به آکادمی آتی نگر خوش آمدید

تیر ۱۵, ۱۳۹۶ | دیدگاه‌ها: بدون دیدگاه
به این مقاله امتیاز بدهید

 

بسیاری از کارشناسان حوزه امنیت آرزو می‌کنند در مدت زمان حضور در یک سازمان هیچ‌گاه با واژه DDoS روبه‌رو نشوند. این واژه که ترجمه فارسی آن «حمله منع سرویس انکار شده» است، مشابه سیلابی است که به‌سمت یک خانه روانه می‌شود. به همان شکلی که یک سیلاب همه چیز را نابود می‌کند، یک حمله منع سرویس انکار شده نیز ناخواسته به‌سراغ زیرساخت‌ها و شبکه اطلاعاتی یک سازمان می‌آید و عملکرد یک سازمان کوچک یا بزرگ را مختل می‌کند.

با وجود آنکه روزانه اخبار زیادی در ارتباط با این مدل حملات می‌شنویم، اما متأسفانه هنوز هم هستند شرکت‌هایی که در برابر این مدل حملات هیچ‌ تمهیداتی اتخاذ نکرده‌اند. زمانی که این حملات شناسایی شده گزارش و درنهایت راهکارهای امنیتی برای مقابله با آن‌ها پیشنهاد می‌شود، در اغلب موارد کار از کار گذشته است. بر همین اساس، کارشناسان امنیتی پیشنهاد کرده‌اند برای مقابله با چنین تهدیداتی سازمان‌ها باید از ابزارهای کشف و شناسایی این مدل حملات استفاده کنند. ابزارهایی که به‌صورت بی‌درنگ این توانایی را دارند تا هرگونه فعالیت مشکوکی در این زمینه را شناسایی کنند و به‌سرعت گزارش دهند.

زمانی که زیرساخت‌ها و شبکه ارتباطی سازمانی تحت تأثیر حمله منع سرویس انکار شده قرار می‌گیرند، هر یک ثانیه حکم طلا را دارد. گزارش‌های منتشر شده در این زمینه نشان می‌دهند در بعضی موارد کارشناسان دپارتمان‌های امنیت و شبکه یک سازمان در زمان بروز یک حمله به اشتباه تصور می‌کنند سرورها یا نرم‌افزارهایی که از آن‌ها استفاده می‌کنند دچار مشکل شده است. بدتر آنکه زمانی که این مدل حملات شناسایی شدند باز هم ممکن است زمان بیشتری برای پاسخ‌گویی و دفع این حملات هدر برود. حملات حجمی (Volumetric Attacks) با وجود آنکه پتانسیل بالایی در تخریب دارند، اما در اغلب موارد با تأخیر زیادی کشف می‌شوند. حملات لایه کاربردی به‌سختی کشف می‌شوند، به‌واسطه آنکه در حجم کمی به مرحله اجرا درآمده و این توانایی را دارند از مکانیسم‌های تشخیص و شناسایی فرار کنند. در چنین شرایطی اگر اقدامات دفاعی در زمان مناسب اجرا نشوند، ممکن است کنترل امور از دست سازمان خارج شده و خسارت‌های زیادی به بار آید. در مدت زمان پیاده‌سازی یک حمله حجمی، جدول وضعیت دیوار آتش (Firewall State Table) انباشته می‌شود و ممکن است به راه‌اندازی مجدد نیاز داشته باشد. در موارد بحرانی‌تر ممکن است سامانه کامل قفل شود و حتی کاربران قانونی نیز قادر نباشند از سرویس‌ها استفاده کنند.

چگونه می‌توانیم چنین حملاتی را شناسایی و مکانیسم‌های دفاعی را مستقر کنیم؟          

تیم‌های امنیتی برای آنکه فعالیت‌های درون‌شبکه‌ای را به‌شکل دقیقی مورد نظارت قرار دهند، از راهکارهای متنوعی می‌توانند استفاده کنند. یکی از بهترین و شناخته شده‌ترین این راهکارها نمونه‌گیری جریان (Flow Sampling) ترافیک شبکه است. همه مسیریاب‌ها از فناوری فوق تحت نام‌هایی همچون NetFlow، IPFIX یا sFlow پشتیبانی می‌کنند. در روش فوق، مسیریاب از بسته‌های ترافیک شبکه نمونه‌گیری و در ادامه دیتاگرامی را آماده می‌کند. این دیتاگرام مشتمل بر اطلاعاتی درباره بسته‌ها است. از مزایای فناوری فوق می‌توان به در دسترس بودن، سادگی، گسترش‌پذیری بالا و همچنین مشاهده روند ترافیک شبکه اشاره کرد. اما به این نکته توجه داشته باشید که برای بررسی عمیق امنیت یک شبکه نمی‌توانید تنها به نمونه‌های ارائه شده از سوی این فناوری بسنده کنید. به‌دلیل اینکه ممکن است حجم بالایی از اطلاعات را از دست بدهید. در این روش تنها یک بسته از هزاران بسته را ممکن است دریافت کنید و در نتیجه کل ترافیک شبکه از دید شما پنهان خواهد ماند.
راهکار دیگری که در اختیار شما قرار دارد، یک ابزار تحلیل جریان داده‌ها است. یک ابزار تحلیل جریان داده‌ها باید این توانایی را داشته باشد تا الگوی رفتاری داده‌ها را در یک بازه زمانی بلندمدت مورد بررسی قرار داده تا به‌درستی موارد مشکوک و غیرعادی را شناسایی کرده و هشدارهای مثبت کاذب را تولید نکند. بسیاری از سازمان‌ها برای ممانعت از بروز حملات DDoS از ابزارها یا دستگاه‌های تحلیل‌گر جریان داده‌ها استفاده می‌کنند. زمانی که این دستگاه‌ها موفق شدند رفتارهای مشکوک یک هکر را شناسایی کنند، ترافیک سامانه قربانی را به‌سمت دستگاهی موسوم به دستگاه خنثی‌‌ساز هدایت کرده و در ادامه فرمان‌های بعدی برای رویارویی با حمله را به مرحله اجرا درمی‌آورند. این تکنیک به‌منظور جمع‌آوری ترافیک شبکه، تحلیل و ارائه یک مدل واکنشی در زمان رویارویی با هرگونه ترافیک مشکوک و غیرمتعارفی و هدایت ترافیک به مسیر از پیش تعیین شده مناسب خواهد بود. در نتیجه امکان بهره‌مندی از حداکثر پهنای باند امکان‌پذیر خواهد بود. اما به‌کارگیری این تکنیک برای کسب و کارها با یک ریسک بزرگ همراه است، زیرا ممکن است زمان متوسط برای خنثی‌سازی یک حمله را به چند دقیقه افزایش دهند.
اما برای شناسایی دقیق و خنثی‌سازی این گونه تهدیدات در کمترین زمان ممکن راهکار قدرتمند دیگری نیز در اختیار سازمان‌ها قرار دارد. سازمان‌ها می‌توانند از دستگاه‌های خنثی‌ساز حمله منع سرویس انکار شده که عملکرد بالایی دارند داخل مسیرهای ترافیک داده شبکه استفاده کنند. این دستگاه‌ها قادر هستند به‌صورت بی‌درنگ یک حمله منع سرویس را شناسایی و آن را خنثی کنند. استقرار درون‌شبکه‌ای این قابلیت را در اختیار یک سازمان قرار می‌دهد تا تمام ترافیک واردشونده (نامتقارن) و همچنین ترافیک خروجی (متقارن) را به‌طور مستمر و دائم مورد پردازش قرار دهد. این حرف به‌معنای آن است که دستگاه‌های فوق در زمان رویارویی با هرگونه فعالیت مشکوکی قادرند یک واکنش بی‌درنگ را در کمتر از یک ثانیه از خود نشان دهند. همچنین، به این نکته توجه داشته باشید که راهکار فوق گسترش‌پذیر بوده و قادر است در حمله چندبرداری نیز با عملکرد بالایی از یک شبکه دفاع کند. سازمان‌ها همچنین می‌توانند از تکنیک آینه بسته‌های داده‌ای (Mirrored Data Packets) که جزئیات کاملی را به‌منظور تحلیل ترافیک در اختیار کارشناسان قرار می‌دهد استفاده کنند. این تکنیک نیز به‌خوبی قادر است هرگونه ناهنجاری در ترافیک شبکه را که ممکن است از نقاط ورودی شبکه شکل گرفته باشند، تشخیص دهد. البته به این نکته دقت کنید که به‌کارگیری راه حل آینه‌ای گستر‌ش‌پذیر در یک شبکه ممکن است با چالش‌هایی همراه باشد. اما از این تکنیک در ارتباط با مرکز خنثی‌سازی حملات و تحلیل‌های کارآمد می‌توان استفاده کرد.
معیارهای عملکردی را به‌دقت مورد توجه قرار دهید                                                               
پهنای باند برای اکثر مردم معیار بسیار مهمی به شمار می‌رود. کاربران زمانی که تصمیم می‌گیرند برای خانه خود یک ارتباط اینترنتی را خریداری کنند، در ابتدای کار به پهنای باند توجه می‌کنند. در شرایطی که پهنای باند عامل مهمی به شمار می‌رود، اما این جزئیات هستند که همواره از اهمیت بالایی برخوردار هستند. اکثر قریب به اتفاق تجهیزات شبکه درنهایت بسته‌های داده‌ای غیرهم‌اندازه را مورد پردازش قرار می‌دهند. بسته‌های کوچک پهنای باند کمتری مصرف می‌کنند، اما در مقابل بسته‌های بزرگ‌تر به پهنای باند بیشتری نیاز دارند. هکرها این توانایی را دارند از طریق ارسال بسته‌های کوچک و با نرخ سرعت بالا کل زیرساخت یک شبکه و به‌ویژه ساز و کارهای امنیتی سنتی همچون دیوارهای آتش یا سامانه‌های تشخیص نفوذ را تحت تأثیر قرار دهند. سامانه‌های امنیتی سنتی به‌واسطه ساز و کار خاص خود در برابر حملاتی همچون حملات سیلابی که حالت مشخصی ندارند و از سرعت بالایی برخوردارند آسیب‌پذیر هستند. گزارشی که در سال ۲۰۱۴ میلادی از سوی شرکت ورایزن منتشر شد نشان داد نرخ حملات بسته در ثانیه (Packet-Per-Second) نسبت به نمونه مشابه سال قبل ۴٫۵ برابر افزایش رشد داشته است. سال گذشته میلادی نیز سایت کارشناسان امنیتی کربس با یک حمله منع سرویس انکار شده به بزرگی ۶۶۰ گیگابیت بر ثانیه درنوردیده شد.
اطمینان حاصل کنید از گسترش‌پذیری خوبی بهره می‌برید                                                           
درست به همان شکل که حملات منع سرویس انکار شده و به‌ویژه حملات حجمی با نرخ‌های بالایی از PPS (بسته در ثانیه) به درون شبکه‌ها وارد می‌شوند، شما نیز باید از راه حل‌های خنثی‌سازی با توان پردازشی بالا استفاده کنید. یکی از اقدامات راهگشا در این زمینه متعادل کردن قدرت تحلیل داده‌های عبوری در شبکه است. فناوری‌های نظارتی امروزی در زمان نظارت بر جریان داده‌ها از گسترش‌پذیری خوبی برخوردار هستند. رویکردی که امروزه هکرها به‌وفور از آن استفاده می‌کنند، حملات چندبرداری است. یک حمله چندبرداری به‌معنای آن است که یک هکر به‌طور هم‌زمان از تکنیک‌های متعددی برای حمله به یک زیرساخت استفاده می‌کند.
بر همین اساس ضروری است مدیران بخش امنیت به فرآیند اعتبارسنجی عملکرد راهکارهای امنیت شبکه بیش از پیش توجه کنند. پیاده‌سازی یک حمله ابتدایی و ساده همچون سیلاب SYN در صورتی که از راهکار خنثی‌ساز حمله در سطح سخت‌افزار استفاده نشده باشد، این پتانسیل را دارد تا به پردازنده‌های مرکزی فشار زیادی وارد کند. در صورتی که یک حمله لایه کاربردی همچون سیلاب HTTP GET به‌سمت سامانه‌ای گسیل شود، این توانایی را دارد تا همه منابع پردازشی را مورد استفاده قرار دهد و باعث شود عملکرد سامانه کاملاً محدود شده یا به‌طور کامل قفل شود. این جمله را به‌خاطر بسپارید که سیلاب داده‌ای درست همانند سیلی است که به‌سمت خانه‌ها روانه می‌شود. هرچه زودتر از وقوع آن اطلاع پیدا کنید، در سریع‌ترین زمان ممکن قادر خواهید بود تمهیدات لازم را به مرحله اجرا درآورید.
مطالب مرتبط:  این کرم فقط به اهداف صنعتی حمله می‌کند!

نظرات

اولین کسی باشید که نظر می دهد!

نام شما *:
ایمیل *:
با عضویت در خبرنامه از آخرین مقاله های مربوط به شبکه و تخفیف های تجهیزات شبکه با اطلاع شوید: