بخش اول گزارش Verisign در خصوص حملات (DDOS)
همه سازمان ها در خطر حملات DDoS هستند
حملات DDoS محدود به یک صنعت و یا حرفه خاص نیست
برخی اطلاعات در مورد مقابله با حملات DDoS از جانب مشتریان صنایع مختلف در سه ماهه دوم سال 2016:
| صنایع خدمات IT، ابری ونرمافزارهای اجارهای | صنعت مالی | بخش عمومی | تجارت الکترونیک و تبلیغات آنلاین | رسانه ها و سرگرمی / مطالب | صنعت مخابرات و سایر |
| 45 درصد | 23 درصد | 14 درصد | 11 درصد – که در سه ماهه اول 4 درصد بود | 5 درصد | 20 درصد |
| میانگین حجم حمله:
17.2 گیگابیت در ثانیه |
میانگین حجم حمله: 29.1 گیگابیت در ثانیه |
میانگین حجم حمله: 3.54 گیگابیت در ثانیه |
میانگین حجم حمله: 5.5 گیگابیت در ثانیه |
میانگین حجم حمله: 67.8 گیگابیت در ثانیه |
میانگین حجم حمله: 9.7 گیگابیت در ثانیه |
صنعت رسانه و تولید سرگرمی و صنایع مالی همچنان برخی از بزرگترین میانگین اندازه حمله در سه ماهه دوم سال 2016 را تجربه می کنند.
متوسط حجم حملات به صنعت رسانه و سرگرمی 67.8 گیگابیت در ثانیه و 29.1 گیگابیت در ثانیه برای صنعت مالی بوده است.
نمودار حداکثر حجم حملات درصنایع مختلف (در هر سه ماه)
تصویر شماره پنج: این تصویر نمودار حداکثر حجم حملات درصنایع مختلف (در هر سه ماه) را نمایش می دهد.
خصوصیات
دفاع در مقابل حملات DDoS لایه 7
حملات لایه 7 از سخت ترین نوع حملات از نظر کاهش و خنثی کردن هستند. به این علت که این دسته از حملات رفتار معمولی کاربران را تقلید می کنند، شناسایی آنها سخت تر است. لایه برنامه (در مدل ارتباطی سیستم های باز) روی پروتکل هایی که بر ارتباط فرآیند به فرآیند از طریق شبکه IP تمرکز دارند تاکید می کند. و این تنها لایه ای است که به طور مستقیم با کاربر ارتباط دارد. یک حمله پیچیده لایه 7 ممکن است نواحی خاصی از یک وب سایت را هدف قرار دهد که این موضوع حتی جداسازی آن را نسبت به ترافیک معمولی سخت تر می کند. برای مثال یک حمله DDoS بر ر وی لایه ۷ ممکن است یک عنصر از وب سایت ( مثلا لوگو شرکت یا گرافیک صفحه) را هدف قرار دهد و با هدف خسته کردن سرور، در هر بار دانلود از منابع سرور استفاده کند. علاوه بر این، برخی حمله کنندگان ممکن است از حملات DDoS لایه ۷ به عنوان یک روش انحرافی برای سرقت اطلاعات استفاده کنند.
یک رویکرد چند برداری
روش هایی که اخیرا توسط Verisign به منظور دفع حملات انجام می شود حاکی از اینست که حملات DDoS به سمت پیچیده تر شدن و مشکل تر شدن به خصوص در لایه کاربردی پیش می روند. Versign به این نتیجه رسید که حملات لایه 7 به طور منظم با لایه 3 و حملات سیل آسای DDoS لایه 4 ترکیب شده است. در حقیقت، 35 درصد از حملات DDoS ای که در سه ماهه دوم 2016 خنثی شده است ترکیبی از سه یا بیشتر از سه نوع حمله بوده است.
در حمله DDoS اخیری که توسط Verisign خنثی شد، مهاجمان با حملات بازتابی NTP و SSDP شروع کردند که سیل های حجیمی از ترافیک UDP با اوج بیش از 50 گیگابیت در ثانیه تولید می کند و بیش از 5 میلیون بسته درثانیه برای مصرف پهنای باند سازمان مورد نظر طراحی شده است. تجزیه و تحلیل Verisign نشان می دهد که این حمله از یک بات نت که به خوبی در بیش از 30،000 ربات از سراسر جهان توزیع شده است با بیش از نیمی از منشاء ترافیک حمله در ایالات متحده راه اندازی شد.
هنگامی که مهاجمان دریافتند، حمله حجمی خنثی شده است، حملات HTTPS/HTTP خود را به لایه 7 توسعه دادند. مهاجمان با امید به ازکار انداختن سرور، سازمان هدف را در تعداد زیادی از درخواست های HTTPS GET/POST که از روش های زیر استفاده می کردند غرق کردند:
*سیل های HTTP پایه: درخواست های URL که از نسخه های قدیمی HTTP استفاده کرده اند دیگر توسط مرورگر ها و پروکسی های اخیر استفاده نمی شوند.
*سیل های وردپرس: حملاتpingback وردپرس، جاییکه درخواست ها تمامی کش را با قراردادن یک عدد تصادفی در URL کنار می گذارد تا ظاهری یکتا به هر درخواست ببخشند. ( پینگ بک یکی از چهار نوع روشی است که نویسندگان وب سایت را زمانی که کسی برای باز کردن یکی از اسناد از سایت بازدید می کند مطلع می سازد)
*سیل های HTTP تصادفی: درخواست هایی برای URL های تصادفی که اصلا وجود ندارند – به عنوان مثال، اگر example.com یک آدرس معتبر است، مهاجمان برای سوء استفاده صفحاتی با آدرس این چنینی درخواست می کنند www.example.com/loc id=12345,
درسهایی که آموختیم
هنر مقابله با حملات DDoS لایه 7 بر توانایی تشخیص ترافیک تولید شده توسط انسان نسبت به ترافیکی که توسط ربات تولید می گردد، استوار است، که آن را نسبت به دفاع در برابر حملات حجمی مشکل تر می کند. درحالیکه حملات لایه 7 به رشد پیچیدگی خود حتی با تغییر الگوها و امضاها حمله، ادامه می دهند، سازمان ها و مبارزه کنندگان در مقابل حملات DDoS به یک استراتژی مقابله پویا در محل نیاز خواهند داشت. قابلیت مشاهده لایه 7 همراه با نظارت فعال و سیستم هشدار پیشرفته، برای دفاع موثر در مقابل تهدیدات افزایشی لایه 7 بسیار اساسی و مهم هستند.
هنگامیکه سازمان ها استراتژیهای حفاظتی خود را در مقابل حملات DDoS توسعه می دهند، بسیاری ممکن است تنها بر راه حل هایی که می تواند حملات بزرگ لایه شبکه را تحمل کند تمرکز کنند. با این حال، آنها نیز باید درنظر داشته باشند که آیا این راه حل می تواند حملات لایه 7 را شناسایی و با آن مقابله کند یا خیر! راه حلی که به پهنای باند کمتر و بسته کمتری برای رسیدن به همان هدف نسبت به پایین آوردن یک سایت نیاز داشته باشد.
