبدیل شود. فناوری DNSSEC که نوعی DNS با تائیدیه اصالت است، می تواند باعث شود تا حجم پاسخ درخواست DNS به بیش از 5000 بایت هم برسد. 

بدین ترتیب، روش DNS Reflection می تواند یک حمله چندصد مگابیتی توسط یک شبکه مخرب کوچک را تبدیل به یک حمله چند گیگابیتی کند.

چه کاری از دست ما بر می آید ؟

اگر یک کاربر ساده اینترنت هستید، کار چندانی از شما ساخته نیست.  نگران هم نباشید ! اطلاعات شما محفوظ و امن هست و تنها دسترسی شما به برخی سایت های اینترنتی شاید با کمی تاخیر صورت گیرد.

اگر شما مدیر شبکه هستید و سرویس DNS دارید، مهم است که تنظیمات سرور DNS خود را به نحوی انجام دهید تا فقط به درخواست های شبکه خودتان پاسخ دهد. اگر هم ضروریست که سرویس Public DNS داشته باشید، از روش های فیلترینگ استفاده کنید و به آمار درخواست های دریافتی توجه داشته باشید تا مطابق انتظار و پیش بینی شما باشد.