روز سی‌ام مهرماه یک شرکت ارائه‌دهنده‌ی خدمات اینترنتی به نام «DynDNS» تحت حمله‌ی سنگین «DDoS» (دی‌داس) قرار گرفت. DDoS کوتاه‌شده‌ی عبارت «Distributed Denial of Service» است که اگر بخواهیم به‌فارسی ترجمه‌اش کنیم، چنین عبارتی می‌شود: «[حمله‌ی] محروم‌سازی از سرویس به صورت توزیع‌شده». به بیان ساده‌تر، در این نوع حمله تقاضاهای بسیار زیادی از طرف تعداد زیادی کامپیوتر به طرف سرور یا سرورهای یک سرویس‌دهنده‌ی اینترنتی سرازیر می‌شود، به طوری که سرورها دیگر نمی‌توانند به تمام این تقاضاها پاسخگو باشند و در نتیجه از دسترس خارج می‌شوند. همراه پروفسورها باشید تا در جریان جزئیات این حمله قرار بگیریم.

یکی از فعالیت‌های اصلی شرکت DynDNS، مدیریت ترافیک سایت‌ها و سرویس‌های مختلف اینترنتی است و در نتیجه‌ی حمله‌ای که چند روز پیش اتفاق افتاد، بسیاری از سایت‌ها و اپ‌هایی که از سرویس DynDNS استفاده می‌کردند، دچار اختلال شدند. «توییتر»، «اسپاتیفای»، «نت‌فلیکس»، «آمازون» و «سایت روزنامه‌ی نیویورک‌تایمز» در میان چندین سایت و سرویسی بودند که در اثر این حمله مختل شدند و در مناطقی از آمریکا و اروپای غربی از کار افتادند.

حمله‌ی DDoS چیست؟

وقتی روی لینک یک وبسایت کلیک می‌کنید، در واقع تقاضایی برای سرور میزبان آن سایت می‌فرستید و آن سرور در پاسخ اطلاعات مربوط به صفحه‌ی مورد نظرتان را از طریق اینترنت روی کامپیوترتان بارگذاری می‌کند. اما در یک حمله‌ی DDoS تکنیک‌های مختلفی به کار گرفته می‌شود تا تعداد زیادی تقاضای دروغین برای یک سایت خاص ارسال شود. در نتیجه‌ی این حمله، ترافیک سایت به شکل ناگهانی افزایش پیدا می‌کند و تقریبا دیگر کسی نمی‌تواند به محتوای آن سایت دسترسی داشته باشد (تقریبا شبیه به حالتی که در ساعات اولیه‌ی اعلام نتایج کنکور برای سایت سازمان سنجش پیش می‌آمد).
البته لایه‌های امنیتی وبسایت‌ها برای مقابله با چنین حمله‌هایی آمادگی دارند و می‌توانند ترافیک واقعی را از ترافیک دروغین تشخیص بدهند و جلوی دسترسی درخواست‌های دروغین را بگیرند. معمول‌ترین و ساده‌ترین راه فیلتر کردن آی‌پی‌هایی است که درخواست‌های دروغین می‌فرستند. به همین دلیل است که در حمله‌های DDoS پیچیده از تعداد زیادی آی‌پی درخواست فرستاده می‌شود تا امکان فیلتر کردن تمام درخواست‌های دروغین وجود نداشته باشد. در حمله‌ای که به شرکت DynDNS انجام شد، از میلیون‌ها آی‌پی مختلف استفاده شده بود و سخنگوی شرکت این حمله را «یکی از سطح‌بالاترین و پیچیده‌ترین» حمله‌های DDoS توصیف کرد.

حمله به دفترچه‌تلفن اینترنت

فعالیت اصلی شرکت DynDNS در زمینه‌ی «سامانه‌ی نام‌گذاری دامنه» یا «Domain Name System» است که به اختصار به صورت DNS هم نامیده می‌شود. به بیان ساده، کار این سامانه چیزی شبیه به کار دفترچه‌تلفن است. این سامانه آدرس معمولی وب‌سایت‌ها (آدرسی مانند http://professorha.ir) را به آدرس آی‌پی مربوط به آن وبسایت تبدیل می‌کند تا امکان برقراری ارتباط بین مرورگر کاربر و سرور میزبان سایت مورد نظرش پدید بیاید. حمله‌ی DDoS به یک سامانه‌ی نام‌گذاری دامنه و از کار انداختن آن، مانند این است که دفترچه‌تلفن یک اپراتور تلفن را بگیرید و از او بخواهید شماره‌گیری کند. به همین دلیل است که حمله به چنین سامانه‌ای می‌تواند ابعاد بسیار وسیعی پیدا کند؛ حمله‌کننده به جای آن‌که وبسایت خاصی را هدف قرار بدهد و از دسترس خارج کند، یک سرور DNS را از کار می‌اندازد تا دسترسی به اینترنت کاربرانی که از آن سرور DNS استفاده می‌کنند، به طور کامل قطع شود.
«رولند دابینز» (Roland Dobbins)، از مهندسان ارشد شرکت «Arbor Networks» که در حوزه‌ی امنیت وب فعال است، می‌گوید: «ارائه‌دهندگان خدمات DNS معمولا دسترسی به هزاران یا حتی ده‌ها هزار دامنه را مدیریت می‌کنند و اگر به هر دلیلی با اختلال مواجه شوند، اثرات جانبی این اختلال می‌تواند بسیار بزرگ باشد.»
اما به گفته‌ی «متیو پرینس»، مدیرعامل «کلودفلر» (Cloudflare)، شرکتی فعال در حوزه‌ی زیرساخت اینترنت، این نوع حمله‌ی DDoS چیز تازه‌ و ناآشنایی نیست: «دست‌کم ظرف سه سال گذشته چنین حمله‌هایی را دیده‌ایم و پس از این خواهیم دید. متوقف کردن این حمله‌ها کار ساده‌ای نیست، اما آنچه که شرکت DynDNS را با مشکل مواجه کرده، ابعاد بسیار بزرگ حمله است.»

حمله دی داس

این نقشه‌ی مناطقی از جهان را نشان می‌دهد که بیشترین آسیب را از این حمله متحمل شدند. این حمله در آمریکا و بخش‌هایی از اروپا بیشترین تاثیر را داشت

بات‌نت میرای و اینترنت اشا

حمله‌‌ی DDoS به شرکت DynDNS، از طریق بات‌نِتی مبتنی بر اینترنت اشیا انجام شد. «بات‌نت» یا «Botnet» شبکه‌ای است که از طریق در اختیار گرفتن کنترل مجموعه‌ی زیادی از دستگاه‌های متصل به اینترنت (بات‌ها)  ایجاد می‌شود. دستگاه‌هایی که در چنین شبکه‌ای گیر می‌افتند، شبیه به ارتشی از زامبی‌های اینترنتی عمل می‌کنند که هکر با هدایت آن‌ها به سوی اهدافی خاص، یک حمله‌ی DDoS را انجام می‌دهد. بات‌نتی که  برای این حمله استفاده شد، با استفاده از امنیت پایین اینترنت اشیا ایجاد شده بود.
در این روش، از بدافزاری به نام «میرای» (Mirai) استفاده می‌شود که کارش جست‌وجو در اینترنت برای یافتن دستگاه‌هایی است که هنوز از تنظیمات امنیتی پیش‌فرض کارخانه یا رمزهای عبور ضعیف استفاده می‌کنند. میرای، پس از نفوذ به این دستگاه‌ها، کنترل آن‌ها را به دست می‌گیرد و این دستگاه‌ها را به بات‌هایی تبدیل می‌کند که بعدا در حمله‌های DDoS استفاده می‌شوند. در حمله‌ی اخیر مجموعه‌ی عظیمی از دستگاه‌های متصل به اینترنت (از دوربین‌های امنیتی گرفته تا تلویزیون‌های اینترنتی و هر وسیله‌ای که بشود به آن نفوذ کرد) از طریق این بدافزار آلوده شده بودند.

گم کردن رد پا

بدافزار میرای به صورت رایگان در اینترنت یافته می‌شود و در نتیجه هدایت‌کننده‌ی این حمله هر‌کسی می‌توانست باشد. حتی معلوم نبود این حمله از پشتیبانی دولت خاصی برخوردار بوده است یا خیر (تا لحظه‌ی نوشته شدن این گزارش مسئول این حمله مشخص نشده و وزارت امنیت داخلی آمریکا مشغول تحقیق درباره‌ی موضوع است). کد این نرم‌افزار را کاربری با نام مستعار «Anna-senpai» در یکی از انجمن‌های گفت‌وگوی هکر‌ها بارگذاری کرده بود. «برایان کربز» (Brian Krebs)، روزنامه‌نگاری فعال در حوزه‌ی امنیت سایبری، چند روز پیش از این حمله در وبلاگ خود درباره‌ی انگیزه‌ی انتشار کد بدافزار میرای نوشته بود: «هنوز دقیقا معلوم نیست که چرا کد بدافزار میرای منتشر شده است. اما بعید به نظر می‌رسد که انگیزه‌های خیرخواهانه‌ای در پشت این کار وجود داشته باشد. هکرهایی که بدافزاری را توسعه می‌دهند، اگر حس کنند مجریان قانون و شرکت‌های امنیتی به آن‌ها نزدیک شده‌اند، کد بدافزارشان را به صورت عمومی منتشر می‌کنند تا ردشان گم شود.»
به هر ترتیب با در دسترس بودن بدافزار میرای، خطر حمله‌های دیگری از طریق بات‌نت‌های مبتنی بر اینترنت اشیا وجود دارد. زیرا میرای بیشتر انواع گجت‌های متصل به اینترنت (اینترنت اشیا) را هدف قرار می‌دهد که امنیت پایینی دارند. برایان کرب ادامه داده بود: «احتمالا به زودی تعداد زیادی از کاربران متوجه خواهند شد که شبکه‌شان با افت سرعت مواجه شده است، غافل از این‌که گجت‌های مبتنی بر اینترنت اشیا در شبکه‌ی آن‌ها هک شده‌اند و این گجت‌ها پهنای باند شبکه را اشغال کرده‌اند.»

آیا می‌توان جلوی حمله‌های DDoS را گرفت؟

istock_75476321_large

شرکت‌های بزرگ ارائه‌دهنده‌ی خدمات اینترنتی و به ویژه شرکت‌های امنیتی، از مدت‌ها پیش مشغول ارزیابی و توسعه‌ی روش‌های مقابله با حمله‌های DDoS بوده‌اند و تا کنون ابزارهای مختلفی برای دفع این حمله‌ها پدید آمده است. با این حال به‌نظر می‌رسد در سال‌های اخیر قدرت و ابعاد حمله‌های DDoS رو به افزایش بوده است.
مقابله با حمله‌های DDoS راه حل سریع و سرراستی ندارد. از یک سو پیاده‌سازی این نوع حمله‌ها کار چندان پیچیده‌ای نیست و با داشتن دانشی مختصر از برنامه‌نویسی و چرخیدن در انجمن‌های گفت‌وگو می‌توان چنین حمله‌هایی را ترتیب داد. از سوی دیگر فرستادن درخواست دروغین می‌تواند از طریق آی‌پی‌های متعدد صورت بگیرد و با بالاتر رفتن تعداد این آی‌پی‌ها، شناسایی و فیلتر کردن آی‌پی‌های اخلالگر دشوارتر می‌شود. بد نیست به این نکته هم توجه کنیم که تعداد آی‌پی‌ها روزبه‌روز بیشتر می‌شود و با گسترش اینترنت اشیا، سرعت افزایش تعداد آی‌پی‌ها هم روندی تصاعدی خواهد داشت. به این ترتیب هکرها به ایجاد بات‌نت‌های بزرگ‌تر و قوی‌تر (مجموعه‌ی بیشتری از گجت‌های زامبی با آی‌پی‌های مختلف) و فرستادن ترافیک‌های دروغین بیشتر (بیشتر از چند صد گیگابایت در ثانیه) ادامه خواهند داد. اکنون کار به جایی رسیده است که چنین حمله‌هایی می‌توانند با هدف گرفتن سرورهای DNS، ده‌ها و صد‌ها سایت را به‌یک‌باره از کار بیندازند. به همین دلیل ممکن است شرکت‌ها و سایت‌های بزرگ دیگر فقط به یک سرویس مدیریت و پشتیبانی از سایت تکیه نکنند.  در هر حال به نظر می‌رسد که پس از چنین حمله‌هایی، شرکت‌ها برای مواجهه با این حمله‌ها تلاش بیشتری خواهند کرد. حتی قانون‌گذاران هم باید قوانین تازه‌ای برای جرائمی با این ابعاد وضع کنند. یکی دیگر از نتایج حمله‌ی اخیر می‌تواند این باشد که تولیدکنندگان گجت‌های هوشمند، ایمنی دستگاه‌های متصل به اینترنت را جدی‌تر بگیرند و از پروتکل‌های امنیتی بهتری برای اینترنت اشیا استفاده کنند. اگر هک کردن این گونه دستگاه‌ها به سادگی امکان‌پذیر نبود، آن وقت شاید حمله‌ی روز سی‌ام مهر ابعادی به این بزرگی نمی‌داشت.

نوشتن دیدگاه

Time limit is exhausted. Please reload the CAPTCHA.