نحوه شناسایی حمله DDoS

بارزترین علامت حمله DDoS این است که سایت یا سرویسی ناگهان کند یا از دسترس خارج می­ شود. اما از آنجایی که تعدادی از دلایل – افزایش قانونی ترافیک شبکه – می­ تواند مشکلات عملکرد مشابهی ایجاد کند، معمولاً به بررسی بیشتر نیاز است. ابزارهای تجزیه و تحلیل ترافیک می­ توانند به شما کمک کنند برخی از این نشانه­ های آشکار حمله DDoS را شناسایی کنید:

  • مقادیر مشکوک ترافیک ناشی از یک آدرس یا محدوده IP
  • سیل ترافیک از سوی کاربرانی که یک نمایه رفتاری مشترک دارند مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
  • افزایش غیرقابل توضیح درخواست ­ها به یک صفحه یا نقطه پایانی
  • الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات فرد یا الگوهایی که غیر طبیعی به نظر می­ رسند(مثلاً هر 10دقیقه یک بار افزایش می­ یابد)

فرآیند کاهش حمله DDoS

نگرانی اصلی در کاهش حمله DDoS، تمایز بین ترافیک حمله و ترافیک عادی است و جدا کردن تقاضای کاربران عادی از ترافیک حمله مشکل است. ترافیک می­ تواند از تک منبع جعلی باشد تا حملات چند بردار پیچیده. یک حمله DDoS چند بردار از مسیرهای متعدد برای حمله استفاده می­ کند تا به روش­ های مختلف بر یک هدف غلبه کند. حمله ­ای که چندین لایه پشته پروتکل را به طور همزمان هدف قرار می­ دهد مانند تقویت DNS همراه با سیل HTTP نمونه­ ای از DDoS چند برداری است. کاهش یک حمله DDoS چند برداری به استراتژی ­های مختلفی برای مقابله با مسیرهای گوناگون نیاز دارد. به طور کلی، هرچه حمله پیچیده­ تر باشد، احتمال اینکه ترافیک حمله از ترافیک عادی جدا شود بیشتر می­ شود در صورتی که هدف مهاجم این است که تا حد امکان با هم ترکیب شوند و تلاش ­های کاهش را تا حد ممکن ناکارآمد کند. تلاش­ های کاهشی که شامل حذف یا محدود کردن بی­ رویه ترافیک می­ شود ممکن است ترافیک خوب را همراه با موارد بد از بین ببرد و همچنین حمله ممکن است برای دور زدن اقدامات متقابل اصلاح و سازگار شود. به منظور غلبه بر یک تلاش پیچیده برای اختلال، یک راه حل لایه­ ای بیشترین سود را به همراه خواهد داشت.

مسیریابی سیاه­ چاله

ایجاد یک مسیر سیاه ­چاله و باریک کردن مسیر،یک راه حل در دسترس همه مدیران شبکه است. در ساده­ ترین شکل، زمانی که فیلتر سیاه­ چاله بدون معیارهای محدویت خاصی اجرا می­ شود، ترافیک شبکه قانونی و مخرب به یک مسیر پوچ یا سیاه ­چاله هدایت شده و از شبکه حذف می­ شود.

محدود کردن نرخ

محدود کردن تعداد درخواست­ هایی که سرور در یک بازه زمانی معین می­ پذیرد نیز راهی برای کاهش حملات انکار سرویس است. در حالی که محدودیت نرخ در کند کردن اسکراپرهای وب از سرقت محتوا و کاهش تلاش­ های Brute Force برای ورود به سیستم مفید است، احتمالاً به تنهایی برای مدیریت موثر یک حمله DDoS پیچیده کافی نیست. با این وجود، محدود کردن نرخ یک جزء مفید در یک استراتژی موثر کاهش DDoS است.

فایروال برنامه­ های وب (WAF)

ابزاری است که می­ تواند به کاهش حمله DDoS کمک کند. با قرار دادن یک WAF بین اینترنت و یک سرور مبدأ، WAF ممکن است به عنوان یک پروکسی معکوس عمل کند و از سرور مورد نظر در برابر انواع خاصی از ترافیک مخرب محافظت کند.

انتشار شبکه Anycast

در این رویکرد کاهش حمله از یک شبکه Anycast استفاده می­ شود تا ترافیک حمله را در شبکه ­ای از سرورهای توزیع شده به نقطه ­ای که ترافیک توسط شبکه جذب می­ شود پراکنده کند و تأثیر ترافیک حمله توزیع شده را تا جایی گسترش می ­دهد که قابل مدیریت می ­شود.

چگونه از خود در برابر حملات DoS محافظت کنیم؟

در حالی که هیچ راهی برای اجتناب کامل از تبدیل شدن به هدف یک حمله DoS یا DDoS وجود ندارد، اقدامات پیشگیرانه­ ای وجود دارد که مدیران می ­توانند برای کاهش اثرات یک حمله بر روی شبکه خود انجام دهند:

  • نرم ­افزار آنتی ویروس را نصب و نگهداری کنید.
  • فایروالی را نصب کنید و آن را پیکربندی نمایید تا ترافیک ورودی و خروجی از رایانه شما را محدود کند.
  • تنظیمات امنیتی را ارزیابی کنید و از شیوه ­های امنیتی مناسب پیروی کنید تا دسترسی افراد دیگر به اطلاعات خود را به حداقل برسانید و همچنین ترافیک ناخواسته را مدیریت کنید.
  • برای اطمینان از ارتباط موفق و کارآمد، کاهش و بازیابی در صورت حمله، یک طرح بازیابی رخداد ایجاد کنید.