اخبار داخلی آرمان داده پویان

مقالات

گزارش حملات DDoS در سه ماه سوم و چهارم 2019

حملات DDoS در سه ماه سوم و چهارم ۲۰۱۹

چکیده‌ای از گزارش کسپرسکی

 کمپانی Bulletproof در گزارش امنیتی سالیانه ۲۰۱۹ خود میزان خسارت یک حمله DDoS را برای شرکت‌های تجاری کوچک حدود ۱۲۰٫۰۰۰ دلار و برای شرکت‌ها و سازمان‌های تجاری بزرگ تا حدود دو میلیون دلار تخمین زده است. پس زمانی که از DDoS صحبت می‌کنیم با حملاتی روبرو هستیم که در صورت رخداد می‌تواند هزینه‌های غیر قابل جبرانی چه به لحاظ مادی و چه اعتباری به سازمان شما وارد نماید. آزمایشگاه کسپرسکی با پایش، بررسی و تحلیل انواع حملات DDoS در سراسر دنیا همواره به ارائه راهکارهای جامع برای مقابله با آن‌ پرداخته است. در این راستا محققان این مرکز گزارشی در ارتباط با حملات DDoS در سه ماهه سوم و چهارم سال ۲۰۱۹ ارائه کرده‌اند. ما نیز چکیده‌ای از این گزارش را تهیه کرده و در آن روش‌های استفاده شده در حملات DDoS سال گذشته، کاهش و یا افزایش تعداد حملات و مدت زمان آن‌ها را مطابق بر گزارش کسپرسکی، بررسی کرده‌ایم. چکیده‌ای که می‌تواند شما را در انتخاب راهکار مناسب برای مقابله با DDoS در سال جدید آماده نماید و تا حدودی به شما بگوید  در سال ۲۰۲۰ منتظر چه روندهایی در این حملات می‌توانید باشید تا از این طریق بتوانید ساختار دفاعی سازمان خود را به صورت مناسبی تجهیز نمایید، همچنین در این راستا می‌توانید از مشاوره و خدمات آرمان داده پویان بهره مند شوید.

رخدادهای مهم

یکی از رخدادهای مهم در سه ماهه سوم ۲۰۱۹، استفاده از پروتکل‌های غیر استاندارد در حمللات DDOS بود. مثلا ARMS که  پروتکل مدیریت سرویس از راه دور اپل است، در ژوئن ۲۰۱۹ برای اولین بار در حملات DDOS مورد استفاده مهاجمین قرار گرفت. روند استفاده از این پروتکل‌ها در سه ماهه پایانی سال نیز ادامه داشت، پس می‌توانیم انتظار داشته باشیم این جریان در سه ماهه اول سال میلادی جدید نیز وجود داشته باشد.

در ارتباط با سه ماهه چهارم نیز استفاده از بات نت های نظیر به نظیر را می‌توانیم رخداد مهمی قلمداد کنیم. در ارتباط با بات‌نت‌های peer-to-peer می‌توانیم بگوییم، این بات نت‌ها نیازی به سرور C&C ندارند و از این رو شناسایی آن‌ها سخت‌تر است. یکی از این نوع بات نت‌ها که با سواستفاده از آسیب‌پذیری در Webmi سرورهای لینوکسی را مورد حمله قرار می‌دهد، بات نت Roboto است. دومین بات نت از این دسته Mozi نام دارد که از پروتکل DHT استفاده می‌کند. این بات peer-to-peer از بخشی از کدهای بات نت Gafgyt استفاده می‌کند، بات نتی که فعالیت نسخه جدیدش توسط محققان Palo Alto در اکتبر ۲۰۱۹ شناسایی شد و مسیریاب‌های Huawei HG532، Realtek RTL81XX و Zyxel P660HN-T1A را مورد حمله قرار داده است.

در بین حملات DDOS که در سال گذشته بر ضد موسسات مالی صورت گرفت، کمپینی که در اکتبر ۲۰۱۹ راه اندازی شد نیز جالب بود. در این کمپین مهاجمان از فیشینگ برای باج گیری استفاده کردند و در هرزنامه‌های ارسالی‌شان درخواست باج کرده بودند. باج گیران خود را به عنوان گروه Fancy Bear معرفی کردند که بعدها و با رسانه‌ای شدن خبر نام خود را به Cozy Bear تغییر دادند. این گروه به قربانیان خود هشدار داده بودند که در صورت عدم پرداخت باج سیستم‌هایشان را از کار می‌اندازند.

روش‌های رایج در حملات DDoS در سال گذشته

روش‌هایی که مهاجمان در سال گذشته در حملات DDoS استفاده کرده‌اند در نمودار زیر مشخص شده است. همانطور که در این نمودار می‌بینید SYN flooding رایج ترین روش برای راه اندازی حملات DDoS در سه ماهه پایانی سال ۲۰۱۹ بوده است، اما TCP نیز با پشت سر گذاشتن HTTP flooding به رتبه دوم دست یافته است. در ادامه به بررسی روند رو به رشد حملات مبتنی بر TCP می‌اندازیم.

بنابر گزارش کسپرسکی، در سال گذشته حملات مبتنی بر TCP بر ضد شرکت‌های مخابراتی، بنگاه‌های اقتصادی و سایت‌های شرط بندی اروپایی انجام شده است. این حملات حتی آمازون و یکی دیگر از شرکت‌های زیر مجموعه IBM را هم تحت تاثیر قرار داد. مهاجمین برای راه اندازی DDoS بر عیله این شرکت‌ها از روش‌های reflection بر مبنای TCP استفاده کرده بودند و همانطور که در قسمت قبل اشاره کردیم این حملات در رده دوم در جدول روش‌های مورد استفاده مهاجمان در حملات DDoS در سال ۲۰۱۹ قرار گرفت.

اگر کمی راجع به حملات  reflection attacks بخواهیم توضیح دهیم، باید بگوییم این حملات با داشتن سابقه‌ای بیست ساله، جز روش‌های نوین در راه اندازی DDOS به حساب نمی‌آیند. همچنین با فرضیه اشتباهی که در طول سالیان گذشته نسبت به حملات مبتنی بر TCP وجود داشته، همواره ترجیح مهاجمان به استفاده از روش‌های مبتنی بر UDP در راه اندازی DDOS است. دلیل آن‌ها هم اشغال پهنای باند بیشترتوسط روش‌های مبتنی بر UDP است. اما در دو سال گذشته با جریان متفاوتی روبرو شدیم، افزایش حملات DDOS با استفاده از روش  TCP reflection! در این حملات اکثرا از reflection TCP SYN-ACK استفاده شده است. مهاجم یک  بسته جعلی SYN ارسال می‌کند که در آن آدرس IP قربانی مورد نظرش به عنوان آدرس فرستنده درج شده است. این بسته به سمت یک مجموعه تصادفی و یا از پیش انتخاب شده ارسال می‌شود، این مقاصد در جواب بسته SYN-Ack را به سمت قربانی ارسال می‌نمایند و در مجموع قربانی با یک حجم زیادی از بسته‌های SYN-ACK روبرو شده و حاصل آن یک حمله DDOS موفقیت آمیز خواهد بود. برای جلوگیری از این حملات اولین راه کار می‌تواند اضافه کردن آدرس IP مهاجمان به فهرست سیاه باشد، اما مشکل اینجاست که در اکثر این حملات مهاجم با روشی که پیش‌تر توضیح دادیم با آدرس‌های IP مجاز حمله خود را انجام می‌دهد. پیش بینی محققان نیز ادامه روند افزایش حملات reflection مبتنی بر TCP در سال ۲۰۲۰ می‌باشد.

مقایسه حملات DDoS در سال ۲۰۱۸ و ۲۰۱۹

طبق گزارشات آزمایشگاه کسپرسکی، در سه ماهه پایانی سال ۲۰۱۹ با افزایش حملات DDOS نسبت به دوره‌های قبلی روبرو بوده‌ایم. این افزایش هم در تعداد حملات و هم در مدت زمان آن‌ها مشاهده شده است. البته در سه ماه پایانی سال به دلیل رقابتی که در بازارهای آنلاین به وجود می‌آید این افزایش چندان عجیب به نظر نمی‌رشد.

حال بیایید حملات DDOS سه ماهه پایانی ۲۰۱۹ را با سه ماهه پایانی ۲۰۱۸ مقایسه کنیم. نتیجه این مقایسه افزایش دو برابری تعداد حملات در سه ماهه پایانی ۲۰۱۹ می‌باشد و از این رو می‌توان پایان سال ۲۰۱۸ را دوره‌ای آرام دانست. در شکل زیر مقایسه‌ای بین سه ماهه سوم و چهارم ۲۰۱۹ و سه ماهه پایانی ۲۰۱۸ صورت گرفته است.

محققان کسپرسکی در پایان سال ۲۰۱۸، افزایش حملات DDOS در سال ۲۰۱۹ را پیش بینی کرده بودند، البته در پیش بینی آن‌ها نرخ افزایش حملات به شدتی که در واقعیت رخ داد نبود. در ارتباط با این حملات تمامی شاخص‌ها در سال ۲۰۱۹ نسبت به سال ۲۰۱۸ رشد داشتند، شاخص‌هایی مانند متوسط زمان حملات، تعداد حملات و حداکثر مدت زمان حملات. همچنین در سه ماهه سوم ۲۰۱۹ شاهد حملاتی بودیم که به طرزی غیر عادی زمان زیادی به طول انجامیده بودند. حتی در مقایسه‎ای که کسپرسکی در ارتباط با حملات DDOS 2019 و ۲۰۱۸ انجام داد، این حملات طولانی مدت در نظر گرفته نشدند تا نتیجه را تحت تاثیر قرار ندهند.

ما از افزایش تعداد و طول مدت زمان حملات DDOS در سال ۲۰۱۹ و به خصوص سه ماهه پایانی آن صحبت کردیم، آیا باید انتظار این روند را در ۲۰۲۰ نیز داشته باشیم؟ محققان کسپرسکی معتقد هستند با اینکه در سال گذشته ما بافزایش این حملات روبرو بوده‌ایم اما در حیطه DDOS اتفاق خاصی نیفتاده است. به طور مثال بسته شدن سایت‌های حرفه‌ای در این خصوص که حملات DDOS را به عنوان سرویس ارائه می‌دهند و یا رونق گرفتن بازار ارز دیجیتال، کشف آسیب‌پذیری‌های جدی و یا مواردی از این دست که می‌تواند موجب یک جهش اساسی در میزان حملات DDOS باشد، اتفاق نیفتاده است و پیش بینی کسپرسکی کاهش کوچکی در این حملات در سه ماهه اول ۲۰۲۰ است. اما در کل در سال ۲۰۲۰ نه تنها کاهش بلکه افزایش حملات DDOS را نسبت به ۲۰۱۹ می‌توان پیش بینی کرد، سالی که در آن شاهد یک جهش بزرگ در تعداد و مدت زمان این حملات بوده‌ایم.

مقابله با این حملات

اگر تا به حال هدف حملات DDoS قرار گرفته باشید می‌دانید این حملات هزینه‌های سنگین مالی و آبرویی برای سازمان شما خواهد داشت. اگر هم تا به الان تحت تاثیر این حملات قرار نگرفته‌اید می‌توانید با استفاده از راهکارهای امنیتی برای مقابله با این حملات آماده باشید.

کسپرسکی برای شناسایی و مقابله با حملات DDOS راهکاری جامع با نام Kaspersky DDos Protection را دارد. یکی از اجزای مهم این راهکار DDoS Intelligence System می‌باشد که دستوراتی که از طریق بات‌نت‌ها از سرورهای C&C دریافت می‌نماید را بازرسی و تحلیل می‌نماید. Kaspersky DDoS protection یک راهکار proactive (فعال) است نه reactive، یعنی منتظر آلوده شدن یک کاربر و اجرای شدن دستورات مهاجمان نمی‌ماند تا کارش را آغاز کند، بلکه اقدامات لازم را قبل از آلوده شدن کاربران و یا اجرای دستورات مهاجمان انجام می‌دهد. راهکار Kaspersky DDoS Protection تنها محدود به شناسایی و تحلیل فعالیت بات‌نت‌ها نمی‌شود، زیرا بات‌ نت‌ها تنها جزئی از حملات DDoS هستند نه تمام آن!

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران

برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 173


تازه ترین ها