کاهش حمله منع سرویس توزیع شده
کاهش حمله منع سرویس توزیع شده (به انگلیسی: DDoS mitigation) مجموعه ای از تکنیکها یا ابزارهایی است که برای مقاومت در برابر حملات DDoS یا کاهش تأثیر آن بر روی شبکههای متصل به اینترنت با حفاظت از هدف و شبکههای relay مورد استفاده قرار میگیرد. حملات DDoS با تهدید خدمات و تعطیل کردن یک وب سایت بهطور کامل، حتی برای مدتی کوتاه، میتوانند یک تهدید دائمی برای کسب وکارها و سازمانها باشند.[1]
از اولین اقداماتی که در DDoS mitigation انجام میشود بررسی نرمال بودن شرایط ترافیکی شبکه توسط الگوهای ترافیکی تعریف شده میباشد، این شرایط ترافیکی تعریف شده برای تشخیص تهدید و هشدار الزامی است. DDoS mitigation نیاز دارد برای تشخیص ترافیک انسانی از رباتهای انسان نما و مرورگرهای وب ربوده شده، ترافیک ورودی را نیز شناسایی کند. این فرایند با مقایسه امضاها و بررسی ویژگیهای مختلف ترافیک، از جمله آدرسهای IP، تغییرات cookie ,HTTP headers و Javascript footprints انجام میشود.
پس از تشخیص حمله، مرحله بعدی فیلتر کردن است. فیلتر کردن میتواند از طریق تکنولوژیِهای anti-DDoS مثل ردیابی اتصال، لیستهای اعتبار IP، بازرسی deep packet، لیست سیاه / سفید کردن و محدود کردن سرعت انجام شود.
یکی از تکنیکها اینست که با استفاده از فیلترهای "traffic scrubbing" ترافیک شبکه ای را از طریق شبکههایی با ظرفیت بالا به یک شبکه هدف بالقوه منتقل کند.
امروزه DDoS mitigation به صورت دستی دیگر توصیه نمیشود زیرا مهاجمان قادر به دور زدن نرمافزارهایی هستند که برای کاهش این حملات به صورت دستی اجرا میشوند. راههای دیگر برای جلوگیری از حملات DDoS میتوانند بر اساس پیش فرض یا از طریق ارائه دهندگان راه حل cloud-based اجرا شوند. راههایی که بر اساس پیش فرض هستند بهطور معمول بر روی سختافزار دستگاه پیادهسازی میشوند. یک گزینه میانی این است که یک راه حل ترکیبی از فیلترینگ پیش فرض با فیلترینگ cloud-base داشته باشیم مثل Neustar.
بهترین روش برای کاهش حملات DDoS شامل تکنولوژی anti-DDoS و خدمات پاسخ اضطراری anti-DDoS مانند Arbor Networks, Incapsula, Allot, Akamai, CloudFlare یا Radware است. کاهش حملات DDoS از طریق ارائه دهندگان مبتنی بر ابر مانند Verisign و Voxility نیز امکانپذیر است.
روشهای حمله
حملات DDoS علیه وب سایتها و شبکههای قربانیان انتخاب شده اجرا میشوند. تعدادی از فروشندگان، خدمات میزبانی "DDoS resistant" را ارایه میدهند که اکثراً بر اساس تکنیکهای شبیه به شبکههای تحویل محتوا هستند. توزیع از یک نقطه از حملات اجتناب میکند و مانع از حمله DDoS به یک هدف واحد میشود.
یکی از تکنیکهای حملات DDoS استفاده از شبکههای شخص ثالث غلط است که امکان تقویت بستههای جعلیUDP را فراهم میکنند. پیکربندی مناسب تجهیزات شبکه، از تقویت و سوء استفاده جلوگیری میکند، بنابراین تعداد شبکههای رله موجود برای مهاجمان کاهش مییابند.
جستارهای وابسته
منابع
- Gaffan, Marc (20 December 2012). "The 5 Essentials of DDoS Mitigation". Wired.com. Retrieved 25 March 2014.