ما المقصود بهجوم موزع لحجب الخدمة (DDoS)

هناك العديد من التهديدات الإلكترونية التي يجب على مستخدمي الإنترنت ومسؤولي الشبكات الحذر منها، ولكن بالنسبة للمؤسسات التي تعمل خدماتها إلى حد كبير عبر الإنترنت، فإن أحد أهم الهجمات التي يجب الانتباه إليها، نظرًا لانتشارها المتزايد - هو هجمات رفض الخدمة الموزعة (DDoS). ولكن ما هو هجوم رفض الخدمة، وكيف يعمل، وهل هناك طرق لمنعه؟

هجمات حجب الخدمة الموزعة (DDoS)

ما هي هجمات DDoS؟ ويستفيد هذا النوع من الهجمات من حدود القدرة الخاصة التي تنطبق على أي موارد للشبكة، مثل البنية التحتية التي تمكّن موقع ويب للشركة. سترسل هجمات DDoS طلبات متعددة إلى مورد الويب الذي تمت مهاجمته، بهدف تجاوز قدرة موقع الويب على معالجة الطلبات المتعددة... وبالتالي منعه من العمل بشكل صحيح. تتضمن الأهداف النموذجية لهجمات DDoS مواقع التجارة الإلكترونية وأي منظمة تقدم خدمات عبر الإنترنت.

كيف يعمل؟

إن الجزء الأساسي من فهم هجمات DDoS هو معرفة كيفية عمل هذه الهجمات. تخضع موارد الشبكة، مثل خوادم الويب، لحدود معينة لجهة عدد الطلبات التي يمكن خدمتها في آن واحد. وبالإضافة إلى حدود قدرة الخادم، سيكون للقناة التي تربط الخادم بالإنترنت نطاق تردد / قدرة محدودة أيضًا. ومتى تجاوز عدد الطلبات حدود قدرة أي مكون من مكونات البنية التحتية، من المحتمل أن يتراجع مستوى الخدمة كما يلي:

عادةً، يكون هدف المهاجم في أي مثال لهجوم DDoS هو إغراق خادم موارد الويب، ومنع الوظيفة الطبيعية مما يؤدي إلى رفض الخدمة بالكامل. وقد يطلب المتطفل أيضًا المال مقابل إيقاف الهجوم. وفي بعض الحالات قد يكون هجوم DDoS بهدف محاولة تشويه سمعة أعمال أحد المنافسين أو الإضرار بها.

لتنفيذ الهجوم، يقوم المهاجم بالاستيلاء على السيطرة على شبكة أو جهاز عن طريق إصابته بالبرمجيات الخبيثة ، مما يؤدي إلى إنشاء شبكة بوت نت . ثم يقومون ببدء الهجوم عن طريق إرسال تعليمات محددة إلى الروبوتات. وبدوره، يبدأ الروبوت في إرسال الطلبات إلى الخادم المستهدف من خلال عنوان IP الخاص به، مما يؤدي إلى إغراق الخادم وتسبب في رفض الخدمة لحركة المرور العادية الخاصة به.

أمثلة على هجوم DDoS: ما هي أنواع الهجمات المختلفة؟

إن تعلم معنى هجمات DDoS وكيفية عمل هذه الهجمات هو خطوة واحدة في منعها، ولكن من المهم أيضًا فهم أن هناك أنواعًا مختلفة من هجمات DDoS. يعتمد هذا أولاً على تحديد كيفية تشكيل اتصالات الشبكة.

يحدد نموذج الربط بين الأنظمة المفتوحة (OSI)، الذي طورته المنظمة الدولية للمعايير، سبع طبقات مميزة تشكل اتصالات شبكة الإنترنت. وتشمل هذه الطبقات الطبقة المادية، وطبقة ارتباط البيانات، وطبقة الشبكة، وطبقة النقل، وطبقة الجلسة، وطبقة العرض، وطبقة التطبيق.

تختلف أمثلة هجمات DDoS العديدة حسب طبقة الاتصال التي تستهدفها. وفيما يلي بعض الأمثلة الأكثر شيوعًا.

هجمات طبقة التطبيقات

يُطلق عليها أحيانًا اسم هجوم الطبقة 7 (لأنها تستهدف الطبقة ^{السابعة} (التطبيق) من نموذج OSI)، وتستنفد هذه الهجمات موارد الخادم المستهدف باستخدام مواقع الويب DDoS. الطبقة ^{السابعة} هي الطبقة التي يقوم فيها الخادم بإنشاء صفحات الويب استجابة لطلب HTTP. يقوم المهاجمون بتنفيذ عدد كبير من طلبات HTTP، مما يؤدي إلى إرهاق الخادم المستهدف أثناء استجابته عن طريق تحميل العديد من الملفات وتشغيل استعلامات قاعدة البيانات المطلوبة لإنشاء صفحة ويب.

فيضان HTTP

يمكنك أن تفكر في هجمات DDoS هذه على أنها تحديث متصفح الويب عدة مرات على العديد من أجهزة الكمبيوتر. يؤدي هذا إلى إنشاء "طوفان" من طلبات HTTP، مما يفرض رفض الخدمة. يمكن أن يكون تنفيذ هذه الهجمات بسيطًا - باستخدام عنوان URL واحد مع نطاق ضيق من عناوين IP - أو معقدًا، باستخدام مجموعة من عناوين IP وعناوين URL العشوائية.

هجمات البروتوكول

تُسمى هذه الهجمات غالبًا بهجمات استنفاد الحالة، وهي تستغل الثغرات الأمنية في الطبقتين ^{الثالثة والرابعة} من نموذج OSI (طبقات الشبكة والنقل). تؤدي هذه الهجمات إلى إنشاء حالة رفض للخدمة من خلال إرهاق موارد الخادم أو موارد معدات الشبكة، مثل جدران الحماية . هناك عدة أنواع من هجمات البروتوكول، بما في ذلك فيضانات SYN. تستغل هذه البرامج مصافحة TCP (بروتوكول التحكم في الإرسال)، والتي تسمح لشخصين بإنشاء اتصال بالشبكة، وإرسال عدد غير قابل للإدارة من "طلبات الاتصال الأولية" TCP من عناوين IP وهمية.

الهجمات الحجمية

تؤدي أمثلة هجوم DDoS هذه إلى إنشاء عملية رفض الخدمة عن طريق استخدام كل النطاق الترددي المتاح على خادم مستهدف عن طريق إرسال كميات هائلة من البيانات لإنشاء زيادة في حركة المرور على الخادم.

تضخيم DNS

هذا هجوم قائم على الانعكاس حيث يتم إرسال طلب إلى خادم DNS من عنوان IP مزيف (عنوان الخادم المستهدف)، مما يدفع خادم DNS إلى "الاتصال" بالهدف للتحقق من الطلب. يتم تضخيم هذا الإجراء باستخدام شبكة بوت نت، مما يؤدي إلى إغراق موارد الخادم المستهدف بسرعة.

تحديد هجوم DDoS

قد يكون من الصعب تحديد هجمات DDoS لأنها قد تحاكي مشكلات الخدمة التقليدية وتصبح أكثر تعقيدًا بشكل متزايد. ومع ذلك، هناك بعض العلامات التي قد تشير إلى أن النظام أو الشبكة قد أصبحت ضحية لهجوم DDoS. وتشمل بعض هذه الجوانب ما يلي:

• زيادة مفاجئة في حركة المرور الناتجة عن عنوان IP غير معروف
• تدفق كبير من حركة المرور من العديد من المستخدمين الذين يتشاركون أوجه تشابه محددة، مثل الموقع الجغرافي أو إصدار متصفح الويب
• زيادة غير مبررة في الطلبات على صفحة واحدة
• أنماط حركة المرور غير العادية
• أداء الشبكة بطيء
• خدمة أو موقع ويب يتوقف فجأة عن العمل دون سبب

منع هجمات DDoS والتخفيف منها

على الرغم من أن هجمات الحرمان من الخدمة الموزعة قد يكون من الصعب اكتشافها، فمن الممكن تنفيذ العديد من التدابير لمحاولة منع هذه الأنواع من الهجمات الإلكترونية والتخفيف من أي ضرر في حالة وقوع هجوم. بالنسبة للمستخدمين الذين يتساءلون عن كيفية منع هجمات DDoS، فإن المفتاح هو إنشاء خطة عمل لتأمين الأنظمة والتخفيف من الأضرار في حالة وقوع هجوم. بشكل عام، من المفيد تنفيذ حل مثل حماية Kaspersky DDoS للشركات، والذي يقوم بتحليل وإعادة توجيه حركة المرور الضارة بشكل مستمر. بالإضافة إلى ذلك، يمكن للنصائح العامة التالية أن تساعدك على تعزيز دفاعاتك بشكل أكبر:

• تقييم إعدادات النظام الحالية - بما في ذلك البرامج والأجهزة والخوادم والشبكات - لتحديد المخاطر الأمنية والتهديدات المحتملة، ثم تنفيذ التدابير للحد منها؛ إجراء تقييمات منتظمة للمخاطر.
• احرص على تحديث كافة البرامج والتقنيات للتأكد من تشغيل أحدث تصحيحات الأمان عليها.
• تطوير استراتيجية قابلة للتطبيق للوقاية من هجمات الحرمان من الخدمة الموزعة (DDoS) واكتشافها والتخفيف من حدتها.
• تأكد من أن أي شخص مشارك في خطة منع الهجوم يفهم معنى هجوم DDoS والأدوار المخصصة له.

في حالة وقوع هجوم، قد توفر الإجراءات التالية بعض التخفيف:

• شبكات Anycast: إن استخدام شبكة Anycast لإعادة توزيع حركة المرور يمكن أن يساعد في الحفاظ على قابلية استخدام الخادم أثناء معالجة المشكلة، مما يضمن عدم الحاجة إلى إيقاف تشغيل الخادم بالكامل.
• توجيه الثقب الأسود: في هذا السيناريو، يقوم مسؤول الشبكة لدى مزود خدمة الإنترنت بإعادة توجيه كل حركة المرور من الخادم المستهدف إلى مسار الثقب الأسود (عنوان IP المستهدف)، مما يؤدي إلى إسقاطه من الشبكة والحفاظ على سلامته. ومع ذلك، قد تكون هذه خطوة متطرفة، لأنها تمنع أيضًا حركة المرور المشروعة.
• تحديد المعدل: يحدد هذا عدد الطلبات التي يمكن للخادم قبولها في أي وقت. ورغم أنها لن تكون فعالة للغاية بمفردها، إلا أنها قد تكون مفيدة كجزء من استراتيجية أكبر.
• جدران الحماية: يمكن للمؤسسات استخدام جدران حماية تطبيقات الويب (WAF) لتكون بمثابة وكيل عكسي لحماية خوادمها. يمكن إعداد جدران حماية التطبيقات (WAFs) باستخدام قواعد لتصفية حركة المرور، ويمكن للمسؤولين تعديل ذلك في الوقت الفعلي إذا اشتبهوا في وقوع هجوم DDoS.

المقالات والروابط ذات الصلة:

• ما هو فيروس حصان طروادة؟ أنواعه وكيفية إزالته
• كيفية منع هجمات DDoS من إفساد جلسة اللعب التالية الخاصة بك

المنتجات والخدمات ذات الصلة:

• تقنية Kaspersky DDoS Protection
• Kaspersky Enterprise Security