أقوى هجوم DDoS في العالم ومن هو بريان كريبس؟ هجمات DDoS الهائلة الجديدة تهاجم هجمات DDoS الضخمة

هجمات DoS و DDoS هي تأثيرات خارجية عدوانية على موارد الحوسبة لخادم أو محطة عمل تهدف إلى إخفاق الأخير. نعني بالفشل ليس الفشل المادي للآلة ، ولكن عدم إمكانية الوصول إلى مواردها للمستخدمين الواعين - فشل النظام في خدمتهم ( د enial ا F سالخدمة ، وهو ما يتكون منه الاختصار DoS).

إذا تم تنفيذ مثل هذا الهجوم من جهاز كمبيوتر واحد ، فإنه يصنف على أنه DoS (DoS) ، إذا كان من عدة - DDoS (DDoS أو DDoS) ، مما يعني يعزى د enial ا F سالخدمة "- الحرمان الموزع من الخدمة. بعد ذلك ، دعنا نتحدث عن سبب قيام المهاجمين بمثل هذه الإجراءات ، وما هي ، وما الضرر الذي يتسببون به للهجوم ، وكيف يمكن للأخير حماية مواردهم.

من يمكن أن يعاني من هجمات DoS و DDoS

تستهدف الهجمات خوادم الشركات الخاصة بالمؤسسات والمواقع الإلكترونية ، في كثير من الأحيان أقل - أجهزة الكمبيوتر الشخصية للأفراد. والغرض من مثل هذه الأعمال ، كقاعدة عامة ، هو إلحاق ضرر اقتصادي بالمهاجمين والبقاء في الظل. في بعض الحالات ، تعد هجمات DoS و DDoS إحدى مراحل اختراق الخادم وتهدف إلى سرقة المعلومات أو إتلافها. في الواقع ، يمكن أن يقع نشاط تجاري أو موقع ويب مملوك لأي شخص ضحية لمجرمي الإنترنت.

رسم تخطيطي يوضح جوهر هجوم DDoS:

غالبًا ما يتم تنفيذ هجمات DoS و DDoS بتحريض من المنافسين المخادعين. لذلك ، من خلال "ملء" موقع الويب لمتجر عبر الإنترنت يقدم منتجًا مشابهًا ، يمكنك أن تصبح "محتكرًا" مؤقتًا وتلتقط عملاءه بنفسك. من خلال "إهمال" خادم الشركة ، من الممكن تعطيل عمل شركة منافسة وبالتالي تقليل مكانتها في السوق.

عادة ما يتم تنفيذ الهجمات واسعة النطاق التي يمكن أن تسبب أضرارًا كبيرة من قبل مجرمي الإنترنت المحترفين مقابل الكثير من المال. لكن ليس دائما. يمكن للقراصنة الهواة أيضًا مهاجمة مواردك - بدافع الاهتمام ، والمنتقمون من بين الموظفين المسرحين ، وببساطة أولئك الذين لا يشاركونك وجهات نظرك حول الحياة.

في بعض الأحيان ، يتم تنفيذ التأثير بهدف الابتزاز ، بينما يطلب المهاجم علنًا الأموال من مالك المورد لوقف الهجوم.

غالبًا ما تتعرض خوادم الشركات المملوكة للدولة والمنظمات المعروفة للهجوم من قبل مجموعات مجهولة من المتسللين المؤهلين تأهيلا عاليا بهدف التأثير على المسؤولين أو التسبب في احتجاج عام.

كيف يتم تنفيذ الهجمات

يتمثل مبدأ تشغيل هجمات DoS و DDoS في إرسال دفق كبير من المعلومات إلى الخادم ، والذي يقوم ، إلى أقصى حد (بقدر ما تسمح به قدرات المتسلل) ، بتحميل موارد الحوسبة للمعالج ، وذاكرة الوصول العشوائي ، وسد قنوات الاتصال أو يملأ مساحة القرص. لا يمكن للجهاز المهاجم التعامل مع معالجة البيانات الواردة ويتوقف عن الاستجابة لطلبات المستخدم.

هكذا يبدو التشغيل العادي للخادم ، متصورًا في برنامج Logstalgia:

فعالية هجمات DOS الفردية ليست عالية جدًا. بالإضافة إلى ذلك ، فإن هجومًا من جهاز كمبيوتر شخصي يعرض المهاجم لخطر التعرف عليه والقبض عليه. توفر الهجمات الموزعة (DDoS) من ما يسمى بشبكات الزومبي أو شبكات الروبوت ربحًا أكبر بكثير.

هذه هي الطريقة التي يعرض بها موقع Norse-corp.com نشاط الروبوتات:

شبكة الزومبي (الروبوتات) هي مجموعة من أجهزة الكمبيوتر التي ليس لها اتصال مادي ببعضها البعض. إنهم متحدون بحقيقة أنهم جميعًا تحت سيطرة المهاجم. يتم تنفيذ التحكم عن طريق برنامج حصان طروادة ، والذي قد لا يعبر عن نفسه بأي شكل من الأشكال في الوقت الحالي. عند تنفيذ هجوم ، يوجه المتسلل أجهزة الكمبيوتر المصابة لإرسال طلبات إلى موقع الويب أو الخادم الخاص بالضحية. وهو ، غير قادر على الصمود أمام الهجوم ، توقف عن الاستجابة.

هذه هي الطريقة التي يُظهر بها Logstalgia هجوم DDoS:

يمكن لأي جهاز كمبيوتر الانضمام إلى الروبوتات. وحتى هاتف ذكي. يكفي التقاط حصان طروادة وعدم اكتشافه في الوقت المناسب. بالمناسبة ، كان لدى أكبر الروبوتات ما يقرب من مليوني جهاز حول العالم ، ولم يكن لدى أصحابها أي فكرة عما يتعين عليهم القيام به.

طرق الهجوم والدفاع

قبل بدء الهجوم ، يكتشف أحد المتطفلين كيفية تنفيذه بأقصى تأثير. إذا كانت العقدة المهاجمة بها العديد من نقاط الضعف ، فيمكن تنفيذ التأثير في اتجاهات مختلفة ، مما سيعقد الاستجابة بشكل كبير. لذلك ، من المهم لكل مسؤول خادم فحص جميع الاختناقات الخاصة به وتقويتها إن أمكن.

فيضان

الفيضان ، بعبارات بسيطة ، هو معلومات لا تحمل عبءًا دلاليًا. في سياق هجمات DoS / DDoS ، فإن الفيضان هو سيل من الطلبات الفارغة التي لا معنى لها من مستوى أو آخر ، والتي تُجبر العقدة المستقبلة على معالجتها.

الغرض الرئيسي من استخدام الفيضانات هو انسداد قنوات الاتصال تمامًا ، وتشبع النطاق الترددي إلى الحد الأقصى.

أنواع الفيضانات:

  • فيضان MAC - التأثير على اتصالات الشبكة (حظر المنافذ بتدفقات البيانات).
  • تغمر ICMP - إغراق الضحية بطلبات صدى الخدمة باستخدام شبكة زومبي أو إرسال طلبات "نيابة عن" المضيف المهاجم بحيث يرسل له جميع أعضاء الروبوتات ردًا بالصدى في نفس الوقت (هجوم Smurf). هناك حالة خاصة لفيضان ICMP وهي ping fling (إرسال طلبات ping إلى الخادم).
  • تدفق SYN - إرسال طلبات SYN متعددة إلى الضحية ، مما يؤدي إلى تجاوز قائمة انتظار اتصال TCP عن طريق إنشاء عدد كبير من اتصالات نصف مفتوحة (في انتظار تأكيد العميل).
  • تدفق UDP - يعمل وفقًا لمخطط هجمات Smurf ، حيث يتم إرسال مخططات بيانات UDP بدلاً من حزم ICMP.
  • فيضان HTTP - إغراق الخادم بالعديد من رسائل HTTP. الخيار الأكثر تعقيدًا هو تدفق HTTPS ، حيث يتم تشفير البيانات المرسلة مسبقًا ، وقبل أن يعالجها المضيف المهاجم ، يجب عليه فك تشفيرها.


كيف تحمي نفسك من الفيضانات

  • قم بتكوين التحقق من صحة عنوان MAC والتصفية على محولات الشبكة.
  • تقييد أو رفض معالجة طلبات ارتداد ICMP.
  • كتلة الحزم القادمة من عنوان أو مجال معين ، مما يثير الشك في عدم الموثوقية.
  • تعيين حد لعدد الاتصالات نصف المفتوحة مع عنوان واحد ، وتقليل وقت الاحتفاظ بها ، وإطالة قائمة انتظار اتصالات TCP.
  • تعطيل خدمات UDP من تلقي حركة المرور من الخارج أو تقييد عدد اتصالات UDP.
  • استخدم اختبارات CAPTCHA والتأخيرات وتقنيات الحماية الأخرى المضادة للروبوتات.
  • قم بزيادة الحد الأقصى لعدد اتصالات HTTP ، قم بتكوين طلب التخزين المؤقت باستخدام nginx.
  • قم بتوسيع النطاق الترددي لقناة الشبكة.
  • إن أمكن ، قم بتخصيص خادم منفصل لمعالجة التشفير (إن أمكن).
  • قم بإنشاء قناة احتياطية للوصول الإداري إلى الخادم في حالات الطوارئ.

زيادة تحميل موارد الأجهزة

هناك أنواع من الفيضانات لا تؤثر على قناة الاتصال ، بل تؤثر على موارد أجهزة الكمبيوتر المهاجم ، وتحميلها على أكمل وجه وتسبب في تجميدها أو تعطلها. على سبيل المثال:

  • إنشاء نص برمجي ينشر قدرًا هائلاً من المعلومات النصية التي لا معنى لها على منتدى أو موقع حيث تتاح للمستخدمين الفرصة لترك تعليقات حتى تمتلئ مساحة القرص بالكامل.
  • نفس الشيء ، فقط سجلات الخادم سوف تملأ محرك الأقراص.
  • تحميل الموقع ، حيث يتم إجراء بعض التحويل للبيانات المدخلة ، من خلال المعالجة المستمرة لهذه البيانات (إرسال ما يسمى بالحزم "الثقيلة").
  • تحميل المعالج أو الذاكرة عن طريق تنفيذ الكود من خلال واجهة CGI (يتيح لك دعم CGI تشغيل أي برنامج خارجي على الخادم).
  • استدعاء مشغل نظام الأمان ، مما يجعل الخادم غير قابل للوصول من الخارج ، وما إلى ذلك.


كيفية الحماية من التحميل الزائد لموارد الأجهزة

  • زيادة أداء الأجهزة ومساحة القرص. عندما يعمل الخادم في الوضع العادي ، يجب أن يظل ما لا يقل عن 25-30٪ من الموارد مجانية.
  • استخدم أنظمة لتحليل وتصفية حركة المرور قبل إرسالها إلى الخادم.
  • تقييد استخدام موارد الأجهزة بواسطة مكونات النظام (حصص محددة).
  • تخزين ملفات سجل الخادم على محرك أقراص منفصل.
  • نشر الموارد عبر عدة خوادم مستقلة. بحيث إذا فشل أحد الأجزاء ، تظل الأجزاء الأخرى عاملة.

نقاط الضعف في أنظمة التشغيل والبرامج والبرامج الثابتة للجهاز

هناك خيارات أكثر بما لا يقاس لتنفيذ مثل هذه الهجمات من استخدام الفيضانات. يعتمد تنفيذها على مهارات وخبرة المهاجم وقدرته على إيجاد أخطاء في كود البرنامج واستخدامها لمصلحته الخاصة وعلى حساب صاحب المورد.

بعد أن يكتشف المتسلل ثغرة أمنية (خطأ برمجي يمكن استخدامه لتعطيل النظام) ، كل ما عليه فعله هو إنشاء وتشغيل استغلال - برنامج يستغل هذه الثغرة الأمنية.

لا يهدف استغلال الثغرات الأمنية دائمًا إلى التسبب في رفض الخدمة فقط. إذا كان المخترق محظوظًا ، فسيكون قادرًا على التحكم في المورد والتخلص من "هدية القدر" وفقًا لتقديره الخاص. على سبيل المثال ، يمكن استخدامه لنشر البرامج الضارة وسرقة المعلومات وإتلافها ، وما إلى ذلك.

طرق مواجهة استغلال الثغرات الأمنية في البرمجيات

  • قم بتثبيت التحديثات في الوقت المناسب لإغلاق نقاط الضعف في أنظمة التشغيل والتطبيقات.
  • اعزل كافة الخدمات الإدارية عن وصول الطرف الثالث.
  • استخدام وسائل المراقبة المستمرة لتشغيل نظام تشغيل الخادم والبرامج (تحليل السلوك ، إلخ).
  • تخلَّ عن البرامج التي يحتمل أن تكون ضعيفة (مجانية ، مكتوبة ذاتيًا ، نادرًا ما يتم تحديثها) لصالح البرامج المثبتة والمحمية جيدًا.
  • استخدم وسائل جاهزة لحماية الأنظمة ضد هجمات DoS و DDoS ، الموجودة في شكل أجهزة وأنظمة برمجية.

كيفية تحديد ما إذا كان أحد الموارد قد تعرض للهجوم من قِبل أحد المتطفلين

إذا نجح المهاجم في تحقيق الهدف ، فمن المستحيل عدم ملاحظة الهجوم ، ولكن في بعض الحالات لا يستطيع المسؤول تحديد وقت بدء الهجوم بالضبط. أي أنه يستغرق أحيانًا عدة ساعات من بداية الهجوم حتى ظهور أعراض ملحوظة. ومع ذلك ، أثناء التعرض الكامن (حتى "يستلقي" الخادم) ، توجد أيضًا علامات معينة. على سبيل المثال:

  • السلوك غير الطبيعي لتطبيقات الخادم أو نظام التشغيل (التجميد ، والإنهاء مع وجود أخطاء ، وما إلى ذلك).
  • يزداد الحمل على المعالج والذاكرة والتخزين بشكل كبير من خط الأساس.
  • يزداد حجم حركة المرور على منفذ واحد أو عدة منافذ بشكل ملحوظ.
  • هناك مكالمات متعددة للعملاء لنفس الموارد (فتح صفحة واحدة من الموقع ، وتنزيل نفس الملف).
  • يُظهر تحليل سجلات جهاز الخادم وجدار الحماية والشبكة عددًا كبيرًا من الطلبات الموحدة من عناوين مختلفة ، وغالبًا ما يتم توجيهها إلى منفذ أو خدمة معينة. خاصة إذا كان الموقع يستهدف جمهورًا ضيقًا (على سبيل المثال ، الناطقين بالروسية) ، وتأتي الطلبات من جميع أنحاء العالم. في الوقت نفسه ، يُظهر التحليل النوعي لحركة المرور أن الطلبات ليس لها معنى عملي بالنسبة للعملاء.

كل ما سبق ليس علامة 100٪ على هجوم ، ولكنه دائمًا سبب للانتباه إلى المشكلة واتخاذ الإجراءات الوقائية المناسبة.

من الذي يتعرض للهجوم؟

وفقًا للبنك المركزي ، تضاعف عدد المؤسسات المالية الروسية في عام 2016 تقريبًا. في نوفمبر ، استهدفت هجمات DDoS خمسة بنوك روسية كبرى. في نهاية العام الماضي ، أبلغ البنك المركزي عن هجمات DDoS على المؤسسات المالية ، بما في ذلك البنك المركزي. وكان الغرض من الهجمات هو تعطيل الخدمات ، ونتيجة لذلك ، تقويض مصداقية هذه المنظمات. كانت هذه الهجمات ملحوظة لأنها كانت أول استخدام واسع النطاق لإنترنت الأشياء في روسيا. أشارت خدمات الأمن في البنوك الكبيرة إلى أن الهجوم شمل بشكل أساسي كاميرات الإنترنت وأجهزة التوجيه المنزلية.

في الوقت نفسه ، لم تُلحق هجمات DDoS أضرارًا كبيرة بالبنوك - فهي محمية بشكل جيد ، لذلك ، على الرغم من أنها تسببت في مشاكل ، إلا أنها لم تكن حرجة ولم تنتهك أي خدمة. ومع ذلك ، يمكن القول أن نشاط المتسللين المناهضين للبنوك قد زاد بشكل كبير.

في فبراير 2017 ، صدت الخدمات الفنية التابعة لوزارة الصحة الروسية أكبر هجوم DDoS في السنوات الأخيرة ، والذي بلغ ذروته عند 4 ملايين طلب في الدقيقة. كانت هناك هجمات DDoS على السجلات الحكومية ، لكنها لم تنجح أيضًا ولم تؤد إلى أي تغييرات في البيانات.

ومع ذلك ، فإن ضحايا هجمات DDoS هم نفس عدد المنظمات والشركات التي لديها مثل هذا "الدفاع" القوي. في عام 2017 ، من المتوقع أن يزداد الضرر الناجم عن التهديدات الإلكترونية - برامج الفدية و DDoS والهجمات على أجهزة إنترنت الأشياء.


تكتسب أجهزة إنترنت الأشياء شعبية كأداة لتنفيذ هجمات DDoS. كان أحد الأحداث البارزة هو هجوم DDoS الذي تم إطلاقه في سبتمبر 2016 باستخدام الشفرة الخبيثة Mirai. في ذلك ، عملت مئات الآلاف من الكاميرات والأجهزة الأخرى من أنظمة المراقبة بالفيديو كوسيلة للهجوم.

تم تنفيذه ضد مزود الاستضافة الفرنسي OVH. كان أقوى هجوم DDoS - ما يقرب من 1 تيرابايت / ثانية. استخدم المتسللون الروبوتات لاستخدام 150.000 جهاز إنترنت الأشياء ، معظمها من كاميرات الدوائر التلفزيونية المغلقة. أدت الهجمات باستخدام الروبوتات Mirai إلى ظهور العديد من شبكات الروبوت من أجهزة إنترنت الأشياء. وفقًا للخبراء ، في عام 2017 ، ستستمر شبكات إنترنت الأشياء في كونها أحد التهديدات الرئيسية في الفضاء الإلكتروني.


وفقًا لتقرير حادثة خرق البيانات (DBIR) لشركة Verizon لعام 2016 ، زاد عدد هجمات DDoS بشكل كبير في العام الماضي. الأكثر تضررًا في العالم هي صناعة الترفيه ، والمؤسسات المهنية ، والتعليم ، وتكنولوجيا المعلومات ، والبيع بالتجزئة.

هناك اتجاه ملحوظ في هجمات DDoS وهو توسيع "قائمة الضحايا". وهي تضم الآن ممثلين من جميع الصناعات تقريبًا. بالإضافة إلى ذلك ، يتم تحسين أساليب الهجوم.
وفقًا لـ Nexusguard ، في نهاية عام 2016 ، كانت هناك زيادة ملحوظة في عدد هجمات DDoS المختلطة التي تنطوي على نقاط ضعف متعددة. في أغلب الأحيان ، تعرضوا لمؤسسات مالية وحكومية. الدافع الرئيسي لمجرمي الإنترنت (70٪ من الحالات) هو سرقة البيانات أو التهديد بإتلافها بغرض الحصول على فدية. أقل شيوعًا ، أهداف سياسية أو اجتماعية. هذا هو سبب أهمية استراتيجية الدفاع. يمكنها الاستعداد للهجوم وتقليل عواقبه وتقليل المخاطر المالية والسمعة.

بعد الهجمات

ما هي عواقب هجوم DDoS؟ أثناء الهجوم ، تفقد الضحية العملاء بسبب بطء التشغيل أو عدم إمكانية الوصول التام إلى الموقع ، وتتأثر سمعة العمل. يمكن لمزود الخدمة حظر عنوان IP الخاص بالضحية لتقليل الضرر الذي يلحق بالعملاء الآخرين. سوف يستغرق الأمر وقتًا ، وربما مالًا ، لاستعادة كل شيء.
وفقًا لمسح أجرته الشركة ، تعتبر هجمات DDoS من قبل نصف المؤسسات واحدة من أخطر التهديدات السيبرانية. إن تهديد DDoS أعلى من تهديد الوصول غير المصرح به والفيروسات والاحتيال والتصيد الاحتيالي ، ناهيك عن التهديدات الأخرى.

يقدر متوسط ​​الخسائر من هجمات DDoS في جميع أنحاء العالم بـ 50000 دولار للمؤسسات الصغيرة وحوالي 500000 دولار للمؤسسات الكبيرة. سيتطلب القضاء على عواقب هجوم DDoS وقت عمل إضافي للموظفين ، وتحويل الموارد من المشاريع الأخرى لضمان الأمان ، وتطوير خطة تحديث البرامج ، وترقية المعدات ، وما إلى ذلك.


يمكن أن تتضرر سمعة المنظمة التي تعرضت للهجوم ليس فقط بسبب ضعف أداء موقع الويب ، ولكن أيضًا بسبب سرقة البيانات الشخصية أو المعلومات المالية.
وفقًا لمسح الشركة ، يزداد عدد هجمات DDoS بنسبة 200٪ سنويًا ، حيث يتم الإبلاغ عن 2000 هجوم من هذا النوع يوميًا في العالم. تبلغ تكلفة تنظيم هجوم DDoS الأسبوعي حوالي 150 دولارًا فقط ، ويبلغ متوسط ​​خسائر الضحية أكثر من 40 ألف دولار في الساعة.

أنواع هجمات DDoS

الأنواع الرئيسية لهجمات DDoS هي الهجمات المكثفة وهجمات البروتوكول وهجمات التطبيقات. على أي حال ، الهدف هو تعطيل الموقع أو سرقة البيانات. نوع آخر من الجرائم الإلكترونية هو التهديد بهجوم فدية DDoS. تشتهر مجموعات القراصنة مثل Armada Collective و Lizard Squad و RedDoor و ezBTC بهذا.

أصبح تنظيم هجمات DDoS أسهل بكثير: يوجد الآن أدوات آلية متاحة على نطاق واسع لا تتطلب عمليا معرفة خاصة من مجرمي الإنترنت. هناك أيضًا خدمات DDoS مدفوعة للهجمات المستهدفة المجهولة. على سبيل المثال ، تقدم خدمة vDOS خدماتها دون التحقق مما إذا كان العميل هو مالك الموقع ، أو الذي يريد اختباره "تحت الحمل" ، أو إذا تم ذلك بهدف الهجوم.


هجمات DDoS هي هجمات من عدة مصادر تمنع المستخدمين الشرعيين من الوصول إلى الموقع المهاجم. للقيام بذلك ، يتم إرسال عدد كبير من الطلبات إلى النظام المهاجم ، والذي لا يمكنه التعامل معه. عادة ما يتم استخدام الأنظمة المخترقة لهذا الغرض.

يُقدر النمو السنوي في عدد هجمات DDoS بـ 50٪ (وفقًا للمعلومات) ، لكن البيانات من مصادر مختلفة تختلف ، ولا تُعرف جميع الحوادث. نما متوسط ​​قوة هجمات DDoS من الطبقة 3/4 في السنوات الأخيرة من 20 إلى عدة مئات من جيجابايت / ثانية. على الرغم من أن هجمات DDoS الهائلة والهجمات على مستوى البروتوكول سيئة في حد ذاتها ، إلا أن مجرمي الإنترنت يجمعونها بشكل متزايد مع هجمات DDoS من الطبقة 7 ، أي على مستوى التطبيق ، بهدف تغيير البيانات أو سرقتها. يمكن أن تكون مثل هذه الهجمات "متعددة النواقل" فعالة للغاية.


تمثل الهجمات متعددة النواقل حوالي 27٪ من إجمالي عدد هجمات DDoS.

في حالة هجوم DDoS الضخم (المستند إلى الحجم) ، يتم استخدام عدد كبير من الطلبات ، وغالبًا ما يتم إرسالها من عناوين IP شرعية ، بحيث "يغرق" الموقع في حركة المرور. والغرض من هذه الهجمات هو "سد" كل عرض النطاق الترددي المتاح وحظر حركة المرور المشروعة.

في حالة الهجوم على طبقة البروتوكول (على سبيل المثال ، UDP أو ICMP) ، فإن الهدف هو استنفاد موارد النظام. لهذا ، يتم إرسال الطلبات المفتوحة ، على سبيل المثال ، طلبات TCP / IP مع عناوين IP وهمية ، ونتيجة لاستنفاد موارد الشبكة ، يصبح من المستحيل معالجة الطلبات المشروعة. الممثلين النموذجيين هم هجمات DDoS ، والمعروفة في الدوائر الضيقة باسم Smurf DDos و Ping of Death و SYN فيضان. نوع آخر من هجمات DDoS لطبقة البروتوكول يتضمن إرسال عدد كبير من الحزم المجزأة التي لا يستطيع النظام معالجتها.

هجمات DDoS من الطبقة 7 هي إرسال طلبات تبدو غير ضارة ويبدو أنها نتيجة نشاط عادي للمستخدم. عادة ما يتم استخدام شبكات الروبوت والأدوات الآلية لتنفيذها. ومن الأمثلة البارزة Slowloris و Apache Killer والبرمجة عبر المواقع وإدخال SQL وإدخال الملفات عن بُعد.

في 2012-2014 ، كانت معظم هجمات DDoS الهائلة عبارة عن هجمات بدون حالة (بدون حالة وتتبع للجلسات) - استخدموا بروتوكول UDP. في حالة انعدام الجنسية ، يتم تداول العديد من الحزم في جلسة واحدة (على سبيل المثال ، فتح صفحة). من الذي بدأ الجلسة (طلب الصفحة) ، لا تعرف الأجهزة عديمة الجنسية عادةً.

UDP عرضة للانتحال - استبدال العنوان. على سبيل المثال ، إذا كنت تريد مهاجمة خادم DNS على 56.26.56.26 باستخدام هجوم تضخيم DNS ، فيمكنك إنشاء مجموعة من الحزم بعنوان المرسل 56.26.56.26 وإرسالها إلى خوادم DNS حول العالم. سترسل هذه الخوادم استجابة إلى 56.26.56.26.

تعمل نفس الطريقة مع خوادم NTP والأجهزة التي تدعم SSDP. ربما يكون NTP هو الأسلوب الأكثر شيوعًا: في النصف الثاني من عام 2016 ، تم استخدامه في 97.5٪ من هجمات DDoS.
توصي أفضل الممارسات الحالية (BCP) 38 مزودي خدمات الإنترنت بتكوين البوابات لمنع الانتحال - تتم مراقبة عنوان المرسل ، وشبكة المصدر. لكن هذه الممارسة لا تتبعها جميع البلدان. بالإضافة إلى ذلك ، يتجاوز المهاجمون عناصر تحكم BCP 38 بالتبديل إلى هجمات الحالة على طبقة TCP. وفقًا لمركز F5 للعمليات الأمنية (SOC) ، فقد هيمنت مثل هذه الهجمات على مدى السنوات الخمس الماضية. في عام 2016 ، كان هناك ضعف عدد هجمات TCP مثل هجمات UDP.

غالبًا ما يستخدم قراصنة محترفون هجمات الطبقة السابعة. المبدأ هو كما يلي: عنوان URL "ثقيل" (مع ملف PDF أو طلب لقاعدة بيانات كبيرة) يتم أخذها وتكرارها عشرات أو مئات المرات في الثانية. هجمات الطبقة السابعة رهيبة ويصعب التعرف عليها. وهم يمثلون الآن حوالي 10٪ من هجمات DDoS.


ارتباط أنواع مختلفة من هجمات DDoS وفقًا لتقرير تحقيقات خرق البيانات من Verizon (DBIR) (2016).

في كثير من الأحيان ، يتم توقيت هجمات DDoS لتتزامن مع فترات ذروة حركة المرور ، مثل أيام المبيعات عبر الإنترنت. تدفقات كبيرة من البيانات الشخصية والمالية تجذب المتسللين في هذا الوقت.

هجمات DDoS على DNS

يلعب نظام اسم المجال (DNS) دورًا أساسيًا في أداء الموقع وتوافره. في النهاية - في نجاح عملك. لسوء الحظ ، غالبًا ما تكون البنية التحتية لنظام أسماء النطاقات هدفًا لهجمات DDoS. من خلال قمع البنية التحتية لنظام أسماء النطاقات ، يمكن للمهاجمين إلحاق الضرر بموقع الويب الخاص بك ، وسمعة شركتك ، وأدائك المالي. لمواجهة تهديدات اليوم ، يجب أن تكون البنية التحتية لنظام أسماء النطاقات مرنة للغاية وقابلة للتطوير.
بشكل أساسي ، DNS عبارة عن قاعدة بيانات موزعة تقوم ، من بين أشياء أخرى ، بتعيين أسماء المواقع سهلة القراءة إلى عناوين IP ، مما يسمح للمستخدم بالوصول إلى الموقع المطلوب بعد إدخال عنوان URL. يبدأ تفاعل المستخدم الأول مع الموقع بطلبات DNS المرسلة إلى خادم DNS بعنوان مجال الإنترنت الخاص بموقعك. يمكن أن تمثل معالجتهم ما يصل إلى 50٪ من وقت تحميل صفحة الويب. وبالتالي ، يمكن أن يؤدي الانخفاض في أداء DNS إلى مغادرة المستخدم للموقع وخسارة الأعمال. إذا توقف خادم DNS عن الاستجابة نتيجة لهجوم DDoS ، فلن يتمكن أي شخص من الوصول إلى الموقع.

يصعب اكتشاف هجمات DDoS ، خاصة في البداية عندما تبدو حركة المرور طبيعية. يمكن أن تخضع البنية التحتية لنظام أسماء النطاقات لأنواع مختلفة من هجمات DDoS. في بعض الأحيان يكون هذا هجومًا مباشرًا على خوادم DNS. في حالات أخرى ، يتم استخدام عمليات الاستغلال ، باستخدام أنظمة DNS لمهاجمة العناصر الأخرى للبنية التحتية لتكنولوجيا المعلومات أو الخدمات.


تعرض هجمات انعكاس DNS الهدف لاستجابات DNS وهمية ضخمة. لهذا الغرض ، يتم استخدام شبكات الروبوت ، التي تصيب مئات وآلاف أجهزة الكمبيوتر. يقوم كل روبوت في مثل هذه الشبكة بإنشاء العديد من طلبات DNS ، ولكنه يستخدم نفس عنوان IP المستهدف مثل عنوان IP المصدر (انتحال). تستجيب خدمة DNS لعنوان IP هذا.

هذا يحقق تأثير مزدوج. يتم قصف النظام المستهدف بآلاف وملايين من استجابات DNS ، ويمكن لخادم DNS "الاستلقاء" دون التعامل مع الحمل. عادة ما يكون استعلام DNS نفسه أقل من 50 بايت ، والاستجابة أطول بعشر مرات. بالإضافة إلى ذلك ، يمكن أن تحتوي رسائل DNS على الكثير من المعلومات الأخرى.

افترض أن أحد المهاجمين أصدر 100،000 استعلام DNS قصير 50 ​​بايت (إجمالي 5 ميغابايت). إذا كانت كل إجابة تحتوي على 1 كيلوبايت ، فإن الإجمالي هو بالفعل 100 ميغابايت. ومن هنا جاء اسم التضخيم. يمكن أن يكون للجمع بين هجمات انعكاس DNS والتضخيم عواقب وخيمة للغاية.


تبدو الطلبات كحركة مرور عادية ، والاستجابات عبارة عن الكثير من الرسائل الكبيرة الموجهة إلى النظام المستهدف.

كيف تحمي نفسك من هجمات DDoS؟

كيف تحمي نفسك من هجمات DDoS ، ما هي الخطوات التي يجب اتخاذها؟ بادئ ذي بدء ، لا تؤجله "لوقت لاحق". يجب مراعاة بعض الاعتبارات عند تكوين الشبكة وبدء الخوادم ونشر البرامج. ويجب ألا يؤدي كل تغيير لاحق إلى زيادة التعرض لهجمات DDoS.
  • كود الأمن. يجب أن تؤخذ الاعتبارات الأمنية في الاعتبار عند كتابة البرنامج. يوصى باتباع معايير "التشفير الآمن" واختبار برنامجك بدقة لتجنب الأخطاء الشائعة ونقاط الضعف مثل البرمجة النصية عبر المواقع وإدخال SQL.

  • تطوير خطة عمل لتحديث البرامج. يجب أن تكون هناك دائمًا فرصة "للتراجع" في حالة حدوث خطأ ما.

  • حافظ على تحديث برنامجك. إذا تمكنت من تشغيل التحديثات ، ولكن كانت هناك مشاكل ، فراجع العنصر 2.

  • لا تنس تقييد الوصول. يجب حماية المسؤول و / أو الحسابات بكلمات مرور قوية ومتغيرة بانتظام. مطلوب أيضًا مراجعة دورية لحقوق الوصول ، وحذف حسابات الموظفين المتقاعدين في الوقت المناسب.

  • يجب أن تكون واجهة الإدارة متاحة فقط من الشبكة الداخلية أو عبر VPN. إغلاق الوصول إلى VPN في الوقت المناسب للموظفين الذين تركوا وظائفهم ، وأكثر من ذلك بالنسبة لأولئك الذين تم فصلهم.

  • قم بتضمين تخفيف DDoS في خطة التعافي من الكوارث الخاصة بك. يجب أن تتضمن الخطة طرقًا لتحديد حقيقة مثل هذا الهجوم ، وجهات الاتصال للتواصل مع مزود الإنترنت أو مزود الاستضافة ، وشجرة "تصعيد المشكلة" لكل قسم.

  • سيساعد المسح بحثًا عن نقاط الضعف في تحديد المشكلات في البنية التحتية والبرامج الخاصة بك وتقليل المخاطر. سيحدد اختبار OWASP لأفضل 10 نقاط ضعف بسيط المشكلات الأكثر أهمية. ستكون اختبارات الاختراق مفيدة أيضًا - ستساعد في العثور على نقاط الضعف.

  • قد تكون حماية DDoS للأجهزة باهظة الثمن. إذا كانت ميزانيتك لا تنص على ذلك ، فهناك بديل جيد - حماية DDoS "عند الطلب". يمكن تمكين هذه الخدمة ببساطة عن طريق تغيير مخطط توجيه حركة المرور في حالة الطوارئ ، أو يمكن حمايتها بشكل دائم.

  • استخدم شريك CDN. تسمح لك شبكات توصيل المحتوى بتسليم محتوى الموقع عبر شبكة موزعة. يتم توزيع حركة المرور عبر خوادم متعددة ، مما يقلل من زمن الوصول عند الوصول إلى المستخدمين ، بما في ذلك الخوادم البعيدة جغرافيًا. وبالتالي ، في حين أن الميزة الرئيسية لـ CDN هي السرعة ، فإنها تعمل أيضًا كحاجز بين الخادم الرئيسي والمستخدمين.

  • استخدم جدار حماية تطبيق الويب - جدار حماية لتطبيقات الويب. يراقب حركة المرور بين الموقع أو التطبيق والمتصفح ، ويتحقق من شرعية الطلبات. من خلال العمل في طبقة التطبيق ، يمكن لـ WAF اكتشاف الهجمات ضد الأنماط المخزنة وكشف السلوك غير المعتاد. هجمات التطبيقات شائعة في التجارة الإلكترونية. كما هو الحال مع شبكات CDN ، يمكنك استخدام خدمات WAF في السحابة. ومع ذلك ، فإن تكوين القواعد يتطلب بعض الخبرة. من الناحية المثالية ، يجب حماية جميع التطبيقات الرئيسية باستخدام WAF.

    • حماية DNS

    كيف تحمي البنية التحتية لنظام أسماء النطاقات من هجمات DDoS؟ لن تساعد جدران الحماية العادية و IPS هنا ، فهي عاجزة ضد هجوم DDoS المعقد على DNS. في الواقع ، تكون جدران الحماية وأنظمة منع التطفل في حد ذاتها عرضة لهجمات DDoS.
    يمكن أن تنقذ الخدمات السحابية لتنظيف حركة المرور: يتم إرسالها إلى مركز معين ، حيث يتم فحصها وإعادة توجيهها مرة أخرى إلى وجهتها. هذه الخدمات مفيدة لحركة مرور TCP. يمكن لأولئك الذين يديرون البنية التحتية لنظام أسماء النطاقات الخاصة بهم اتخاذ الإجراءات التالية للتخفيف من تأثير هجمات DDoS.
  • تعد مراقبة خوادم DNS بحثًا عن أي نشاط مشبوه هي الخطوة الأولى في تأمين البنية التحتية لنظام DNS. توفر حلول DNS التجارية والمنتجات مفتوحة المصدر مثل BIND إحصائيات في الوقت الفعلي يمكن استخدامها لاكتشاف هجمات DDoS. يمكن أن تكون مراقبة هجمات DDoS مهمة تتطلب موارد كثيرة. من الأفضل إنشاء ملف تعريف أساسي للبنية التحتية في ظل ظروف التشغيل العادية ثم تحديثه من وقت لآخر مع تطور البنية التحتية وتغير أنماط حركة المرور.

  • يمكن أن تساعد موارد خادم DNS الإضافية في التعامل مع الهجمات صغيرة النطاق من خلال توفير بنية تحتية DNS متكررة. يجب أن تكون موارد الخادم والشبكة كافية للتعامل مع المزيد من الطلبات. بالطبع ، التكرار يكلف المال. أنت تدفع مقابل موارد الخادم والشبكة التي لا تُستخدم عادةً في ظل الظروف العادية. ومع وجود "احتياطي" كبير من القوة ، فمن غير المرجح أن يكون هذا النهج فعالاً.

  • سيؤدي تمكين تحديد معدل استجابة DNS (RRL) إلى تقليل احتمالية مشاركة الخادم في هجوم انعكاس DDoS عن طريق تقليل سرعة استجابته للطلبات المتكررة. تدعم العديد من تطبيقات DNS RRL.

  • استخدام تكوينات عالية التوفر. يمكنك الدفاع ضد هجمات DDoS من خلال نشر DNS على خادم عالي الإتاحة (HA). إذا "تعطل" خادم فعلي نتيجة للهجوم ، فيمكن استعادة خدمة DNS إلى خادم النسخ الاحتياطي.

    • أفضل طريقة لحماية DNS من هجمات DDoS هي استخدام شبكة Anycast الموزعة جغرافيًا. يمكن تنفيذ شبكات DNS الموزعة باستخدام طريقتين مختلفتين: عنونة أحادية الإرسال أو Anycast. الطريقة الأولى أسهل في التنفيذ ، لكن الطريقة الثانية أكثر مقاومة لهجمات DDoS.

    في حالة Unicast ، يتم تعيين عنوان IP فريد لكل خادم من خوادم DNS الخاصة بشركتك. يحتفظ DNS بجدول لخوادم DNS الخاصة بنطاقك وعناوين IP المقابلة. عندما يقوم المستخدم بإدخال عنوان URL ، يتم اختيار أحد عناوين IP بشكل عشوائي لتنفيذ الطلب.

    باستخدام نظام العنونة Anycast ، تشترك خوادم DNS المختلفة في عنوان IP مشترك. عندما يقوم المستخدم بإدخال عنوان URL ، يتم إرجاع العنوان الجماعي لخوادم DNS. تقوم شبكة IP بتوجيه الطلب إلى أقرب خادم.

    يوفر Anycast مزايا أمان أساسية مقارنة بـ Unicast. يكشف Unicast عناوين IP للخوادم الفردية ، بحيث يمكن للمهاجمين شن هجمات مستهدفة ضد خوادم فعلية وأجهزة ظاهرية محددة ، وعندما يتم استنفاد موارد هذا النظام ، يحدث فشل في الخدمة. يمكن أن يساعد Anycast في التخفيف من هجمات DDoS من خلال توزيع الطلبات عبر مجموعة من الخوادم. Anycast مفيد أيضًا في عزل تأثيرات الهجوم.

    حماية DDoS المقدمة من المزود

    يستغرق تصميم ونشر وتشغيل شبكة Anycast العالمية وقتًا ومالًا ومعرفة. لا تمتلك معظم مؤسسات تكنولوجيا المعلومات المهارات والتمويل للقيام بذلك. يمكنك الوثوق بمزود خدمة مُدار متخصص في DNS للحفاظ على تشغيل بنية DNS الأساسية الخاصة بك. لديهم المعرفة اللازمة لحماية DNS من هجمات DDoS.

    يقوم مقدمو خدمة DNS المُدارون بتشغيل شبكات Anycast واسعة النطاق ولديهم نقاط تواجد حول العالم. يراقب خبراء أمن الشبكات الشبكة على مدار الساعة طوال أيام الأسبوع ويطبقون أدوات خاصة للتخفيف من تأثير هجمات DDoS.


    يتم تقديم الخدمات أيضًا من قبل بعض مزودي الاستضافة: يتم تحليل حركة مرور الشبكة على مدار الساعة طوال أيام الأسبوع ، لذلك سيكون موقعك آمنًا نسبيًا. هذه الحماية قادرة على تحمل الهجمات القوية - حتى 1500 جيجابت في الثانية. في نفس الوقت ، يتم دفع حركة المرور.

    خيار آخر هو حماية عناوين IP. يضع الموفر عنوان IP ، الذي اختاره العميل كعنوان محمي ، في شبكة محلل خاصة. يطابق الهجوم حركة المرور للعميل ضد أنماط الهجوم المعروفة. نتيجة لذلك ، يتلقى العميل فقط حركة مرور نظيفة ومفلترة. وبالتالي ، قد لا يعرف مستخدمو الموقع أنه قد تم شن هجوم عليه. لتنظيم ذلك ، يتم إنشاء شبكة موزعة من عقد التصفية بحيث يكون من الممكن لكل هجوم تحديد أقرب عقدة وتقليل التأخير في نقل حركة المرور.

    ستكون نتيجة استخدام خدمات الحماية ضد هجمات DDoS هي الكشف عن هجمات DDoS ومنعها في الوقت المناسب ، واستمرارية الموقع وتوافره المستمر للمستخدمين ، وتقليل الخسائر المالية والسمعة الناتجة عن تعطل الموقع أو البوابة.

    سجلت Qrator Labs ، وهي شركة متخصصة في مواجهة هجمات DDoS وضمان توافر موارد الإنترنت ، حقيقة هجمات DDoS عالية السرعة على أكبر موارد الويب باستخدام تقنية التضخيم المستندة إلى memcache (البرنامج الذي ينفذ خدمة التخزين المؤقت للبيانات في ذاكرة الوصول العشوائي) على جداول التجزئة).

    من 23 إلى 27 فبراير 2018 ، اجتاحت موجة من هجمات memcache تضخيم DDoS عبر أوروبا. تتمثل تقنية مثل هذا الهجوم في المتطفلين الذين يستمعون إلى حركة مرور UDP بشرط أن يتم تعيين معلمات memcache افتراضيًا ، أي في الواقع ، يتم استخدام تدفق UDP - إرسال العديد من حزم UDP المزيفة لكل وحدة زمنية من مجموعة واسعة من عناوين IP .

    عُرفت مشكلات أمان Memcache منذ عام 2014 على الأقل ، ولكن في عام 2018 تجلت هذه الثغرة الأمنية بشكل واضح: في ليلة 25-26 فبراير ، لاحظ متخصصو Qrator Labs عددًا من هجمات memcache المضخّمة في جميع أنحاء الإنترنت ، بما في ذلك الهجمات على روسيا أكبر موارد الشبكة ...

    في عام 2017 ، تحدثت مجموعة من الباحثين من فريق OKee الصيني عن إمكانية تنظيم مثل هذه الهجمات ، مشيرين إلى قوتها التدميرية المحتملة.

    خلال الأيام القليلة الماضية ، أكدت العديد من المصادر حقيقة الهجوم بردود مكثفة من موارد memcache ، تتخللها ردود من DNS و NTP. كانت مصادر هذه الهجمات المخادعة هي مزود OVH الكبير وعدد كبير من مقدمي خدمات الإنترنت والمضيفين الأصغر.

    يؤكد أحد عملاء Qrator Labs ، وهو نظام الدفع QIWI ، حقيقة الهجوم الذي تم تحييده بنجاح مع عرض نطاق ترددي 480 جيجابت في الثانية لحركة مرور UDP على موارده من مضخمات memcache المخترقة.

    "التقنيات الحديثة لتنفيذ هجمات DDoS لا تزال قائمة. على نحو متزايد ، نرى ظهور "ثغرات" جديدة في البنية التحتية للإنترنت ، والتي يستخدمها مجرمو الإنترنت بنجاح لتنفيذ الهجمات. الهجمات باستخدام memcache ، التي وصلت سرعتها إلى عدة مئات من الجيجابت / ثانية ، أصبحت تأكيدًا على ذلك ، - تعليقات ألكسندر لامين ، الرئيس التنفيذي ومؤسس Qrator Labs. - هناك الكثير من موارد memcache الضعيفة على الإنترنت ، ونحن نوصي بشدة الفنيين لتكوين memcache بشكل صحيح ، مع عدم نسيان الإعدادات الافتراضية. سيساعد هذا في تجنب التنصت على جميع حركات مرور UDP المرسلة إلى الخادم وتقليل احتمالية هجمات DDoS. "

    حول Qrator Labs

    Qrator Labs هو الإجراء المضاد الأول لـ DDoS في روسيا (وفقًا لتقرير IDC Russia Anti-DDoS Services Market 2016-2020 وتحليل 2015). تأسست الشركة في عام 2009 وتقدم خدمات لمواجهة هجمات DDoS بالاقتران مع حلول WAF (جدار حماية تطبيقات الويب) ، المنظمة باستخدام تقنية الشركة الشريكة Wallarm. لمواجهة هجمات DDoS بشكل فعال ، تستخدم Qrator Labs البيانات من خدمة مراقبة الإنترنت العالمية الخاصة بها Qrator.Radar. شبكة الترشيح Qrator مبنية على عقد موجودة في الولايات المتحدة الأمريكية وروسيا والاتحاد الأوروبي وآسيا ، والتي تعد ، إلى جانب خوارزميات التصفية الخاصة بها ، ميزة تنافسية للشركة.

    أدى الوضع الاقتصادي غير المستقر في العامين الماضيين إلى زيادة كبيرة في مستوى المنافسة في السوق ، مما أدى إلى زيادة شعبية هجمات DDoS - وهي طريقة فعالة للتسبب في أضرار اقتصادية -.

    في عام 2016 ، زاد عدد الطلبات التجارية الخاصة بتنظيم هجمات DDoS عدة مرات. لقد انتقلت هجمات DDoS الضخمة من منطقة النفوذ السياسي المستهدف ، كما كان الحال ، على سبيل المثال ، في عام 2014 ، إلى قطاع الأعمال الجماعية. تتمثل المهمة الرئيسية لمجرمي الإنترنت في جعل الوصول إلى المورد غير ممكن في أسرع وقت ممكن وبأقل التكاليف من أجل الحصول على أموال من المنافسين من أجله ، وتزويد أنفسهم بشروط الابتزاز ، وما إلى ذلك. يتم استخدام هجمات DDoS بشكل أكثر نشاطًا ، والتي تحفز البحث عن المزيد والمزيد من الوسائل واسعة النطاق لحماية الأعمال التجارية.

    في الوقت نفسه ، يستمر عدد الهجمات في النمو ، على الرغم من النجاحات الملحوظة في مكافحة DDoS. وفقًا لـ Qrator Labs ، زادت هجمات DDoS بنسبة 100٪ في عام 2015. وهذا ليس مفاجئًا ، لأن تكلفتها انخفضت إلى حوالي 5 دولارات في الساعة ، ودخلت أدوات تنفيذها إلى السوق السوداء الضخمة. فيما يلي بعض الاتجاهات الرئيسية في هجمات رفض الخدمة الموزعة المتوقعة للسنوات القليلة القادمة.

    هجمات تضخيم UDP

    الهجمات المصممة لاستنفاد سعة القناة تشمل تضخيم UDP. كانت مثل هذه الحوادث هي الأكثر شيوعًا في عام 2014 وأصبحت اتجاهًا مشرقًا في عام 2015. ومع ذلك ، فقد وصل عددها بالفعل إلى ذروته وهو يتراجع تدريجيًا - فالموارد لتنفيذ مثل هذه الهجمات ليس محدودًا فحسب ، بل يتناقص أيضًا بشكل حاد.

    مكبر الصوت هو خدمة UDP عامة تعمل بدون مصادقة ، والتي يمكنها إرسال استجابة أكبر بكثير لطلب صغير. المهاجم ، بإرسال مثل هذه الطلبات ، يستبدل عنوان IP الخاص به بعنوان IP الخاص بالضحية. نتيجة لذلك ، تتم إعادة توجيه حركة المرور المرتجعة ، التي تتجاوز بكثير عرض النطاق الترددي لقناة المهاجم ، إلى مورد الويب الخاص بالضحية. يتم استخدام DNS و NTP و SSDP وخوادم أخرى للمشاركة عن غير قصد في الهجمات.

    هجمات L7 على تطبيقات الويب

    فيما يتعلق بتخفيض عدد مكبرات الصوت ، فإن تنظيم الهجمات على تطبيقات الويب على المستوى L7 باستخدام شبكات الروبوت الكلاسيكية يبرز مرة أخرى في المقدمة. كما تعلم ، فإن الروبوتات قادرة على تنفيذ هجمات على الشبكة باستخدام أوامر بعيدة ، وقد لا يكون مالكو أجهزة الكمبيوتر المصابة على علم بذلك. نتيجة لزيادة التحميل على الخدمة بطلبات "غير صحيحة" ، تظل الطلبات الواردة من المستخدمين الشرعيين عمومًا بدون إجابة أو يتطلب وقتًا طويلاً بشكل غير معقول للردود.

    أصبحت الروبوتات أكثر ذكاءً اليوم. عند تنظيم الهجمات المقابلة ، يتم دعم تقنية مكدس المستعرض الكامل ، أي المحاكاة الكاملة لجهاز الكمبيوتر الخاص بالمستخدم والمتصفح وتطوير برنامج جافا النصي. تقنيات مثل هذه رائعة في إخفاء هجمات L7. يكاد يكون من المستحيل التمييز بين الروبوت والمستخدم يدويًا. يتطلب ذلك أنظمة تستخدم تقنية التعلم الآلي ، والتي بفضلها يزداد مستوى مقاومة الهجمات ، ويتم تحسين الآليات ، وزيادة دقة الاختبار.

    قضايا BGP

    في عام 2016 ، ظهر اتجاه جديد - الهجمات على البنية التحتية للشبكة ، بما في ذلك تلك القائمة على استغلال الثغرات الأمنية في بروتوكول BGP. تُعرف مشاكل بروتوكول توجيه BGP ، الذي يعتمد عليه الإنترنت بالكامل ، منذ عدة سنوات ، ولكن في السنوات الأخيرة أدت بشكل متزايد إلى عواقب سلبية خطيرة.

    يمكن أن تؤثر حالات الشذوذ في الشبكة المرتبطة بالتوجيه في طبقة الشبكة بين المجال على عدد كبير من المضيفين والشبكات وحتى على الاتصال العالمي وتوفر الإنترنت. أكثر أنواع المشاكل شيوعًا هو تسريبات المسار - "تسرب" لمسار يحدث نتيجة إعلانه في الاتجاه الخاطئ. حتى الآن ، نادرًا ما يتم استخدام ثغرات BGP بشكل متعمد: تكلفة تنظيم مثل هذا الهجوم مرتفعة جدًا ، وتنشأ الحوادث بشكل أساسي بسبب الأخطاء الشائعة في إعدادات الشبكة.

    ومع ذلك ، في السنوات الأخيرة ، نما حجم الجماعات الإجرامية المنظمة على الإنترنت بشكل كبير ، وبالتالي ، وفقًا لتوقعات Qrator Labs ، ستصبح الهجمات المتعلقة بمشاكل BGP شائعة في المستقبل المنظور. وخير مثال على ذلك هو اختطاف عناوين IP من قبل فريق القرصنة الإلكتروني المعروف ، والذي تم تنفيذه بأمر من الدولة: كان على الشرطة الإيطالية السيطرة على العديد من أجهزة الكمبيوتر ، فيما يتعلق بمالكيها الذين تم اتخاذ إجراءات التحقيق.

    الحوادثTCP

    يحتوي مكدس شبكة TCP / IP على عدد من المشكلات التي ستصبح حادة بشكل خاص هذا العام. من أجل الحفاظ على النمو النشط للسرعات ، يجب تحديث البنية التحتية للإنترنت باستمرار. تزداد سرعات الاتصال المادي بالإنترنت كل بضع سنوات. في أوائل 2000s. أصبح 1 جيجابت في الثانية هو المعيار ، واليوم أصبحت الواجهة المادية الأكثر شعبية هي 10 جيجابت في الثانية. ومع ذلك ، فقد بدأ بالفعل الإدخال المكثف للمعيار الجديد للواجهة المادية ، 100 جيجابت / ثانية ، مما يسبب مشاكل مع بروتوكول TCP / IP القديم ، والذي لم يتم تصميمه لمثل هذه السرعات العالية.

    على سبيل المثال ، يصبح من الممكن في غضون دقائق التقاط رقم تسلسل TCP - معرف رقمي فريد يسمح للشركاء (أو بالأحرى المسموح لهم) على اتصال TCP / IP بالمصادقة المتبادلة في وقت إنشاء الاتصال وتبادل البيانات والمحافظة على نظامهم وسلامتهم. بسرعات 100 جيجابت / ثانية ، لم يعد الخط الموجود في ملفات سجل خادم TCP حول اتصال مفتوح و / أو البيانات المرسلة عبره يضمن أن عنوان IP الثابت أنشأ بالفعل اتصالًا ونقل هذه البيانات. وفقًا لذلك ، تُفتح فرصة لتنظيم هجمات من فئة جديدة ، ويمكن أن تنخفض كفاءة جدران الحماية بشكل كبير.

    جذبت ثغرات TCP / IP انتباه العديد من الباحثين. إنهم يعتقدون أنه في عام 2016 بالفعل سنسمع عن هجمات "رفيعة المستوى" تتعلق باستغلال هذه "الثغرات".

    المستقبل القريب

    اليوم ، لا يسير تطوير التقنيات والتهديدات على طول الحلزون "الكلاسيكي" ، لأن النظام ليس مغلقًا - إنه يتأثر بالعديد من العوامل الخارجية. والنتيجة هي دوامة ذات اتساع متزايد - ترتفع إلى الأعلى ، ويزداد تعقيد الهجمات ، ويتوسع نطاق التكنولوجيا بشكل كبير. دعونا نلاحظ عدة عوامل لها تأثير خطير على تطوير النظام.

    العامل الرئيسي ، بالطبع ، هو الانتقال إلى بروتوكول النقل الجديد IPv6. في نهاية عام 2015 ، تم إهمال IPv4 ، وظهر IPv6 في المقدمة ، مما يجلب معه تحديات جديدة: الآن لكل جهاز عنوان IP ، ويمكنهم جميعًا التواصل مباشرة مع بعضهم البعض. نعم ، هناك توصيات جديدة حول كيفية عمل الأجهزة الطرفية ، ولكن كيف ستتعامل الصناعة مع كل هذا ، خاصة مشغلي الاتصالات وقطاع المنتجات الشامل والموردين الصينيين ، هو سؤال مفتوح. IPv6 هو تغيير قواعد اللعبة.

    التحدي الآخر هو النمو الكبير لشبكات المحمول وسرعتها وقدرتها على التحمل. إذا تسببت شبكات الهاتف المحمول في وقت سابق في حدوث مشكلات ، أولاً وقبل كل شيء ، لمشغل الاتصالات نفسه ، الآن ، عندما أصبح اتصال 4G أسرع من الإنترنت السلكي ، فإن شبكات الهاتف المحمول التي تحتوي على عدد كبير من الأجهزة ، بما في ذلك تلك المصنوعة في الصين ، تتحول إلى منصة ممتازة لتنفيذ هجمات DDoS وهجمات القراصنة. وتظهر المشاكل ليس فقط لمشغل الاتصالات ، ولكن أيضًا للمشاركين الآخرين في السوق.

    يشكل عالم "إنترنت الأشياء" الناشئ تهديدًا خطيرًا. تظهر موجهات هجوم جديدة مع ظهور مجموعة واسعة من الأجهزة واستخدام التكنولوجيا اللاسلكية يفتحان فرصًا لا حدود لها حقًا للقراصنة. يمكن أن تصبح جميع الأجهزة المتصلة بالإنترنت جزءًا من البنية التحتية للمهاجم وأن تشارك في هجمات DDoS.

    لسوء الحظ ، لا توفر الشركات المصنعة لجميع أنواع الأجهزة المنزلية المتصلة بالشبكة (الغلايات ، وأجهزة التلفاز ، والسيارات ، وأجهزة الطهي المتعددة ، والموازين ، والمآخذ الذكية ، وما إلى ذلك) دائمًا المستوى المناسب من الحماية. في كثير من الأحيان ، تستخدم هذه الأجهزة إصدارات قديمة من أنظمة التشغيل الشائعة ، ولا يهتم البائعون بتحديثها بانتظام - واستبدالها بإصدارات قضت على الثغرات الأمنية. وإذا كان الجهاز شائعًا ومستخدمًا على نطاق واسع ، فلن يفوت المتسللون فرصة استغلال ثغراته.

    ظهرت بوادر مشكلة إنترنت الأشياء بالفعل في عام 2015. وفقًا للبيانات الأولية ، تم تنفيذ أحدث هجوم على Blizzard Entertainment باستخدام أجهزة إنترنت الأشياء. تم الكشف عن تعليمات برمجية ضارة تعمل على أقداح الشاي الحديثة والمصابيح الكهربائية. تعمل مجموعات الشرائح أيضًا على تسهيل الأمر على المتسللين. منذ وقت ليس ببعيد ، تم إطلاق مجموعة شرائح رخيصة الثمن مصممة لمختلف المعدات التي يمكنها "الاتصال" بالإنترنت. وبالتالي ، لا يحتاج المهاجمون إلى اختراق 100 ألف برنامج ثابت مخصص - فهم يحتاجون فقط إلى "كسر" مجموعة شرائح واحدة والوصول إلى جميع الأجهزة التي تعتمد عليها.

    من المتوقع أن تصبح جميع الهواتف الذكية التي تعتمد على الإصدارات الأقدم من Android قريبًا أعضاء في شبكة روبوت واحدة على الأقل. ستتبع جميع المقابس الذكية والثلاجات والأجهزة المنزلية الأخرى. في غضون عامين ، تنتظرنا الروبوتات من أقداح الشاي وأجهزة مراقبة الأطفال وأجهزة الطهي المتعددة. لن يجلب لنا إنترنت الأشياء الراحة والفرص الإضافية فحسب ، بل سيوفر لنا أيضًا الكثير من المشكلات. عندما يكون هناك العديد من الأشياء في إنترنت الأشياء ويمكن لكل دبوس إرسال 10 بايت ، ستظهر تحديات أمنية جديدة يجب معالجتها. ويجب أن نستعد لهذا اليوم.