Ddos (توزیع انکار خدمات) و DoS (انکار خدمت) حملات را می توان به طور گسترده ای به سه دسته بر اساس لایه های مدل OSI آنها هدف طبقه بندی: لایه شبکه (لایه 3), لایه حمل و نقل (لایه 4), و لایه کاربرد (لایه 7).

لایه 3 و لایه 4 حملات به طور معمول کمتر پیچیده–حتی اگر که آنها ممکن است بسیار چالش برانگیز به کاهش–و شامل سیل شبکه و لایه حمل و نقل با ترافیک, بیش از حد بار منابع سیستم هدف و آن را در دسترس نیست به کاربران مشروع. این نوع حملات را می توان با استفاده از تکنیک های مختلفی مانند سیل ICMP آغاز کرد, سیل های TCP SYN, یا سیل UDP.

سیل ICMP به عنوان مثال, یک لایه است 3 حمله که در آن تعداد زیادی از بسته های ICMP به سیستم هدف سیل, ارائه آن را بی پاسخ. سیل TCP SYN, از طرف دیگر, یک لایه است 4 حمله که بهره برداری از راه های اتصالات TCP ایجاد می شود.

در یک حمله سیل SYN, مهاجم می فرستد بسیاری از بسته های SYN به سیستم هدف, اما هرگز یک بسته ACK برای تکمیل اتصال نمی فرستد. این امر باعث می شود که سیستم منابعی را برای هر تلاش اتصالی اختصاص دهد که در نهایت بیش از حد سیستم را بارگذاری می کند و آن را در دسترس کاربران مشروع قرار نمی دهد. سیل UDP تعداد زیادی بسته UDP را به یک سیستم هدف می فرستد, مصرف منابع آن و بی پاسخ کردن آن.

کاربرد حملات DDoS لایه

حملات لایه کاربرد پیچیده تر و سخت تر از لایه کاهش 3 و لایه 4 حملات. این حملات لایه برنامه را هدف قرار می دهند (لایه 7) از سیستم هدف و بهره برداری از آسیب پذیری در برنامه خود. لایه 7 حملات می تواند آسیب بیشتری انجام دهد چرا که آنها می توانند به طور مستقیم برنامه های کاربردی و زیرساخت های زمینه ای تاثیر. شما قادر به کاهش لایه نخواهد بود 7 حملات DDoS با لایه 3 یا لایه 4 ابزارهایی مانند با فایروال های شبکه.

سیل HTTP, حملات Slowloris, و حملات تقویت DNS لایه 7 انکار حملات خدماتی. این حملات نیاز به دفاع پیچیده تری مانند فایروال های لایه کاربردی دارند, سیستم های پیشگیری از نفوذ, و CDN (شبکه های تحویل محتوا).

سیل HTTP

حملات سیل HTTP با استفاده از درخواست GET یا POST برای تحت الشعاع قرار دادن سرور هدف انجام می شود. حملات سیل با استفاده از درخواست GET معمولا ساده تر هستند و نیاز به منابع کمتری دارند زیرا آنها فقط از سرور اطلاعات می خواهند. درخواست های, از طرف دیگر, به طور معمول نیاز به ارسال مقادیر زیادی از داده ها.

یکی از دلایلی که کاهش حملات سیل HTTP دشوار است این است که آنها اغلب از تعداد زیادی از منابع راه اندازی می شوند, و آن را دشوار برای شناسایی و مسدود کردن تمام ترافیک مخرب. علاوه, مهاجمان می توانند از تکنیک هایی مانند IP spoofing برای تغییر هویت واقعی خود استفاده کنند و ردیابی منبع حملات خود را حتی دشوارتر کنند.

دفاع در برابر حملات سیل HTTP می تواند پیچیده باشد. انواع مختلف حملات نیاز به استراتژی های کاهش مختلف. دفاع مشترک در برابر حملات سیل HTTP شامل محدود کردن نرخ, لیست سیاه, و فایروال های برنامه وب. اما, این تکنیک ها می توانند منابع فشرده باشند و ممکن است برای خنثی کردن حملات پیچیده تر کافی ن باشند.

حملات Slowloris

Slowloris یک نوع حمله سیل است که در آن راه سرورهای وب رسیدگی به اتصالات مشتری هدف قرار گرفته است. این حمله با باز کردن تعداد زیادی از اتصالات به سرور کار می کند, اما ارسال درخواست ها با سرعت آهسته, باز نگه داشتن هر اتصال تا زمانی که ممکن است. این نوع حمله می تواند تمام منابع موجود سرور را مصرف کند و به مهاجمان اجازه مصرف پردازنده را می دهد, حافظه, یا پهنای باند شبکه, غیره. بدون حتی باعث محدود کردن نرخ معمولی و مکانیزم های فیلتر ترافیک معمولا برای تشخیص و مسدود کردن انواع دیگر حملات DDoS استفاده می شود.

برای انجام یک حمله Slowloris, مهاجمان به طور معمول از اسکریپت ها یا ابزارهایی استفاده می کنند که درخواست های HTTP را به یک سرور ارسال می کنند, اما عمدا ارسال درخواست های بعدی را به تاخیر می اندازد. درخواست طراحی شده است به مانند یک درخواست مشروع به نظر می رسد, اما با یک هدر ناقص که اتصال را به طور نامحدود باز نگه می دارد. با گذشت زمان, سرور بسیاری از اتصالات باز در انتظار داده های اضافی از مشتری داشته باشد, باعث سرور برای متوقف کردن پاسخ به ترافیک مشروع.

حملات Slowloris می تواند دشوار باشد برای تشخیص با توجه به طراحی پنهانی خود و پهنای باند نسبتا کم. این باعث می شود آن را یک ابزار موثر برای مهاجمان که می خواهند به خرابکاری سرورهای خود را بدون راه اندازی هشدار و یا ایجاد سوء ظن. برای دفاع در برابر حملات Slowloris, سرورهای وب می توانند چندین اقدامات متقابل را پیاده سازی کنند. به عنوان مثال, محدود کردن تعداد اتصالات است که می تواند از یک آدرس آی پی تنها ایجاد شده و یا تعیین یک زمان برای درخواست های ناقص. برخی از فایروال های برنامه وب و خدمات کاهش DDoS ساخته شده در حفاظت در برابر حملات Slowloris, با استفاده از الگوریتم هایی که می توانند چنین ترافیکی را در زمان واقعی شناسایی و مسدود کنند.

لایه 7 کاهش DDoS

محدود کردن نرخ

محدود کردن نرخ شامل تنظیم آستانه بر روی تعداد درخواست هایی است که می تواند از یک آدرس آی پی خاص یا عامل کاربر در یک دوره زمانی خاص انجام شود. مفهوم بسیار شبیه به محدود کردن نرخ در لایه 3 اما باید در لایه پیاده سازی شود 7.

هدف از محدود کردن نرخ جلوگیری از مهاجم از بارگذاری بیش از حد برنامه وب با تعداد زیادی از درخواست ها, باعث اختلال در سرور. محدود کردن نرخ را می توان در لایه های مختلف معماری برنامه وب خود را پیاده سازی, بر روی یک سرور وب, بار بالان, یا فایروال برنامه. پیاده سازی ها به طور معمول شامل ردیابی تعداد درخواست های انجام شده توسط یک آدرس آی پی خاص یا عامل کاربر و مسدود کردن درخواست های بیشتر زمانی که آستانه از پیش تعریف شده رسیده است.

یک رویکرد رایج برای پیاده سازی محدودیت نرخ در برنامه های کاربردی وب استفاده از میان افزار یا پلاگین هایی است که تعداد درخواست های انجام شده توسط هر مشتری را ردیابی می کنند و درخواست های بیشتری را زمانی که آستانه بیش از حد است مسدود می کنند. است به این پلاگین ها را می توان پیکربندی به اعمال سیاست های محدود کننده نرخ های مختلف بر اساس عواملی مانند نوع درخواست, عامل کاربر, یا آدرس IP سرویس گیرنده.

به عنوان مثال, یک سیاست محدود کننده نرخ ساده می تواند درخواست ها را از یک آدرس آی پی واحد به حداکثر محدود کند 10 درخواست در هر دقیقه. اگر مشتری بیش از این آستانه, درخواست های بعدی تا زمانی که دوره منقضی شود مسدود می شوند.

برنامه لایه نرخ محدود محصولات برای سرورهای وب محبوب و خدمات ابر در دسترس هستند, شامل:

آپاچی

آپاچی دارای ماژول های متعددی است که می تواند برای محدود کردن نرخ مورد استفاده قرار گیرد, مانند mod_limitipconn, که تعداد اتصالات همزمان را از یک آدرس IP داده شده محدود می کند, و mod_qos, که فراهم می کند کیفیت های مختلف کنترل خدمات از جمله محدود کردن نرخ.

بعلاوه, ModSecurity وب فایروال برنامه دارای ویژگی محدود کننده نرخ است که می تواند مشتریان بیش از آستانه تعریف مسدود. علاوه بر ماژول های ذکر شده در بالا, آپاچی نیز فراهم می کند mod_evasive. این یک ماژول است که می تواند مورد استفاده قرار گیرد برای نرخ محدود کردن و مسدود کردن مشتریان است که بیش از آستانه تعریف شده. شناسایی و مسدود کردن مشتریان سرکش با استفاده از تکنیک های مختلف, از جمله آی پی و کاربر عامل ردیابی.

Nginx

Nginx فراهم می کند ngx_http_limit_req ماژول. این می تواند مورد استفاده قرار گیرد برای محدود کردن نرخ درخواست از مشتریان خاص بر اساس آدرس آی پی و یا عوامل دیگر. این ماژول از یک الگوریتم سطل توکن برای تخصیص نشانه ها به هر مشتری بر اساس یک سیاست محدود کننده نرخ استفاده می کند. در ngx_http_limit_req ماژول, Nginx همچنین فراهم می ngx_http_limit_conn ماژول. این می تواند مورد استفاده قرار گیرد برای محدود کردن تعداد اتصالات از مشتریان خاص و یا آدرس های آی پی. این ماژول از یک الگوریتم سطل توکن برای تخصیص نشانه ها بر اساس سیاست های محدود کننده نرخ استفاده می کند.

مؤسسه

سرویس های اطلاعات اینترنتی مایکروسافت (مؤسسه) شامل a پویا آی پی ماژول محدود که می تواند برای محدود کردن نرخ مورد استفاده قرار گیرد. این ماژول را می توان پیکربندی برای جلوگیری از درخواست از آدرس های آی پی که بیش از آستانه از پیش تعریف شده و همچنین می تواند هشدار ها و سیاهههای مربوط برای نظارت ارائه. علاوه بر ماژول محدود کننده IP پویا, IIS همچنین یک ماژول فیلترینگ درخواست ارائه می دهد که می تواند برای محدود کردن نرخ درخواست مشتریان خاص بر اساس معیارهای مختلف مانند آدرس IP مورد استفاده قرار گیرد, عامل کاربر, و روش درخواست.

Aws

خدمات وب سایت آمازون (Aws) خدمات متعددی ارائه می دهد که می تواند برای محدود کردن نرخ مورد استفاده قرار گیرد, شامل AWS WAF با محدود کردن نرخ به عنوان یک ویژگی.

AWS شیلد ارائه می دهد حفاظت DDoS از جمله قوانین مبتنی بر نرخ است که می تواند درخواست از آدرس های آی پی بالاتر از آستانه خاص مسدود. اضافی به AWS WAF و AWS سپر, AWS نیز ارائه می دهد تعادل بار الاستیک AWS. این شامل سیاست های مختلف محدود کردن نرخ است که می تواند پیکربندی برای جلوگیری از مشتریان بیش از آستانه از پیش تعریف شده.

لاجوردی

Microsoft Azure چندین سرویس ارائه می دهد که می تواند برای محدود کردن نرخ مورد استفاده قرار گیرد, از جمله دروازه های برنامه Azure. این شامل یک فایروال برنامه وب است که می تواند پیکربندی شده برای محدود کردن نرخ درخواست های دریافتی. علاوه, لاجورد درب جلو ارائه می دهد یک ویژگی محدود کننده نرخ که می تواند درخواست ها را از آدرس های IP بالاتر از آستانه از پیش تعریف شده مسدود کند. علاوه بر لاجورد نرم افزار دروازه و لاجورد درب جلو, Azure همچنین ارائه می دهد لاجورد فایروال. این می تواند مورد استفاده قرار گیرد به نرخ محدودیت و مسدود کردن مشتریان بیش از آستانه تعریف شده.

جی سی پی

پلت فرم ابر گوگل (جی سی پی) ارائه می دهد زره ابر, یک فایروال برنامه وب با قابلیت های محدود کننده نرخ که می تواند درخواست های مشتریانی را که از آستانه تعریف شده تجاوز می کنند مسدود کند.

این نرم افزار لایه نرخ محدود محصولات به طور موثر می تواند حملات سیل HTTP با محدود کردن تعداد درخواست از مشتریان سرکش کاهش. اما, این مهم است که آنها به درستی پیکربندی شده برای جلوگیری از ترافیک مشروع نیست و در رابطه با اقدامات امنیتی دیگر مانند فایروال ها و خدمات کاهش DDoS برای ارائه حفاظت جامع در برابر حملات DDoS استفاده می شود.

تایم آوت برای درخواست های ناقص

در زیر برخی از روش های کاهش لایه کاربرد Slowloris که برای آپاچی ذکر شده است, Nginx, و IIS وب سرور, و بار بالانتر و ویژگی های اضافی برای AWS, لاجوردی, و خدمات GCP:

آپاچی

علاوه بر ماژول های ذکر شده در بالا, آپاچی همچنین یک ماژول فراهم می کند, mod_reqtimeout, که می تواند مورد استفاده قرار گیرد برای تعیین زمان برای درخواست های دریافتی. اگر مشتری درخواستی را ارسال کند که بیشتر از زمان تعیین شده طول بکشد, سرور اتصال را می بندد. این کار از حملات کندولیس جلوگیری خواهد کرد.

Nginx

در ngx_http_limit_conn ماژول ngx_http_limit_req ماژول, Nginx همچنین فراهم می کند ماژول ngx_http_request خود را. این می تواند مورد استفاده قرار گیرد برای محدود کردن زمان آن را برای سرور بالادست برای پردازش درخواست. اگر سرور بالادست طول بکشد طولانی تر از زمان تعیین شده, Nginx اتصال را خواهد بستند.

مؤسسه

اضافی به محدودیت های آی پی پویا و درخواست ماژول های فیلتر, IIS همچنین یک درایور حالت هسته را فراهم می کند HTTP.sys. این اجازه می دهد تا شما را به تعیین یک زمان برای درخواست های دریافتی. اگر مشتری درخواستی را ارسال کند که بیشتر از زمان تعیین شده طول بکشد, سرور اتصال را می بندد.

Aws

علاوه بر AWS WAF و AWS سپر, AWS علاوه بر این می دهد تعادل بار الاستیک, که شامل قوانین زمان بندی اتصال متعدد است که ممکن است پیکربندی شده برای بستن اتصالات است که طولانی تر از آستانه از پیش تعریف شده.

لاجوردی

علاوه بر لاجورد نرم افزار دروازه و لاجورد درب جلو, لاجورد علاوه بر این می دهد لاجورد بار ترازن, که شامل یک ویژگی تایم آوت بیکار قابل تنظیم است که ممکن است مورد استفاده قرار گیرد برای بستن اتصالات که ممکن است بیکار برای یک دوره از پیش تعریف شده.

جی سی پی

پلت فرم ابر گوگل (جی سی پی) می دهد جایگزین های متعدد اتصال تایم آوت برای خدمات خود را, که شامل ابر تعادل بار, که شامل یک ویژگی تایم آوت قابل تنظیم است که ممکن است مورد استفاده قرار گیرد برای بستن اتصالات است که طولانی تر از آستانه از پیش تعریف شده.

نتیجه

در پایان, حملات DDoS و DoS را می توان بر اساس لایه های مدل OSI که در آن هدف قرار می گیرد طبقه بندی کرد, مانند لایه شبکه (لایه 3), لایه حمل و نقل (لایه 4), و لایه کاربرد (لایه 7).

در حالی که لایه 3 و لایه 4 حملات سیل شبکه و لایه های حمل و نقل با ترافیک, لایه 7 حملات پیچیده تر هستند و بهره برداری از آسیب پذیری در برنامه های کاربردی خود. سیل های HTTP و حملات Slowloris نمونه هایی از لایه هستند 7 انکار حملات خدماتی. اقدامات متقابل در برابر این حملات شامل محدود کردن نرخ, لیست سیاه, و فایروال های برنامه وب. شناسایی و مهار حملات در زمان واقعی نیاز به جامع, استراتژی دفاعی چند لایه که شامل نظارت, تشخیص, و قابلیت های پاسخ.

علاوه, مهاجمان می توانند تکنیک های خود را سفارشی و خیاط حملات خود را برای فرار از تشخیص و فرار از اقدامات امنیتی. بنابراین, ضروری است که سازمان ها یک جامع را پیاده سازی کنند, استراتژی دفاعی چند لایه که شامل نظارت, تشخیص, و قابلیت های پاسخ به سرعت شناسایی و حاوی حملات در زمان واقعی. این ممکن است شامل استفاده از الگوریتم های یادگیری ماشین پیشرفته و تجزیه و تحلیل رفتاری برای تشخیص و مسدود کردن الگوهای ترافیک مخرب.