ماهي هجمات حجب الخدمة DDoS وكيفية الحماية منها (دليل شامل)

هجمات حجب او رفض الخدمة (DDoS) هي السلاح السيبراني المفضل للجهات الفاعلة في التهديد التي ترعاها الدولة ومهاجمي البرامج النصية اللذين يعملون بشكل حر معاً. بغض النظر عمن يستخدمها ، يمكن أن تكون هجمات رفض الخدمة معطلة ومضرة بشكل خاص للمنظمات المستهدفة من قبل مجرمي الإنترنت. منذ عام 2018 ، ازداد تواتر وقوة هجمات حجب الخدمة DDoS ، مما يجعلها أكثر خطورة على المؤسسات .

في هذه المقالة نقدم لكم دليل شامل عن هجمات حجب الخدمة نظراً لأهمية هذا الموضوع.

ما هو هجوم حجب الخدمة DDoS ؟

هجوم حجب والحرمان من (DDoS) الخدمة هو استراتيجية الهجوم الذي تحاول فيه البرمجيات الخبيثة من منع الآخرين من الوصول إلى خادم الويب ، تطبيقات الويب ، أو خدمة سحابية مع طلبات الخدمة . في حين أن هجوم DDoS هو في الأساس مصدر واحد ، فإن هجوم حجب الخدمة الموزع (DDoS) يستخدم عدداً كبيراً من الأجهزة على شبكات مختلفة لتعطيل مزود خدمة معين ؛ هذا أكثر صعوبة في التخفيف ، حيث يتم شن الهجوم من مصادر متعددة . 

بعد هجوم DDoS قوي على تطبيق المراسلة الآمنة تيليجرام Telegram الشهير ، وصفت الشركة هجمات DDoS بأنها حالة “تحصل فيها خوادمك على GADZILLIONS من الطلبات الخبيثة التي تمنعها من معالجة الطلبات المشروعة. تخيل أن جيشاً من الفئران فقط تخطى قائمة الانتظار في ماكدونالدز أمامك – ويطلب كل منهم طلباً ضخماً. الخادم مشغول بإخبار الفئران الهائلة أنهم أتوا إلى المكان الخطأ – ولكن هناك الكثير منهم لدرجة أن الخادم لا يستطيع حتى رؤيتك لتجربته وتسليمك طلبك .

عادةً ما تستهدف هجمات DDoS البنية التحتية للشبكة ، بهدف إسقاط مكدس الشبكة بالكامل. في المقابل ، تستهدف هجمات طبقة التطبيقات وظائف محددة لموقع ويب معين ، بهدف تعطيل ميزة معينة عن طريق توسيع العملية بأعداد كبيرة من الطلبات . 

تشمل الأنواع الأخرى من هجمات DDoS هجمات السنافر ، والتي تستخدم عدداً كبيراً من حزم بروتوكول رسائل التحكم في الإنترنت (ICMP) مع عنوان IP الخاص بالضحية الذي تم انتحاله لتظهر على أنها الأصل . 

بشكل عام ، يمكن تصنيف هجمات DDoS على أنها هجمات فيضانات ، والتي تهدف إلى زيادة التحميل على الأنظمة ، أو هجمات الأعطال ، التي تحاول تعطيل تطبيق أو نظام بالكامل .

ما مدى سهولة وإتلاف هجمات حجب الخدمةDDoS ؟

لا يتطلب تنفيذ هجوم DDoS مهارة معينة. قال ماثيو برنس ، الرئيس التنفيذي والمؤسس المشارك لشركة كلاود فلير Cloudflare ، في عام 2015 ، بعد هجوم على Protonmail: “هجوم DDoS ليس هجوماً معقداً” . “إنه توصيف بسيط لرجل الكهف مع مطرقة . لكن رجل الكهف الذي لديه مطرقة يمكن أن يتسبب في الكثير من الضرر.” 

في حين أنه من الآمن نسبياً افتراض أن هجمات DDoS عالية القدرة هي من عمل المحترفين ، إلا أنها هجمات يمكن حتى لأطفالك العاديين مع البرامج النصية إطلاقها بنجاح كبير. أدت صناعة هجمات DDoS أيضاً إلى ظهور ” رفض الخدمة كخدمة ” ، والمعروف أيضاً باسم خدمات “booter” أو “المجهد” التي تتيح للمستخدمين إجراء هجوم DDoS على أي هدف تعسفي مقابل الدفع في نوع من الابتزاز لصاحب الخدمة او الموقع من قبل المخترقين .

نظراً للسهولة التي يمكن بها إطلاق هجمات DDoS ، يمكن لأي شخص استخدامها – بداية من المتسللين المدعومين من الدولة إلى المراهقين الذين لديهم ضغينة ضد شخص ما .

بالنسبة للشركات ، فإن الأضرار المحتملة الناجمة عن انقطاع التيار الكهربائي واسعة النطاق. سواء كان ذلك من خلال المبيعات المفقودة ، أو الضربة القاضية بالسمعة لتجربة التوقف ، أو التكاليف المتعلقة بالكميات الزائدة من حركة مرور الشبكة ، فإن المشكلات المحتملة التي تنجم عن هجمات DDoS كبيرة للغاية بحيث لا يمكن تجاهلها. تؤدي هذه المخاطر إلى الحاجة إلى اتخاذ تدابير استباقية للتخفيف قبل شن الهجوم من هذا النوع .

ما هي أكبر هجمات DDoS التي تمت ملاحظتها ؟

بشكل أساسي ، تؤثر هجمات حجب الخدمة على المضيف المتصل بالإنترنت الذي يستهدفه المهاجم. في الممارسة العملية ، يؤثر هذا على الأعمال التي يستهدفها المهاجمون ، وكذلك مستخدمي الخدمة التي تقدمها الشركة. يمكن استهداف أي مؤسسة بهجوم حجب الخدمة – نظراً لفعاليتها والسهولة النسبية التي يمكن استخدامها بها ، يتم نشرها غالباً ضد المنظمات الأصغر بشكل كبير .

في فبراير 2018 ، لوحظ عدد من هجمات DDoS التي تستخدم ثغرة أمنية في بروتوكول memcached ، مما أدى إلى الاستفادة من العيوب في بروتوكول مخطط بيانات المستخدم (UDP). لاحظت التقارير الأولية من مزود خدمة CDN Cloudflare مقدار 260 جيجابت في الثانية من حركة المرور الواردة الناتجة عن هجمات DDoS التي تعمل بنظام الذاكرة المؤقتة . بعد يوم واحد ، ضربت الهجمات الموقع الشهير التي تدعمها memcached GitHub بسرعات قصوى تبلغ 1.35 تيرا بايت في الثانية . في مارس 2018 ، أكدت Arbor Networks التابعة لـ NETSCOUT حدوث هجوم DDoS بحجم 1.7 تيرا بايت في الثانية ضد أحد عملائها . 

إن هجمات DDoS لعام 2018 التي سجلت الأرقام القياسية تتضاءل مقارنة بأحدث هجوم DDoS جماعي الذي ضرب AWS من Amazon في فبراير 2020 ، والذي تجاوز 2.3 تيرا بايت في الثانية. تمكنت أمازون من التخفيف من حدة الهجوم باستخدام برنامج حماية Amazon Shield DDoS .

يتم بدء هذه الهجمات عن طريق خادم ينتحل عنوان IP الخاص به – ويحدد عنوان الهدف كعنوان أصلي – ويرسل حزمة طلب من 15 بايت. يتم الرد على حزمة الطلب هذه بواسطة خادم memcached ضعيف باستجابات تتراوح من 134 كيلو بايت إلى 750 كيلو بايت. التباين في الحجم بين الطلب والاستجابة – أكبر بنحو 51.200 مرة – هو ما يجعل هجمات التضخيم فعالة للغاية. عندما تم اكتشاف الثغرة الأمنية المخبأة ، تم العثور على 88000 خادم غير محمي يمكن إطلاق الهجمات من خلالها على اتصال بالإنترنت .

الأهم من ذلك ، لوحظ هجوم 260 جيجابت في الثانية على كلاود فلير Cloudflare بحد أقصى 23 مليون حزمة في الثانية ؛ بسبب خصائص التضخيم ، كانت هناك حاجة إلى عدد قليل نسبياً من الحزم لتنفيذ الهجوم ، ولكن بنطاق ترددي مرتفع نسبياً. في عام 2019 ، لاحظت Imperva هجوم DDoS تجاوز 500 مليون حزمة في الثانية – أربعة أضعاف هجوم GitHub – مما زاد الضغط بشكل كبير على أنظمة التخفيف ، حيث تقوم هذه الأنظمة عادةً بفحص رؤوس كل حزمة ، على الرغم من أنها لا تفحص الحمولة الكاملة .

تستخدم العديد من هجمات DDoS شبكات الروبوت الخاصة بالأجهزة المعرضة للخطر ، وخاصة أجهزة إنترنت الأشياء (IoT). تم استخدام روبوت Mirai للتأثير على أجهزة التوجيه (الراوترات) وأجهزة إنترنت الأشياء ، وتم استخدامه لمهاجمة مزود DNS المُدار Dyn ، مما تسبب في حدوث انقطاعات تؤثر على ما يقرب من ربع الإنترنت. وبالمثل ، تم استخدام روبوت ميراي في هجوم أدى إلى تعطيل خدمات الإنترنت في جميع أنحاء ليبيريا .

تشهد هجمات DDoS تجدداً ، حيث زادت الهجمات بنسبة 94٪ في الربع الأول من عام 2019 ، وفقاً لتقرير Kaspersky Lab. وبالمثل ، فإن الهجمات التي تزيد عن 100 جيجابت في الثانية بنسبة 967٪ في الربع الأول من عام 2019 مقارنة بالربع الأول من عام 2018 ، وفقاً لتقرير Neustar .

في تقرير صدر في يناير 2021 ، أفاد Akamai أن عام 2020 كان أكبر عام على الإطلاق لهجمات DDoS ، مع تسجيل سجلات خلال العام تجاوزت المستويات المرتفعة التي سجلتها في عام 2016. وشهدت خدمات الأعمال زيادة بنسبة 960٪ في هجمات DDoS في عام 2020 ، و كما تضررت الصناعات الأخرى بشدة : ارتفعت هجمات DDoS ضد التجزئة والسلع الاستهلاكية بنسبة 445٪ ، وشهدت الخدمات المالية ارتفاعاً بنسبة 190٪ ، وتعرضت البرمجيات والخدمات التقنية للهجوم بنسبة 196٪ أكثر في عام 2020 ، من بين أمور أخرى . 

قال Akamai إن عام 2020 شهد ارتفاعاً كبيراً جزئياً لأن قيود كوفيد COVID-19 زادت الاعتماد على الأدوات الرقمية ، وتوقع أن 2021 وما بعده سيشهد اتجاهاً تصاعدياً مستمراً في عدد وشدة هجمات DDoS .

في عام 2020 أيضاً ، ظهر اتجاه لتهديد الشركات بهجمات DDoS إذا لم يتم دفع فدية ، حيث يزعم طالبو الفدية أنهم من مجموعات قرصنة معروفة مثل Fancy Bear و Lazarus Group و Armada Collective. بدأت الفدية بـ 20 بيتكوين وارتفعت بمقدار 10 بيتكوين كل يوم لم يتم دفع الفدية. أبلغت كل شركة مستهدفة عن تعرضها لهجوم DDoS ، مما يشير إلى أن المهاجمين جادون. هددت الهجمات بأن تزيد عن 2 تيرا بايت في الثانية ، لكن الهجمات الفعلية المبلغ عنها كانت فقط في نطاق 300 جيجابت في الثانية ، والتي لا تزال مدمرة .

كيف يمكنني الحماية من هجوم حجب الخدمة DDoS ؟

هناك طرق للتخفيف من آثار هجمات DDoS ، والسماح للأنظمة المستهدفة بمواصلة العمل بشكل طبيعي للمستخدمين ، بشفافية ، كما لو لم يحدث هجوم .

تتمثل الخطوة الأولى في فصل المستخدمين الحقيقيين عن حركة المرور التي يتم إنشاؤها برمجياً والمستخدمة في هجمات DDoS. يمكن القيام بذلك باستخدام تصفية عنوان IP ، والتحقق من حالات ملفات تعريف الارتباط / الجلسة ، وبصمات المتصفح ، من بين طرق أخرى .

تتضمن استراتيجيات تصفية حركة المرور تتبع الاتصال ، أو الحد من المعدل ، أو القائمة السوداء أو القائمة البيضاء لحركة المرور. يمكن للمهاجمين المتقدمين التغلب على التخفيف اليدوي لـ DDoS من خلال نشر الهجمات على مراحل ، وإعادة شن الهجوم من مجموعة مختلفة من الأجهزة عند رفض الاتصالات من الأنظمة المستخدمة في مرحلة الهجوم الأولى .

يتوفر تخفيف DDoS المستند إلى السحابة من خلال مقدمي الخدمات بما في ذلك AWS و Cloudflare و Imperva و Akamai و Radware و Coreo و Arbor Networks. تتضمن إحدى الطرق التي يستخدمها هؤلاء البائعون تتبع عناوين IP عبر مواقع الويب المحمية بواسطة خدمة معينة للتمييز بين المستخدمين الحقيقيين وحركة المرور التي تم إنشاؤها .

كيف يمكنني تجنب أن أشارك في هجوم حجب الخدمة الموزع ؟

قد لا تكون الشركات الصغيرة والمتوسطة والشبكات المنزلية هدفاً لهجمات DDoS بشكل متكرر ، ولكن هناك احتمال واضح أن يؤدي ضعف أمان الشبكة إلى تحويل أجهزة التوجيه (الراوترات) وأجهزة الكمبيوتر وأجهزة إنترنت الأشياء بدون قصد إلى عُقد الروبوتات المستخدمة لشن هجمات DDoS على أهداف على مستوى المؤسسات دون ان تعلم ذلك .

تم استخدام برنامج  VPNFilter الخبيث ، على سبيل المثال ، لإصابة 500000 جهاز توجيه راوتر عالمياً ، بما في ذلك الأجهزة التي تم تصنيعها بواسطة ASUS و D-Link و Huawei و Linksys و MikroTik و Netgear و TP-Link و Ubiquiti و UPVEL و ZTE ، بالإضافة إلى الاتصال بالشبكة أجهزة التخزين (NAS) بواسطة QNAP. أشارت التقارير الأولية إلى أن إعادة تشغيل الراوتر كانت كافية لإزالة العدوى ، ولكن وجدت المزيد من التحديثات أن ذلك غير كافٍ ، وأوصت المستخدمين بإعادة تحميل البرامج الثابتة أيضاً .  

“أحد أسرع المصادر نمواً لهجمات حجب الخدمة DDoS حالياً ، هو أجهزة إنترنت الأشياء المخترقة التي يتم تجنيدها في شبكات الروبوت الضخمة. تحتاج المؤسسات التي تستخدم هذه الأجهزة إلى تبني أفضل الممارسات في تحديث البرامج إلى أحدث الإصدارات وضمان نظافة كلمات المرور الجيدة ، حيث يتم شحن العديد من الأجهزة مع الإعدادات الافتراضية الشائعة ، “شون نيومان ، مدير إدارة المنتجات في Coreo ، قال “الهدف الشائع الآخر هو استخدام البنية التحتية لنظام DNS لتضخيم هجمات DDoS. يجب أن تضمن أي منظمة لديها خوادم DNS الخاصة بها أفضل الممارسات حول المراقبة والأمن ، لتجنب إساءة استخدامها لمهاجمة الآخرين .”