وبلاگینا

امروزه متخصصین، حملات سایبری به شرکت‌ها را یکی از بزرگترین حملات DDoSها (تعمیم حمله توزیع شده محروم سازی از سرویس) در تاریخ اینترنت می‌دانند. حمله‌ای که هفته گذشته زیرساخت‌های فیزیکی اینترنت را تحت تاثیر قرار داد، سرعت اینترنت را در اروپا کم کرده است، اما آنچه که این حمله را از سایر حملات متمایز ساخته چیست؟ در این مقاله در وبلاگینا به بررسی عمیق‌تر این موضوع پرداخته‌ایم.

اجازه دهید ابتدا به پیش‌زمینه‌های این حمله بپردازیم. این حمله مستقیما یک شرکت آنتی‌اسپم با نام Spamhaus را مورد هدف قرار داده بود. فعالیت این شرکت در حوزه شناسایی ایمیل‌های اسپم است که آن‌ها را به صورت فهرست سیاه در‌می‌آورد و این فهرست‌ها را به ارائه دهندگان سرویس اینترنت می‌فروشد. این حمله اوایل هفته گذشته با موج عظیم ولی عادی حملات DDoS کمی پس از اینکه نام Cyberbunker، که یک شرکت وب‌هاستینگ معروف است، در فهرست سیاه Spamhaus وارد شد آغاز گردید. Cyberbunke مستقیما مسئولیت حمله سایبری به Spamhaus را به عهده نگرفته است.

در یک حمله DDoS معمولی، هکرها با استفاده از هزاران کامپیوتر سعی می‌کنند روی یک سرور خاص ترافیک ساختگی ایجاد کنند؛ به این امید که باعث بالا رفتن فشار وارده به آن سرور شوند. بیشتر کامپیوترهایی که در این حملات مورد استفاده قرار می‌گیرند از قبل توسط نرم‌افزارهای مخرب آلوده شده‌اند و به این ترتیب هکر می‌تواند بدون اینکه صاحب یک دستگاه بداند به سیستمش نفوذ کند. هکرها برای اجرای حملات DDoS و سایر اهدافشان از نرم‌افزارهای مخرب در شبکه‌ای عظیم از کامپیوترهای آلوده با نام "بات‌نت" استفاده می‌کنند.

Spamhaus به منظور کاهش صدمات حمله بلافاصله پس از شروعش، با شرکت CloudFlare قرارداد بست. CloudFlare با گسترش حملات بین چند دیتاسنتر از Spamhaus محافظت کرد، روشی که باعث می‌شود یک وب‌سایت بالا بماند و حتی با حداکثر میزان ترافیک ایجاد شده توسط DDoSهای عادی هم به کارش ادامه دهد.

آقای Matthew Prince مدیر‌عامل CloudFlare پیش از توضیح محدودیت‌های اندازه حمله DDoS با توجه به محدودیت‌های سخت‌افزاری به Mashable گفت: "معمولا حملات DDoS نوعی نقطه اوج طبیعی بنا به بزرگی خودشان دارند، که حدود ۱۰۰ گیگابایت در ثانیه است."

با این وجود، این حملات درگیر یک هیولای وحشی و پیچیده‌اند که با بیش از ۳۰۰ گیگابایت در ثانیه به لیست در حال رشد هدف‌هایش اشاره می‌کند. چگونه؟

وقتی هکرها به این نتیجه رسیدند که تا زمانی که Spamhaus توسط  CloudFlareحفاظت می‌شود نمی‌توانند به صورت آفلاین به آن دسترسی داشته باشند تاکتیک دیگری برگزیدند؛ هدف‌گیری ارائه‌دهندگان شبکه به خود CloudFlare با بهره‌جویی از یک ایراد شناخته شده در سیستم نام دامنه (DNS)، که یک بخش کلیدی از زیرساخت‌های اینترنت است.

آقای Prince در ادامه گفت: "نکته جالب این است که آن‌ها پس از مدتی دیگر مستقیما ما را دنبال نکردند و همه اقداماتشان را در خلاف جهت ما انجام دادند".

DNS لزوما آنچه کاربران در آدرس‌بار تایپ می‌کنند (weblogina.com) به آدرس IP وب‌سایت تبدیل می‌کند و کمک می‌کند تا محتوای دلخواه کاربر به کامپیوترش ارسال شود. یکی از عناصر اصلی سیستم DNS، DNS resolver ها هستند. ۲۱.۷ میلیون از اینresolverها بازند و هکرها می‌توانند آن‌ها را یافته و دست‌کاری کنند.

Prince گفت: "حمله به این صورت انجام می‌گیرد که آدرس IP قربانی با ارسال یک درخواست به یکی از resolverهای باز توسط هکرها فریب خورده و پاسخ بزرگی ارسال می‌کنند که حمله را تقویت می‌کند". توضیح فنی دقیق‌تر در بلاگ CloudFlare قابل مطالعه است.

از آنجا که DNS resolver ها به لوله‌های بزرگ با پهنای‌باند‌های زیاد برای اشاره به یک هدف متصلند، هکرها می‌توانند آن‌ها را برای تقویت یک حمله استاندارد DDoS از حداکثر حدود ۱۰۰ گیگابایت در هر ثانیه تا ۳۰۰ گیگابایت در ثانیه دست‌کاری کنند.

Prince به Mashable گفته است: "مطمئنا این بزرگ‌ترین حمله‌ای بود که تا کنون دیده‌ایم". کسپراسکی نیز که از گروه‌های پژوهش امنیتی برجسته در جهان به حساب می‌آید این حمله را "یکی از بزرگ‌ترین حملات DDoS تا به امروز" نامیده‌است.

سرعت اینترنت در سراسر جهان می‌تواند دستخوش این تقویت‌کننده‌های مقیاس بالای DNSای شود زیرا که اینترنت برای فعالیت خود به DNS وابسته است، دست‌کاری‌ زیاد می‌تواند برای سرویس‌هایی هم که لزوما هدف این حملات نیستند عواقبی داشته باشد.

برای جلوگیری از این حملات خاص DDoS چه می‌توان کرد؟ Prince گفت، اول اینکه ارائه‌دهندگان اینترنت باید به فناوری‌هایی روی آورند که اجازه فریب آدرس آی‌پی‌های قربانی را به هکرها ندهد. دوم اینکه مدیران شبکه باید همه DNS resolverهای باز موجود در شبکه‌هایشان را ببندند.