آمار حملات DDoS در سال 1394

با توجه به پایان سال 1394 تصمیم بر این گرفتیم که گزارش آمار حملات DDoS به شبکه های سنترال هاستینگ را طی سال گذشته منتشر کنیم.
طبق مقالات سایت های معتبر امنیتی بین المللی پیش بینی می شد که در شروع سال میلادی 2016 ( زمستان 1394) شاهد افزایش حملات DDoS خواهیم بود ؛ اما این سیر صعودی حملات بر روی وب سایت های فارسی زبان برای ما نیز کمی عجیب بود.

مطالب گذشته:
سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی
افزایش حملات DDoS در ماه آخر میلادی
بازگشت جوخه مارمولک (Lizard Squad)
انجام حملات DDoS با سرویس های ابری

در زمستان 94 رکورد بزرگترین حملات به سرور های سنترال هاستینگ از زمان فعالیت ثبت شد؛ بزرگترین حمله به حجم 114گیگابیت بر ثانیه و حدود 9.800.000 پکت در ثانیه رخ داد و حدود یک ساعت به طول انجامید.
این حمله به قدری بزرگ محسوب می شود که واقعا می توان آن را به عنوان یک رکود در بین سایت های ایرانی ثبت کرد. این حجم حمله حدود 1/3 پهنای باند کل کشور است!

log2016-1

علاوه بر حمله فوق؛ حملات زیادی نیز با حجم ها و pps های بالا رخ داد که ما مجبور به ارتقا DDoS Protection شبکه برای جلوگیری از این حملات شده ایم.

همچنین علاوه بر افزایش فدرت حملات؛ شاهد افزایش کمی حملات نیز بوده ایم؛ ما در سال 1394 بالغ بر 10000 حمله DDoS را شناسایی کرده ایم. تصویر زیر نشان دهنده تعداد حملات DDoS در سال 1394 بر روی سرویس های سنترال هاستینگ است.

Book1

نکته: آمار حملات لایه 7 – HTTP در نمودار فوق حدودی می باشد و امکان ارائه آمار دقیق به دلیل مسایل فنی وجود نداشته ؛ این رقم یک حداقل است که بر اساس لاگ ها و شواهد به دست آمده است.

این حملات با شروع سال جدید میلادی در زمستان 94 به اوج خود رسید که گمان می رود به دلیل در دسترس قرار گرفتن ابزار های جدید و بوتر های کارامد تر است؛ همچنین با توجه به افزایش قدرت حملات UDP پیشبینی می شود یک باگ جدید در سرویس دهندگان اینترنت توسط هکر ها کشف شده باشد که هنوز پتچ نشده است.
در سال 2012 وجود باگ در DNS سرور های شرکت ها و ISP های بزرگ منجر به استفاده ابزاری از آن سرور ها برای حملات بزرگ DDoS می شد؛ به طوری که رکود بزرگترین حملات در آن سال شکست و تقریبا هیچ راه حلی برای این حملات وجود نداشت اما گروهی تصمیم به ایجاد پروژه ای عظیم گرفتند و نام آن را Open Resolver Project گذاشتند که در قالب تاسیس سایتی شروع به فعالیت کرد؛( جهت نمایش سایت اینجا کلیک کنید).همانطور که مشخص است وظیفه این سایت شناسایی و معرفی DNS resolvers های باز بود که مورد سو استفاده قرار می گرفتند؛به مرور زمان این سایت به هدف نهایی خود رسید؛ افراد و شرکت هایی که مسئول این سرور ها بودند توسط این سایت و گزارش های کاربران متوجه وجود باگ های خود شدند آنها را برطرف نمودند و بعد از مدتی به صورت چشم گیری این حملات کاهش یافت اما آیا امکان دارد یک باگ جدید دوباره امنیت اینترنت را به خطر بی اندازد؟ احتمال اینکه یک باگ جدید دوباره شبکه ها و سرور ها را تهدید کند همیشه وجود دارد.

معرفی حمله SNMP

باگ های سرویس های DNS همواره محبوب ترین راه برای ایجاد حملات DDoS عظیم برای مهاجمان بوده است؛به مرور زمان باگ های سرویس دهندگان DNS پتچ شدند و راه های سو استفاده از آن مسدود شده اند؛ به طوی که به هر درخواست ناشناخته پاسخ ندهند.

NTP یکی از روش های محبوب بود که به وسیله آن حملات بزرگی در تاریخ اینترنت به وقوع پیوست که به مرور زمان آنها پتچ شدند و راه های سو استفاده از آنها بسته شد؛ اگر چه حملات NTP هنوز نیز مورد استفاده قرار میگیرد اما مثل سابق نیست و نمی تواند حملاتی به قدرت و بزرگی سابق را ایجاد نماید اما جدیدا با خطر جدیدی مواجه هستیم به نام SNMP که از روش تقویت شده (amplification) برای ایجاد حملات استفاده می کنند.

SNMP چیست؟

SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.

درخواست های SNMP بر روی پورت 161 و با پروتکل UDP ارسال و دریافت می شوند.

SNMP به عنوان یک روشDDOS

به خواندن ادامه دهید →

کلودفلر (CloudFlare) واقعا یک آنتی دیداس است؟

قبل از شروع مطلب شاید بپرسید که کلا سرویس کلودفلر چیست؟ با کلیک بر روی لینک می توانید به مطلب قبلی که در خصوص کلودفلر نوشته ایم دسترسی پیدا کنید. همانطور که در این مطلب اشاره شده کلودفلر یکی از سرویس های خوب و محبوب CDN به حساب می آید ( CDN چیست؟ ) .

اما همانطور که در سایت کلودفلر هم می بینید و یا احتمالا شنیده اید؛ کلودفلر (CloudFlare) به عنوان یک سرویس آنتی دیداس نیز شناخته شده است و جالب تر این است که این سرویس به صورت رایگان نیز ارائه می شود! اما چگونه ممکن است در زمانی که شرکت های بزرگی همچون incapsula, blacklotus, prolexic, arbornetworks, staminus و …. سرویس های دیداس پروتکشن (آنتی دیداس) خود را با قیمت های چند هزار دلاری ارائه می دهند؛ کلودفلر (CloudFlare) این سرویس را به صورت رایگان ارائه دهد؟

در مرحله اول باید بدانیم یک حمله DDoS دقیقا چیست؟

حقیقت ماجرا این است که کلودفلر (CloudFlare) ممکن است در بعضی مواقع جلوی حملات DDoS – دیداس را بگیرد اما در واقع نحوه عملکرد آن را شبیه هیچ یکی از سرویس های آنتی دیداس شرکت های بالا نیست و اگر قرار باشد یک تعریف کلی از یک سرویس آنتی دیداس با توجه به مجموعه سرویس های شرکت های بزرگ در این زمینه داشته باشیم کلودفلر در پلن های رایگان و حتی ۲۰۰دلاری خود هیچ سرویس آنتی دیداسی ارائه نمی دهد!

کلود فلر یک سرویس برای میزبانی شما نیست؛یعنی شما نمی توانید یک سرور از کلودفلر بخرید و سرویس خود را راه اندازی کنید! شما فقط این امکان را دارید تا از نیم سرور های کلودفلر برای تغییرIP رکورد A به سرور های آنها استفاده نمایید و این سرویس به نوعی یک رابط بین سرور شما و کاربرانتان فقط بر روی پورت ۸۰ و ۴۴۳ خواهد بود.

در حقیقت IP سرور شما مخفی می شود( که با محافظت شدن تفاوت دارد) در این روش اگر هکر (شخصی که قصد انجام حملات دیداس بر روی سرور شما را دارد) اگر بتواند به هر دلیلی IP سرور اصلی شما را به دست بیاورد می تواند به حملات خود بدون مشکل ادامه دهد چون مخفی کردن یک آی پی به این راحتی هم نیست!

مورد بعدی محدودیتی است که برای شما پیش می آید؛ اگر قصد داشته باشید به هر دلیلی از پورت های دیگر سرور برای سرویس های خود استفاده نمایید کلودفلر هیچ کنترلی بر روی آن نخواهد داشت و به راحتی می تواند باعث لو رفتن IP و انجام حملات شود یعنی در حقیقت سرویس هایتان مبتنی بر دامین است و هیچ سرویس مبتنی بر IP نخواهید توانست ارائه دهید.
این موارد در خصوص حملات لایه ۴ و ۳ شبکه می باشد ؛ اما در خصوص حملات لایه۷ که ترافیک شما بر خلاف سرویس های مبتنی بر IP ؛ از طریق دامین انجام می شود و به عبارتی از سرویس رابطه ای کلودفلر (CloudFlare) استفاده می کند به چه صورت است؟ ترافیک به صورت Real Time آنالیز و بررسی می شوند و حملات مهار می شوند؟ خیر !

حقیقت این است در سرویس های رایگان که هیچ، حتی در سرویس ۲۰۰ دلاری ماهیانه کلودفلر نیز حملات لایه ۷ بلاک و مهار نمی شوند و مستقیم بدون هیچ پروسس و هیچ فایروالی به سرورتان می رسند و می توانند برایتان به راحتی مشکل ساز شوند!

اما در عوض کلودفلر سیستم Under Attack را در اختیار کاربران می گذارد که در این روش در هنگام باز شدن سایت یک لودینگ ۵ ثانیه ای به نمایش در می آید و سپس کاربر به سایت اصلی شما هدایت می شود! ممکن است افرادی مایل نباشند در اول سایتشان چنین لودینگی ظاهر شود یا به دلایل تکنیکی و سئو و…. وجود یک لودینگ اجباری در اول سایت جالب نباشد. اما اگر این روش یک راه حل صد در صد برای جلوگیری از حملات باشد شاید نتوان از آن چشم پوشی کرد! بیایید ببینیم در این لودینگ چه اتفاقی می افتد؟

اگر در سورس این لودینگ دقت کنید یک form جهت پاس کردن یکسری مقادیر مشاهده می کنید:

مقادیر این فرم توسط یک پروسس جاوا اسکریپتی تکمیل می گردند:

CloudFlare solver script

و زمان پست می توانید مقادیر ارسالی را در هیدر ببینید:

CloudFlare DDoS challenge-response

اگر مقادیر ارسال شده توسط پست با سشن ذخیره شده در سرور کلود فلر یکسان بود یک کوکی منحصر به فرد ایجاد می شود. این کوکی تا زمانی که فعال باشد دیگر این لودینگ برای کاربر نمایش داده نخواهد شد؛ یعنی با استفاده از این کوکی کاربران مستقیم وارد سایت می شوند.

پس در این پروسس ساده باید دو عامل جاوا اسکریپت و کوکی فعال باشد که در همه مرورگر ها فعال است اما بات نت ها این امکان را نداشتند( البته در زمان قدیم تر) یعنی اکثر بات نت ها با ارسال دستورات GET یا POST سعی در حملات لایه ۷ داشتند که امکان پاس کردن این لودینگ و رفتن به سایت هدف را نداشتند و در حقیقت هیچ پروسس پیشرفته ای برای شناسایی حملات در کار نیست! هر کس جاوا را پاس کرد به راحتی وارد سایت می شود و پاس نکرد در پشت لودینگ می ماند.

اما در حال حاضر به راحتی امکان پاس کردن این مرحله و ورود به سایت توسط روبات ها و بات نت ها امکان پذیر است.ویروس in32/DoS.OutFlare.A یکی از مدرن ترین برنامه هایی است که برای بایپس کردن این پروسس کلود فلر استفاده شده است.

cloudflare-scrape نیز برنامه ای است که به زبان Python نشوته شده است که با استفاده از Node.js می تواند به راحتی کلود فلر را بایپس کند ( دور بزند ).

بنابر مطالب گفته شده نباید از کلودفلر همانند یک سرویس آنتی دیداس واقعی انتظار داشته باشید؛ هر چند در خصوص برخی حملات لایه ۷ ممکن است کاربرد داشته باشد و یا IP شما را مخفی کند.

خطر افزایش بات نت های ایرانی

در مقدمه باید بدانیم بات نت چیست؟

بات‌نت‌ها شبکه‌هایی هستند که با در اختیار گرفتن مجموعه‌ای از کامپیوترها که بات(bot) نامیده می‌شوند، تشکیل می‌شوند. این شبکه‌ها توسط یک و یا چند مهاجم که botmasters نامیده می‌شوند، با هدف انجام فعالیت‌های مخرب کنترل می‌گردند. به عبارت بهتر هکر ها – اتکر ها با انتشار ویروس ها و برنامه های مخرب به صورت غیر قانونی و بدون اطلاع صاحب کامپیوتر کنترل آن را در دست میگیرند و با استفاده از مجموعه ای از این کامپیوتر ها درخواست های جعلی زیادی را به سمت سرور یا سایت قربانی ارسال می کنند که به انجام یک حمله DDoS منجر می شود.

توضیحات کامل تر را در اینجا بخوانید

همانطور که می دانید بات نت ها یکی از قوی ترین ابزار ها در حملات سایبری می باشد؛ از ژاپن گرفته تا چین و آمریکا ؛ هر کدام به دنبال روش های جلوگیری و مقاوم سازی در برابر حملات DDoS می باشند. دیتا سنتر های DDoS Protection که اکثرا با حمایت های مالی دولتی در کشور های مختلف از جمله آمریکا راه اندازی می شوند بهترین روش برای محافظت از شبکه ها و سایت های حساس و مهم و تجاری می باشند.

اما ایران در این خصوص چه اقدامی انجام داده است؟ سرور ها و شبکه های داخل ایران تا چه اندازه در مقابل حملات سنگین DDoS مقاوم هستند؟

به خواندن ادامه دهید →

سپر طلایی چین؛بزرگترین ابزار حملات DDoS

پروژه سپر طلایی چین (China’s Golden Shield Project) یک پروژه بزرگ دولتی محسوب می شود که دسترسی کاربران چینی را به اینترنت آزاد محدود می کند و عملیات سانسور را جهت مسدود نمودن حجم بزرگی از اینترنت برای کاربران چینی اعمال می کند.

جمله مورد علاقه دنگ شیائوپینگ (رهبر چینی که از اواخر دههٔ ۷۰ تا اوایل دههٔ ۹۰ عملاً حاکم چین بود ) این بود:

“اگر شما برای هوای آزاد پنجره ها را باز می کنید باید انتظار مگس های مزاحم را داشته باشید”

اما امکان دارد از این دیوار بزرگ جهت انجام حملات DDoS استفاده شود؟

چند وقت پیش دولت چین اعلام کرد “سپر طلایی” را ارتقا داده است و برخی از مشکلات آن برطرف شده است؛ اما چه مشکلی برطرف شده است؟

مشکل اصلی ایجاد حملات دیداس ناخواسته از طریق باگ های سامانه سپر طلایی بود که IP ها را به صورت تصادفی برای حمله بازتابی دیداس (reflector DDoS) مورد استفاده قرار می داد. در این حمله رکوئست های مسدود شده توسط سپر طلایی به یک آی پی خاص هدایت می شد! (یک IP تصادفی و نا خواسته) در این حملات عظیم ,مردم چین هنگام استفاده از اینترنت وقتی به محتوای مسدود شده توسط سپر طلایی برمی خوردند در حقیقت به صورت نا خواسته در یک حمله بزرگ DDoS شرکت داشتند؛ میلیون ها رکوئست و یک حمله ناخواسته و کاملا تصادفی !

مسمومیت دی ان اس (DNS Poisoning)

یکی از روش های جلوگیری از مشاهده یک وب سایت مسدود شده در سیستم سپر طلایی چین استفاده از مسمویت DNS است. مسمویت DNS به عمل دریافت یک DNS ورودی از یک کاربر و ارسال IP غیر واقعی(جعلی) آن وب سایت به کاربر می باشد که باعث می شود وب سایتی غیر از وب سایت مورد نظر را مشاهده نماید. برای مثال اگر DNS برای سایت گوگل مسموم شده باشد؛ زمانی که آدرس سایت گوگل را باز می کنید به جای این سایت یک سایت دیگر به صورت تصادفی باز می شود.

افزایش ترافیک به وب سایت های تصادفی باعث ایجاد سیل اتصالات به آن وب سایت (flood of connections) و یک حمله تمام عیار DDoS به آن خواهد شد.

البته این به این معنی نیست که حملات به عمد صورت می گرفت ولی سپر طلایی چین به صورت بالقوه یک ماشین بزرگ DDoS خودسر بود که به صورت رندوم (تصادفی) IP های زیادی را مورد حمله دیداس قرار داده بود.

هر چند دولت چین اعلام کرده که این مشکل به صورت نا خواسته در سیستم به وجود امده بود و عمدی نبود اما این اندیشه نیز تقویت می گردد که ممکن است در به روز رسانی ها و ارتقا های آینده نیز چنین سیستمی به وجود بیایید.

حملات بازتابی به وسیله DNS یا DNS reflection DDoS مبحث جدیدی نیست و مدت هاست که هکر ها از باگ ها DNS سرور ها جهت ایجاد چنین حملاتی بهره می گیرند؛ آیا امکان دارد شخص یا اشخاصی بخواهند از این ابزار بزرگ سو استفاده نمایند؟

منبع: سپر طلایی چین؛بزرگترین ابزار حملات DDoS

سنترال هاستینگ

ارائه دهنده هاست لینوکس آنتی دیداس

reflection DNS DDoS