حملات DoS؛ قوی تر از همیشه، کوتاه تر از گذشته
حملات “از کاراندازی سرویس” یا (Denial of Services Attack – DoS) هر روز قوی تر و بزرگ تر می شوند ولی همزمان، مدت زمان اجرای این حملات رو به کاهش است.
بر اساس گزارش جدیدی که از سوی شرکت Arbor منتشر شده، در شش ماهه گذشته، متوسط ترافیک ایجاد شده توسط حملات DoS به بیش از 2 گیگابیت در ثانیه (Gbps) می رسد. برای حملات DoS این حجم از ترافیک تا به حال سابقه نداشته است.
گر چه در این دوره شش ماهه، حملات بزرگ نظیر حمله DoS علیه سایت موسسه Spamhaus با ترافیک باور نکردنی 300 گیگابیت در ثانیه را شاهد بوده ایم، ولی با این حال ترافیک 2 گیگابیت در ثانیه به عنوان حد متوسط ترافیک حملات DoS به معنای دو برابر شدن قدرت و بزرگی این حملات نسبت به یک سال قبل است.
از طرف دیگر شاهد کاهش مدت زمان حملات DoS در شش ماه گذشته بوده ایم. این اتفاق یقیناً به دلیل کمبود منابعی که در اختیار حمله کنندگان می باشد، نیست. به عنوان مثال، گروهی که خود را “مبارزان سایبری Izz ad-Din al-Qassam” می نامند و در یک سال گذشته حملات DoS مستمر و بی پایانی را علیه موسسات مالی و بانک های آمریکا انجام داده، اکنون طی یک روز چندین حمله DoS را علیه اهداف مختلف به اجرا می گذارد. این گروه به طور هوشیارانه، حملاتی را که به هر دلیلی نتیجه بخش نیستند، ادامه نمی دهد. بلکه حمله ناموفق را در کمتر از 20 دقیقه متوقف کرده و توان خود را بر روی هدف دیگری متمرکز می کند.
حملات DoS قوی تر و بزرگ تر می شوند چون امکانات و منابع بیشتری در اختیار حمله کنندگان است. اگر کسی واقعا سعی کند، می تواند با 20 دلار یک شبکه مخرب (Botnet) برای خود اجاره کند و از کامپیوترهای تحت کنترل این شبکه، حمله DoS نسبتاً پر قدرتی را به اجرا بگذارد.
علاوه بر کثرت و سهولت دسترسی به امکانات و منابع، حمله کنندگان از روش های جدید برای افزایش قدرت و توان خود استفاده می کنند. به عنوان مثال در حملات DoS علیه موسسه Spamhaus، حمله کنندگان از ضعف سرورهای DNS سوء استفاده کرده و توان حملات خود را چند برابر کردند.
حمله کنندگان درخواستهایی را به سرورهای DNS باز ارسال می کنند. در درخواست ارسالی، نشانی فرستنده دستکاری شده و نشانی قربانی که قرار است مورد حمله قرار گیرد، گذاشته می شود. سرور DNS هم به طور عادی، پاسخ درخواست را به فرستنده ارسال می کند.
وقتی سرور DNS پاسخ درخواست را که بسیار حجیم تر از خود درخواست است، به سمت قربانی ارسال می کند، حجم ترافیک ایجاد شده توسط حمله کنندگان DoS را چند برابر بزرگ تر می کند. در برخی مواقع، حجم پاسخ DNS شاید 50 برابر بزرگ تر از حجم خود درخواست باشد. در نتیجه توان حمله نهایی می تواند 50 برابر بزرگ تر و قوی تر از توان اولیه و واقعی حمله کنندگان باشد.
حمله کنندگان DoS متوجه شده اند که لزومی ندارد سایتی را که به زانو درآمده، همچنان مورد حمله قرار دهند. امروزه حملات DoS بهینه شده و فقط برای مدتی که لازم است تا قربانی از پا درآید، ادامه پیدا می کند.پس از آن، حمله متوقف شده و هنگامی که سایت آسیب دیده سعی می کند به طورناقص و در وضعیت اضطراری دوباره راه اندازی شود، حملات DoS از سر گرفته می شوند.
حمله کنندگان اکنون می دانند که سایت های مورد حمله احتیاج به زمان دارند تا بتوانند خود را بازیابی کرده و مجدداً شروع به کار کنند. ادامه حملات در مدت زمان بازیابی سایت هم ضرورتی ندارد و هم هر چه حملات طولانی تر باشند، امکان شناسایی منشاء حملات آسان تر و سریع تر می شود. در نتیجه کوتاه شدن مدت حمله DoS به مخفی ماندن منشاء حملات و هویت حمله کنندگان نیز کمک می کند.
البته ناگفته نماند که این اقدامات و تغییر سیاست حمله کنندگان DoS به علت بهبود دیواره ها و لایه های دفاعی در برابر این نوع حملات است. به طور حتم اگر حمله کنندگان DoS می توانستند به همان روش های قبلی، نتیجه مورد نظر خود را بگیرند، هیچگاه حاضر به صرف وقت، نیروی انسانی و هزینه نمی شدند. شاید اکنون حملات DoS قوی تر شده باشد ولی مراکز و موسساتی هم که واقعاً به فکر تامین و افزایش ضریب امنیت شبکه های خود هستند، فناوری ها و تجهیزات مناسب تر و کارآمد تری را برای مقابله با این حملات مخرب در اختیار دارند.