هکر ها با تستر آشپزخانه ها به جنگ می آیند

در گذشته ای نه چندان دور هکرها برای انجام حملات DDoS از سرور ها و کامپیوتر های خانگی آلوده به عنوان بات نت استفاده می کردند ولی امروزه از هر ابزار متصل به اینترنت سعی در ساخت زامبی یا همان بات برای انجام حملات DDoS دارند و در این روش از باگ های موجود آن دستگاه استفاده می کنند.

toaster-attack

در یک تعریف خلاصه و مختصر بات نت به معنی مجموعه ای از کامپیوتر (یا بهتر است دیگر بگوییم هر وسیله متصل به اینترنت) که به صورت غیر قانونی و مخفیانه به کنترل یک هکر در امده اند و با استفاده از آن به انجام حملات سایبری دست می زنند. (بات نت چیست؟)

چند مدت پیش یک نفر با یک بات نت بزرگ که شامل 25000 دوربین مدار بسته بود یک حمله DDoS گسترده علیه یک وب سایت فروش طلا و جواهر اقدام کرده بود(25000 آی پی ).دو روز بعد، یک شرکت امنیتی اعلام کرد که گروه دیگر از هکرها با استفاده از بیش ار 1000 دوربین مداربسته متصل به اینترنت یک بات نت برای انجام حمله علیه شرکت های بازی کامپیوتری و برخی اهداف دیگر در برزیل  از جمله بانکها، شرکت های مخابراتی و سازمان های دولتی راه اندازی کردند.

در اوایل سال جاری میلادی، سایت امنیت سایبری Dark Reading هشدار داد که مجرمان اینترنتی به زودی از هر دستگاه متصل به اینترنت برای انجام حملات دیداس استفاده خواهند کرد. با استفاده از دستگاه هایی که ضعف های امنیتی داشته باشند می توان ترافیک زیادی را به سمت یک وب سایت و سرور هدایت کرد، شاید در نگاه اول بگویید مثلا یک دوربین مداربسته نهایت چه مقدار ترافیک به سمت سرور قربانی می تواند ارسال کند؟ درست است ناچیز است ولی وقتی این مقدار را چند هزار برابر کنید مطمئنا یک حمله بزرگ DDoS را پیش روی خود خواهید دید!

با گسترش تکنولوژی و افزایش فناوری های کنترل از راه دور، تعداد دستگاه هایی غیر از کامپیوتر ها و موبایل ها که به اینترنت متصل می شوند روز به روز افزایش می یابد.بن هرزبرگ، مدیر تحقیقات گروه امنیتی Imperva، گفت که به کنترل گرفتن این دستگاه ها توسط هکر ها راحت تر از به دست گرفتن کنترل کامپیوتر و یا دستگاه های تلفن همراه است و دارای امنیت به مراتب پایین تری هستند.

هکر ها با استفاده از ابزار های  Lizard Stresser که توسط گروه هکر های Lizard Squad تولید و منتشر شده اقدام به اسکن شبکه ها و نفوذ به دوربین های امنیتی کردند که دارای رمز عبور ضعیف و ساده بودند و یا فریم ورک آنها قدیمی و دارای باگ بوده است و آنها را برای انجام حملات DDoS مورد استفاده قرار دادند.

البته این اولین نوع حملات استفاده از دستگاه های متصل به اینترنت ( به غیر از کامپیوتر ها و تلفن های همراه) به عنوان بات نت نبود، در سال 2014 نیز گروه Lizard Squad با استفاده از یک ضعف امنیتی توانست تعداد بالایی روتر را در اختیار بگیرید و از آنها برای حمله به شبکه های کنسول های بازی X-box و پلی استیشن استفاده کند. به معنای واقعی از “هر” وسیله متصل به اینترنت می توان به عنوان یک بات استفاده کرد مگر اینکه تدابیر امنیتی لازم به کار گرفته شود.

جان گراهام مدیر ارشد فناوری شرکت کلودفلر گفت: ما در آینده شاهد افزایش حملات DDoS خواهیم بود، چرا که بخش صنعت به سمت به روز رسانی خودکار رو نیاورده است و به روز رسانی ها نیاز به تایید و انجام فرآیندی توسط خود کاربر دارد ؛ نه سازنده دستگاه.

در آینده ای نه چندان دور شما احتمالا شاهد حملات DDoS به وسیله یک بات نت بزرگ از دستگاه های تستر هستید که گزارش وضعیت خود را از طریق اینترنت به صاحب خانه می دادند.

آمار حملات DDoS در سال 1394

با توجه به پایان سال 1394 تصمیم بر این گرفتیم که گزارش آمار حملات DDoS به شبکه های سنترال هاستینگ را طی سال گذشته منتشر کنیم.
طبق مقالات سایت های معتبر امنیتی بین المللی پیش بینی می شد که در شروع سال میلادی 2016 ( زمستان 1394) شاهد افزایش حملات DDoS خواهیم بود ؛ اما این سیر صعودی حملات بر روی وب سایت های فارسی زبان برای ما نیز کمی عجیب بود.

مطالب گذشته:
سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی
افزایش حملات DDoS در ماه آخر میلادی
بازگشت جوخه مارمولک (Lizard Squad)
انجام حملات DDoS با سرویس های ابری

در زمستان 94 رکورد بزرگترین حملات به سرور های سنترال هاستینگ از زمان فعالیت ثبت شد؛ بزرگترین حمله به حجم 114گیگابیت بر ثانیه و حدود 9.800.000 پکت در ثانیه رخ داد و حدود یک ساعت به طول انجامید.
این حمله به قدری بزرگ محسوب می شود که واقعا می توان آن را به عنوان یک رکود در بین سایت های ایرانی ثبت کرد. این حجم حمله حدود 1/3 پهنای باند کل کشور است!

log2016-1

علاوه بر حمله فوق؛ حملات زیادی نیز با حجم ها و pps های بالا رخ داد که ما مجبور به ارتقا DDoS Protection شبکه برای جلوگیری از این حملات شده ایم.

همچنین علاوه بر افزایش فدرت حملات؛ شاهد افزایش کمی حملات نیز بوده ایم؛ ما در سال 1394 بالغ بر 10000 حمله DDoS را شناسایی کرده ایم. تصویر زیر نشان دهنده تعداد حملات DDoS در سال 1394 بر روی سرویس های سنترال هاستینگ است.

Book1

 

نکته: آمار حملات لایه 7 – HTTP در نمودار فوق حدودی می باشد و امکان ارائه آمار دقیق به دلیل مسایل فنی وجود نداشته ؛ این رقم یک حداقل است که بر اساس لاگ ها و شواهد به دست آمده است.

این حملات با شروع سال جدید میلادی در زمستان 94 به اوج خود رسید که گمان می رود به دلیل در دسترس قرار گرفتن ابزار های جدید و بوتر های کارامد تر است؛ همچنین با توجه به افزایش قدرت حملات UDP  پیشبینی می شود یک باگ جدید در سرویس دهندگان اینترنت توسط هکر ها کشف شده باشد که هنوز پتچ نشده است.
در سال 2012 وجود باگ در DNS سرور های شرکت ها و ISP های بزرگ منجر به استفاده ابزاری از آن سرور ها برای حملات بزرگ DDoS  می شد؛ به طوری که رکود بزرگترین حملات در آن سال شکست و تقریبا هیچ راه حلی برای این حملات وجود نداشت اما گروهی تصمیم به ایجاد پروژه ای عظیم گرفتند و نام آن را Open Resolver Project گذاشتند که در قالب تاسیس سایتی شروع به فعالیت کرد؛( جهت نمایش سایت اینجا کلیک کنید).همانطور که مشخص است وظیفه این سایت شناسایی و معرفی  DNS resolvers های باز بود که مورد سو استفاده قرار می گرفتند؛به مرور زمان این سایت به هدف نهایی خود رسید؛ افراد و شرکت هایی که مسئول این سرور ها بودند توسط این سایت و گزارش های کاربران متوجه وجود باگ های خود شدند آنها را برطرف نمودند و بعد از مدتی به صورت چشم گیری این حملات کاهش یافت اما آیا امکان دارد یک باگ جدید دوباره امنیت اینترنت را به خطر بی اندازد؟ احتمال اینکه یک باگ جدید دوباره شبکه ها و سرور ها را تهدید کند همیشه وجود دارد.

معرفی حمله TCP ACK Flood

در راستای معرفی و واشکافی حملات DDoS ؛ امروز قصد داریم به بررسی حمله TCP ACK Flood بپردازیم؛ این حمله بخشی از یک اتصال TCP به حساب می آید.
معمولا در یک اتصال TCP سه مرحله داریم در معرفی حملات HTTP Flood آنها را توضیح داده ایم :

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

این مراحل با اصطلاح three-way handshake نیز شناخته می شود.

یک حمله ACK Flood شامل یک دسته کامل از بسته های TCP به همراه بیت ACK  فعال بر روی آن است. این نوع از حمله دارای  تفاوت هایی در مقایسه با SYN flood است.

اول به شما نشان می دهیم که لاگ یک حمله ACK Flood به چه صورت است ؛ در لاگ زیر یک حمله بر روی آی پی فرضی 10.100.101.102  و پورت 80 بر روی انجام است.

[.] در اینجا به معنی یک پکت TCP است.

به خواندن ادامه دهید

در خصوص حملات HTTP Flood بیشتر بدانید

HTTP flood یکی از مخرب ترین حملات DDoS محسوب می شود که برای مهاجمان به راحتی در دسترس است؛ HTTP Flood یک حمله در سطح لایه کاربردی (نرم افزاری – لایه 7 مدل OSI ) است و ساختن بات نت های گسترده برای این نوع حمله برای هکرها بسیار آسان و جلوگیری از آن بسیار دشوار است.

زمانی که یک کاربر از یک وب سایت بازدید می کند یک ارتباط TCP میان کاربر و سرور برقرار می شود.
اول کلاینت یک بسته SYN به سرور می فرستد
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد
سوم کلاینت یک بسته ACK به سرور می فرستد

HTTP Flood

HTTP Flood

زمانی که این اتفاق می افتد یک ارتباط باز بین سرور و کلاینت برای انتقال اطلاعات به وجود می آید و پکت های TCP بین آنها منتقل می شود که مرورگر این پکت های TCP را ترجمه کرده و محتوای یک وب سایت را به شما نشان می دهد؛ دقیقا مثل همین صفحه ای که در حال خواندن آن هستید.
حملات HTTP flood شامل باز کردن یک اتصال TCP معتبر در سرور و اقدام به ارسال تعدادی رکوئست به سرور است؛ مثل دانلود هر چیزی که در یک صفحه وب هست یا درگیر کردن بخشی از سایت برای ایجاد پرس و جوی بیش از اندازه در دیتابیس و …
یک مثال از حملات HTTP flood که به صورت GET ارسال می شوند شبیه به زیر است :
T 198.19.0.2:42728 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:40962 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:51486 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:55300 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:56396 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .

به خواندن ادامه دهید

سرور مجازی آنتی دیداس

در مرحله اول باید بگوییم سرور مجازی چیست؟ و آیا سرور مجازی آنتی دیداس وجود دارد و اگر دارد چگونه است؟
همانطور که می دانید سرور های مجازی یا همان VPS ها ؛ ماشین های مجازی مجزا هستند که همگی بر روی یک سرور فیزیکی راه اندازی می شوند و از نظر سطح دسترسی و محیط کاری شبیه به یک سرور فیزیکی اختصاصی هستند.
اما سرور مجازی یا VPS آنتی دیداس به چه صورت است؟ جهت پاسخ به این سوال اول باید اطلاعات دقیقی در خصوص حملات DDoS داشته باشید.

سرور مجازی آنتی دیداس

سرور مجازی آنتی دیداس

به صورت کلی ما با دو نوع حملات لایه 4 شبکه . لایه 7(نرم افزاری) روبرو هستیم؛ مسلما برای محافظت از سرور باید از فایروال های اختصاصی و قدرتمندی استفاده کرد تا سرور مجازی را از حملات DDoS امن نگه داشت؛ البته هر چند سرور مجازی به صورت آنتی دیداس فروخته می شود اما باید در نظر داشت این فایروال ها برای محافظت از حملات در لایه 4 شبکه که عمدتا به صورت TCP یا UDP  و … می باشد کاربرد دارد و اگر سرور مجازی به صورت مدیریت نشده فروخته شود ؛ یعنی به اصطلاح کانفیگ نشده باشد؛ هر چند دارای فایروال آنتی دیداس می باشد اما در برابر حملات لایه 7( نرم افزاری) ممکن است آسیب پذیر باشد؛برای جلوگیری از حملات لایه 7 باید در سرور مجازی با استفاده از فایروال و کانفیگ مناسب این نوع حملات را مهار کرد؛ حملات دیداس لایه 7 نسبت به حملات لایه 4 دارای اهمیت کمتری می باشد و هیچ وقت به صورت دراز مدت  نمی تواند مشکل ساز باشد اما  با این حال نباید دست کم گرفته شود؛

خطر افزایش بات نت های ایرانی

در مقدمه باید بدانیم بات نت چیست؟

بات‌نت‌ها شبکه‌هایی هستند که با در اختیار گرفتن مجموعه‌ای از کامپیوترها که بات(bot) نامیده می‌شوند، تشکیل می‌شوند. این شبکه‌ها توسط یک و یا چند مهاجم که botmasters نامیده می‌شوند، با هدف انجام فعالیت‌های مخرب کنترل می‌گردند. به عبارت بهتر هکر ها – اتکر ها با انتشار ویروس ها و برنامه های مخرب به صورت غیر قانونی و بدون اطلاع صاحب کامپیوتر  کنترل آن را در دست میگیرند و با استفاده از مجموعه ای از این کامپیوتر ها درخواست های جعلی زیادی را به سمت سرور یا سایت قربانی ارسال می کنند که به انجام یک حمله DDoS منجر می شود.

توضیحات کامل تر را در اینجا بخوانید

همانطور که می دانید بات نت ها یکی از قوی ترین ابزار ها در حملات سایبری می باشد؛ از ژاپن گرفته تا چین و آمریکا ؛ هر کدام به دنبال روش های جلوگیری و مقاوم سازی در برابر حملات DDoS می باشند. دیتا سنتر های DDoS Protection که اکثرا با حمایت های مالی دولتی در کشور های مختلف از جمله آمریکا راه اندازی می شوند بهترین روش برای محافظت از شبکه ها و سایت های حساس و مهم و تجاری می باشند.

اما ایران در این خصوص چه اقدامی انجام داده است؟ سرور ها و شبکه های داخل ایران تا چه اندازه در مقابل حملات سنگین DDoS مقاوم هستند؟

به خواندن ادامه دهید

پلاگین گوگل کروم و تبدیل کاربر به زامبی!

به تازگی یکی از پلاگین های کروم (extension) کاربران را به یک زامبی تبدیل می کند و از رایانه کاربران بدون اجازه آنها جهت استفاده از حملات DDoS استفاده می نماید.

Hola-600x400

یک سرویس مشاهده آنلاین ویدئو های بلاک شده ( همانند ویدئو های فیس بوک و یوتوب و .. )به نام Hola  کاربران خود را بدون اجازه و اطلاع آنها به عضوی از یک بات نت بزرگ تبدیل می کند که از رایانه های آنها جهت انجام حملات DDoS استفاده می کند.به توجه به رایگان بودن سرویس این سایت که در قالب یک افزونه گوگل کروم ارائه می شود ؛ کاربران زیادی از آن استفاده می کنند.
سازندگان این افزونه از فروش یوزر ها (بات نت) به هکر ها کسب در آمد می کنند و به هکر های دیگر این اختیار را می دهند تا بتوانند ترافیک سنگینی را به سمت سایت قربانی هدایت کنند و در حقیقت از پهنای باند اینترنت کاربران استفاده نمایند.

حملات گسترده DDoS به واسطه جوملا

سیستم مدیریت و محتوا جوملا یکی از محبوب ترین ابزار های راه اندازی سایت ها و پرتال ها می باشد؛اما در عین حال وجود آسیب پذیری هایی مثل SQL Injection و اجازه اجرای کد های مخرب در نسخه های قبلی این سیستم مدیریت و محتوا نشان داد که محبوبیت این سیستم نه صرفه برای کاربران عادی بلکه برای هکر ها نیز به طرز چشمگیری افزایش پیدا کرده است.

در سال 2012 یک حمله سازمان بافته بزرگ DDoS به بانک های آمریکایی آغاز شد؛ این گروه خود را “Izz ad-Din al-Qassam Cyber Fighters” نامید و عملیات گسترده دیداس خود را عملیات”ابابیل” نامید و این عملیات در جواب نمایش تریلر فیلم بحث برانگیزی در خصوص حضرت محمد(ص) بود.

این حملات بین 60 تا 100 گیگابیت در ثانیه انجام شد که باعث ضرر های سنگین مالی و افت سهام بعضی بانک ها شد.

برای راه اندازی چنین حمله سنگینی هکر ها ار یک شبکه بات گستره استفاده کردند اما چیزی که مشخص بود تفاوت این حمله و نوع بات آن با بات های دیگر و قدیمی بود؛در این نوع حمله از یک سرور اصلی به عنوان مرکز کنترل استفاده شد که “itsoknoproblembro” نام گرفت.

این سرور ابزار های مورد نیاز انجام حمله را از طریق باگ های PHP در سرور های مختلف دنیا قرار می داد؛ بدین صورت سرور ها بدون اینکه صاحبان آنها متوجه شوند به عنوان ابزار های قوی( بسیار قوی تر از بات نت پی سی های خانگی) دیداس مورد استفاده قرار می گرفتند که به سرور های نفوذ شده brobot می گفتند.

به خواندن ادامه دهید

افزایش امنیت وب سایت با کلود پروتکشن

از گوشی موبایل گرفته تا خودرو شخصی , خانه , لپ تاپ و تقریبا هر چیز دیگری بدون داشتن امنیت ارزشی نخواهد داشت و باید همیشه نگران سرقت  یا از دست دادن اطلاعات آنها باشید!

وب سایت ها نیز یکی از مهمترین و با ارزش ترین دارایی های وبمستران محسوب می شوند که باید به هر نحو ممکن از آن و اطلاعات آن محافظت کرد ,در این پست فایروالی به شما معرفی خواهد شد که امنیت وب سایت شما را در مقابل حملات هکرها فراهم می کند , این فایروال که “کلود پروتکشن” نام گرفته است قابل استفاده برای تمامی وب سایت هایی می باشد که از هاست اشتراکی, سرور مجازی و یا سرور اختصاصی استفاده می کنند.

کلود پروتکشن وب سایت شما را در برابر چه حملاتی ایمن می کند:

وقتی شما از کلود پروتکشن استفاده می کنید IP سایت شما مخفی خواهد شد بنابراین در قدم اول هویت سروری که در آن میزبانی می شوید از دسترس هکرها پنهان می شود و دسترسی به سرور و تست نفوذ بر روی سرور عملا غیر ممکن خواهد شد.

محافظت از وب سایت با کلود پروتکشن

محافظت از وب سایت با کلود پروتکشن

محافظت در برابر حملات DDoS

حملات DDoS (به فارسی: دیداس) که به آن حملات تکذیب سرور میگویند باعث کندی سرعت سرور و یا حتی از کار افتادن آن شود که در هاست های اشتراکی منجر به مسدود سازی هاست خواهد شد.( توضیحات بیشتر: حملات DDoS چیست؟ ).
کلودپروتکشن وب سایت شما را در مقابل حملات DDoS در لایه 7 ( مثل حملات HTTP ) و همچنین لایه 4 ( حملات TCP و UDP ) محافظت خواهد کرد.

به خواندن ادامه دهید

هاست آنتی دیداس

اگر وب سایت شما زیر حملات دیداس قرار گرفته است و یا می خواهید از حملات دیداس پیشگیری کنید مطمئنا نیاز به یک هاست آنتی دیداس دارید که در مقابل دیداس مقاوم باشد . البته با جستجوی “هاست آنتی دیداس” به نتایج زیادی برخواهید خورد این نتایج پراکنده در انتخاب هاست مناسب و امن شما را دچار تردید خواهد کرد.

ما در این مطلب قصد داریم شما را برای انتخاب آگاهانه راهنمایی کنیم!

هاست آنتی دیداس

گاهی اوقات حملات دیداس در لایه 7 بر روی پروتکل http انجام می شود که معمولا از طریق متود های GET و POST و حتی HEAD رکوئستهای زیادی ارسال می شود که باعث افزایش میزان مصرف منابع هاست می شوند و عملکرد سایت را با مشکل مواجه میکنند.

گاهی اوقات نیز ممکن است حملات در لایه 4 شبکه در بستر پروتکل های TCP یا UDP انجام گیرد.

این نوع حملات باید توسط فایروال های سخت افزاری و نرم افزاری مهار شوند و صد البته نیاز به تخصص کافی نیز در این بین نیازمند خواهد بود.

سرویس های آنتی دیداس سنترال هاستینگ توانایی شناسایی و مهار انواع حملات DDoS در سطح لایه شبکه و لایه 7 ( نرم افزاری) را دارد. جهت استفاده از سرویس آنتی دیداس حتما نیاز نخواهید داشت که سایت خود را به سرور های ما منتقل کنید؛ بلکه با استفاده از سرویس کلودپروتکشن می توانید از وب سایت خود در هر نقطه جغرافیایی و هر دیتاسنتری محافظت نمایید.

کلود پروتکشن چیست؟

کلود پروتکشن يک فايروال بين سرور ميزبان شما و کاربرانتان مي باشد که ترافيک شما را جهت شناسایی حملات هکر ها آنالیز می کند و ترافيک سالم را به سرور ميزبان شما ارسال مي کند . زماني که شما از اين سرويس استفاده مي کنيد کليه ترافيک وب سايت شما از فايروال هاي سخت افزاري و نرم افزاري عبور مي کند؛ فايروال هاي سخت افزاري وب سايت شما را در مقابل حملات DDoS لايه 3 و 4 شبکه محافظت مي کند؛ فايروال نرم افزاري سنترال هاستينگ وب سايت شما را در برابر حملات DDoS لايه 7 و همچنين ديگر حملات هکر ها همچون Brute Force, Sql Injection, File Inclusion, XSS, محافظت مي کند.