حملات DrDoS که مخفف عبارت Distributed Reflection Denial of Service و به معنی حملات انسداد سرویس توزیع‌شده‌ی بازتابی می باشد و هدف از این حمله از کار انداختن سیستم های متصل به یک شبکه و یا حتی خود آن شبکه می باشد!

DrDoS یکی از زیر شاخه های حملات DDoS هست که در مطالب قبلی ( اینجا ) به آن اشاره شد.حال به توضیح و ویژگی این حمله می پردازیم!

یکی از ویژگی های حملات زیرشاخه های DDoS این است که بعد از گذشت یک دوره زمانی قدرت خود را از دست می دهند و راه های جلوگیری از آن گسترش می یابد.هرچند شاید در بعضی موارد کارآمد باشند اما قدرت و توان قبلی خود را نخواهند داشت.اما برخی متخصصان معتقد هستند که حملات DrDoS حدود 10 سال پیش آغاز شده و یکی از قدیمی ترین حملات انسداد سرویس محسوب می شوند ولی با این حال نه تنها هیچ نشانه ای از منسوخ شدن آن مشاهده نمی شود بلکه در سال های اخیر گسترش چشمگیری داشته و جالب تر اینکه بزرگترین حمله اینترنتی قرن با این متود رخ داده، وب سایت شرکت Spamhaus که در زمینه  ضد اسپم فعالیت می کند مورد حمله ی سنگین DrDoS قرار گرفت که حجم آن حدود 300GBps تخمین زده شد! این حمله باعث کندی سرعت اینترنت در بخش هایی از اروپا و آمریکای شمالی شد, انجام چنین حمله ای نیازمند منابع قابل توجهی می باشد!

دو مشخصه اصلی این متود بازتاب و تقویت قدرت می باشد.

بازتاب

مشخصه بازتاب این حمله به این صورت است که  اتکر ( کسی که حمله را انجام می دهد) درخواست های جعلی به یک سرویس دهنده ارسال می کند و در این درخواست از IP جعلی استفاده می نماید که IP هدف می باشد، بنابراین سرویس دهنده پاسخ درخواست را به IP هدف ارسال می کند چرا که فکر می کند درخواست از این IP صورت گرفته.ارسال پاسخ از سرویس دهنده به  IP هدف ترافیکی را به وجود می آورد، و از آنجایی که اتکر برای انجام این حمله نه از یک سرویس دهنده, بلکه از صدها و یا هزاران سرویس دهنده استفاده می نماید حجم این ترافیک به قدر قابل توجهی افزایش خواهد یافت و این ترافیک باعث کند شدن و در نهایت اختلال و قطعی کامل یک شبکه خواهد شد.
هر سرویس دهنده ای که در حال ارائه سرویس بر پایه پروتکل UDP باشد به صورت بالقوه یک بازتاب دهنده می باشد!
Spoofing که به معنای حقه بازی یا جعل است اصول اولیه و مهم در یک حمله باتابی می باشد. حمله ای با پاسخی بدون درخواست از IP هدف.

تقویت قدرت

دومین مشخصه حملات بازتابی DrDoS قدرت قابل توجه آن می باشد، تعداد بایت های پاسخ ارسالی از سرویس دهنده به IP بیشتر از بایتهای ارسال درخواست به سرویس دهنده می باشد، بنابراین ارسال یک درخواست DNS کوچک (60 بایت) می تواند پاسخی به بزرگی 3000 بایت داشته باشد.

به عبارت دیگر این یک حمله تقویت شده است ! تقویت قدرت (اندازه پاسخ نسبت به اندازه درخواست) چیزی است که باعث میشود این حمله خطرناکترین حملات از نوع DDoS به حساب بیایید!
ایجاد حملات در اندازه 100MBps با استفاده از چندین سرویس دهنده بر پایه UDP کار دشواری نیست و به راحتی می توان آن را انجام داد ولی این حمله برای بسیاری از شبکه ها و سرور هایی که دارای فایروال نباشند بسیار خطرناک خواهد بود.زمانی که اتکر قصد انجام حمله بزرگتری را داشته باشد ممکن است با افزایش تعداد سرویس دهنده ها حملات را حتی به گیگابیت در ثانیه برسانند!

یکی از پرطرفدار ترین سرویس دهنده هایی که نقش یازتاب را در حملات DrDoS بازی می کنند DNS servers ها می باشند و اتکر ها همیشه در حال جستجو برای DNS Server هایی می باشند که بتواند با IP جعلی از پاسخ آنها برای از کار انداخت هدف استفاده نمایند.

سرویس های SNMP نیز یکی دیگر از بازتاب دهنده های حملات DrDoS می باشد چرا که میزبان و دستگاه های متصل به شبکه می توانند با یک درخواست کوچیک بازتاب گسترده و بزرگی را به سمت IP هدف داشته باشند.
SNMP پروتکل لایه Application است که امکان نقل و انتقال اطلاعات مدیریتی را بین عناصر شبکه ایجاد می کند و در واقع قسمتی از پروتکل TCP/IP می باشد. این پروتکل توانایی مدیریت و پیدا کردن مشکلات و حل آنها را در شبکه برای مدیران مهیا می کند.

سرور های بازی و ویدئو نیز گاها مورد استفاده جهت بازتاب قرار میگیرند، البته سرور های جدید بدین گونه نیست ولی سرور های قدیمی بازی این ضعف را داشتند و به هر IP جعلی پاسخ  ارسال می کردند و البته این حجم پاسخ بسیار بالا بود و متناسب ترین بازتاب دهنده برای حملات بود! چرا که پاسخ به IP هدف شامل اطلاعات بازیکن ها و اطلاعات آماری بازی و از این قبیل اطلاعات بود.

drdos-attack

اما چگونه حملات DrDoS را مهار کنیم؟
شما نمی توانید این حملات را مهار کنید مگر اینکه دیتاسنتر شما قادر به متوقف کردن این حمله باشد.مهار این حملات هزینه سنگینی دارد و دیتا سنتر هایی که قادر به مهار حجم بالایی از این حملات باشند با نام DDoS Protected معرفی می شوند!

منبع: سنترال هاستینگ