یک حمله گسترده DDoS باقدرت ۴۷۰ گیگابیت در ثانیه

شرکت امنیتی ایمپروا اینکاپوسلا می‌گوید که یک حمله‎ی منع سرویس توزیع‌شده باقدرت ۴۷۰ گیگابیت در ثانیه در اوایل این ماه انجام‌شده است.

شرکت امنیتی ایمپروا اینکاپوسلا می‌گوید که یک حمله‎ی منع سرویس توزیع‌شده باقدرت ۴۷۰ گیگابیت در ثانیه در اوایل این ماه انجام شد که از ۹ نوع مختلف بار داده استفاده می‌کرد. این حمله در ۱۴ ژوئن اتفاق افتاد و یک شرکت قمارخانه‎ی چینی را هدف قرار داده است. این شرکت امنیتی می‌گوید که این حمله بزرگ‌ترین تهاجم از این نوع بوده است که این شرکت به خنثی‌سازی آن پرداخته است. درحالی‌که شرکت ایمپروا می‌گوید که این حمله به لحاظ «پیچیدگی» به دیگر تهدیدهای DDoS که آن‌ها دیده‌اند نمی‌رسد اما شرح می‌دهد که حملات گسترده‎ی دیگر که روزانه در هفته رخ می‌دهند منجر به ایجاد یک حمله DDoS بزرگ‌شده است. 

 

ایمپروا شرح می‌دهد که این حادثه با ۲۵۰ گیگابیت در ثانیه شروع‌شده است که یکی از بزرگ‌ترین حوادث رخ‌داده از ابتدای امسال بوده است. درعین‌حال محققان می‌گویند که این حمله به‌آرامی در طول ساعات بعدی گسترش‌یافته و در نقطه‎ی اوج به ۴۷۰ گیگابیت در ثانیه رسیده و در سپس در ۳۰ دقیقه‎ی بعد کم‌کم روندی رو به کاهش‌یافته است. این حمله حدود چهار ساعت به طول انجامیده است. 

از دیدگاه لایه‎ی شبکه این حمله پیچیده بوده است چراکه از ترکیب ۹ بسته مختلف استفاده کرده است که در ابتدا ترافیک حجیم توسط SYN ایجادشده است اما سپس به بار داده UDP و TCP عمومی تغییریافته است. محققان ایمپروا توضیح می‌دهند که حملاتی با ۹ بردار بسیار نادر هستند و تنها ۰.۲ درصد از همه‎ی حملات لایه شبکه را علیه مشتریان شرکت‌ها شامل می‌شوند. 

 

ایده اصلی پشت حملات چند برداری این است که خدمات و سامانه‌های کاهش خطر را از طریق ایجاد تغییر میان انواع بار داده دور بزنند و این کاری است که عوامل پشت این حادثه‎ی DDoS به‌خوبی از پس آن برآمده‌اند. آن‌ها به بار داده‎ی کوچک‌تر تغییر وضعیت داده‌اند تا بتوانند تعداد بسته‌ها در ثانیه را افزایش دهند و موفق شدند تا این کار را با رسیدن به ۱۱۰ میلیون بسته در ثانیه کمی قبل از به پایان رسیدن حمله انجام دهند. 

 

محققان شرکت ایمپروا توضیح می‌دهند که «استفاده از بار داده‎ی کوچک‌تر برای رسیدن به نرخ حمل بالای ارسال یک تاکتیک عمومی در بسیاری از حملاتی است که ما امسال به مقابله با آن‌ها پرداخته‎ایم. این کار کمک می‌کند تا آن‌ها بتوانند حداکثر قدرت پردازش ابزارهای کاهش خطر امروزی را مصرف کنند که یکی از نقاط ضعف عمومی فعلی آن‌ها است.»

 

برای کاهش خطر این حمله، این شرکت امنیتی ترافیک حمله را از طریق کارگزارهای پالایش کننده‎ی خود مسیردهی کرد و سپس به استفاده از یک بازرسی دقیق بسته (DPI) روی آورد تا به پالایش ترافیک مخرب بپردازد. درواقع این شرکت اشاره می‌کند که این کار دقیقاً تاکتیکی است که این شرکت برای همه‎ی حملات DDoS استفاده می‌کند و این در حالی است که به نظر نمی‌رسید آن‌ها کوتاه آمده باشند: آن‌ها هر چهار ساعت با بیش از ۵۰ گیگابیت در ثانیه و هر هشت ساعت با بیش از ۸۰ گیگابیت بر ثانیه حمله مواجه می‌شدند. 

 

بااین‌حال آنچه شرکت ایمپروا می‌خواهد بر روی آن تأکید کند این است که حتی حملات DDoS نظیر حمله‌ای که در شروع سال به قدرت ۶۰۰ گیگابیت علیه BBC.comصورت گرفت، نیز می‌توانند با استفاده از این شیوه کاهش یابند. 

محققان ایمپروا می‌گویند: «ما می‌خواهیم روشن سازیم که تفاوتی میان خنثی‌سازی حملات لایه شبکه با قدرت‌های ۳۰۰، ۴۰۰ یا ۵۰۰ گیگابیت وجود ندارد. آن‌ها حملات و تهدیدهایی مشابه هم هستند و همه‎ی آن‌ها ماهیت مشابهی دارند. حملات بزرگ‌تر، خطرناک‌تر از حملات کوچک‌تر نیستند. همه‎ی آنچه شما به آن نیاز دارید داشتن یک قایق بزرگ‌تر است». 

 

حتی اگر فرایند خنثی‌سازی حملات DDoS صرف‌نظر از اندازه‎ی حملات یکسان باشند، واضح است که عوامل آن‌ها به‌صورت پیوسته در حال افزایش پیچیدگی این حملات برای گذشت از سد راه‌کارهای خنثی‌سازی هستند. درحالی‌که حملاتی با چند بردار  در حال افزایش هستند،‌ مهاجمان از پروتکل‌ها و روش‌های مختلف برای انعکاس و تقویت آن‌ها استفاده می‌کنند و شروع به استفاده از دستگاه‌های اینترنت اشیاء نظیر دوربین‌های مداربسته برای انجام حملات DDoS کرده‌اند.