فهم الهجوم spamhaus ddos

إن موضوع "رفض الخدمة الموزعة" هو موضوع اليوم ، بسبب هجوم DDoS الهائل الذي شنه مضيف الويب الهولندي CyberBunker ضد وكالة SpamHaus لمكافحة البريد العشوائي. ما مدى أهمية الأضرار الجانبية التي لحقت بباقي الإنترنت؟ وشبهت CloudFlare ، وهي شركة أمنية على شبكة الإنترنت تشارك مباشرة في الدفاع عن SpamHaus ضد الهجوم ، قنبلة نووية ، لكن شركة Keynote Systems ، وهي شركة تتعقب توفر موقع الويب وزمن الاستجابة ، قالت إنها لم تكن سوى نقطة وميض.

مهما كان التأثير على الإنترنت بشكل عام ، لا أحد ينكر أن هذا الهجوم ، الذي بلغ ذروته عند 300 جيجابت في الثانية ، كان أكبر هجوم تم تسجيله على الإطلاق. لكن ما هو هجوم DDoS وما هي الدفاعات المتاحة؟

كيف نجح الهجوم

يؤدي هجوم رفض الخدمة ببساطة إلى زيادة تحميل خوادم الضحية عن طريق إغراقها بالبيانات ، بيانات أكثر مما تستطيع الخوادم معالجته. قد يؤدي هذا إلى تعطيل عمل الضحية أو إيقاف موقعه على الإنترنت في وضع عدم الاتصال. إن شن مثل هذا الهجوم من موقع ويب واحد غير فعال ، حيث يمكن للضحية حظر حركة المرور هذه بسرعة. غالبًا ما يقوم المهاجمون بشن هجوم "رفض الخدمة الموزع" عبر الآلاف من أجهزة الكمبيوتر التعساء التي يتم التحكم فيها بواسطة الروبوتات.

شرح ديفيد جيبسون ، نائب رئيس الإستراتيجية لشركة فارونيس العالمية لحماية البيانات ، العملية بعبارات بسيطة. وقال "تخيل أن بعض المهاجمين يمكن أن يخدعوا رقم هاتفك حتى يظهر رقمك على هواتف الآخرين عندما يتصل المهاجم". "الآن تخيل أن يقوم المهاجم باستدعاء مجموعة من الأشخاص وتوقف عن الاتصال قبل الرد. من المحتمل أن تحصل على مجموعة من المكالمات من هؤلاء الأشخاص… الآن تخيل أن يقوم آلاف المهاجمين بذلك - من المؤكد أنك ستحتاج إلى تغيير هاتفك مع وجود عدد كافٍ من المكالمات ، سيكون نظام الهاتف بأكمله معطلًا."

يتطلب الأمر وقتًا وجهدًا لإنشاء برنامج الروبوت ، أو المال لاستئجار واحد. بدلاً من الذهاب إلى هذه المشكلة ، استفاد هجوم CyberBunker من نظام DNS ، وهو عنصر أساسي للغاية في الإنترنت اليوم.

قام CyberBunker بتحديد موقع عشرات الآلاف من خوادم DNS التي كانت عرضة للتزوير في عناوين IP - أي إرسال طلب ويب وتزوير عنوان المرسل. أدى استعلام صغير من المهاجم إلى استجابة مئات المرات أكبر من ذلك بكثير ، وضرب كل هذه الاستجابات الكبيرة خوادم الضحية. لتمديد مثال جيبسون ، يبدو الأمر كما لو أن كل مكالمة هاتفية من المهاجم حولت رقمك إلى مسوِّق التسويق عن بعد.

ماذا يمكن ان يفعل؟

ألن يكون من الرائع أن يخترع شخص ما التكنولوجيا لإحباط مثل هذه الهجمات؟ في الحقيقة ، لديهم بالفعل ، منذ ثلاثة عشر عامًا. في مايو من عام 2000 ، أصدرت فرقة هندسة الإنترنت ورقة "أفضل الممارسات الحالية" المعروفة باسم BCP38. يعرّف BCP38 المشكلة ويصف "طريقة بسيطة وفعالة ومباشرة… لحظر هجمات حجب الخدمة التي تستخدم عناوين IP مزورة."

وأشار جيبسون إلى أن "80 في المائة من مزودي الإنترنت قد نفذوا بالفعل التوصيات الواردة في BCP38". "إنها النسبة المتبقية البالغة 20 في المائة والتي تظل مسؤولة عن السماح بحركة مرور مزيفة". وقال غيبسون ، إذا وضعنا المشكلة بعبارات بسيطة ، "تخيل لو أن 20 في المائة من السائقين على الطريق لم يطيعوا إشارات المرور - فلن يكون الأمر آمناً بعد القيادة".

قفله لأسفل

تحدث مشكلات الأمان الموضحة هنا بطريقة مستوية ، أعلى من الكمبيوتر المنزلي أو التجاري. أنت لست الشخص الذي يمكنه أو يجب أن ينفذ الحل ؛ هذه وظيفة لقسم تكنولوجيا المعلومات. الأهم من ذلك ، يجب على إدارة تكنولوجيا المعلومات إدارة الفرق بين نوعين مختلفين من خوادم DNS بشكل صحيح. أوضح Core Nachreiner ، CISSP ومدير استراتيجية الأمن لشركة أمن الشبكات WatchGuard.

وقال Nachreiner: "خادم DNS الموثوق هو الخادم الذي يخبر بقية العالم عن نطاق شركتك أو مؤسستك". "يجب أن يكون خادمك الرسمي متاحًا لأي شخص على الإنترنت ، ومع ذلك ، يجب أن يستجيب فقط لاستفسارات حول مجال شركتك." بالإضافة إلى خادم DNS الموثوق للخارج ، تحتاج الشركات إلى خادم DNS عودي متجه للداخل. "خادم DNS العودية يهدف إلى توفير عمليات البحث عن المجال لجميع موظفيك" ، وأوضح Nachreiner. "يجب أن تكون قادرة على الرد على استفسارات حول جميع المواقع على الإنترنت ، ولكن يجب أن ترد فقط على الأشخاص في مؤسستك."

المشكلة هي أن العديد من خوادم DNS العودية لا تحد بشكل صحيح من الاستجابات للشبكة الداخلية. لإنجاز هجوم انعكاس DNS ، يحتاج الأشرار فقط إلى العثور على مجموعة من الخوادم التي تم تكوينها بشكل غير صحيح. وخلصت Nachreiner إلى أنه "في حين أن الشركات تحتاج إلى خوادم DNS عودية لموظفيها ، فلا يجوز لها فتح هذه الخوادم لطلبات أي شخص على الإنترنت."

أشار روب كراوس ، مدير الأبحاث في فريق البحث الهندسي (SERT) التابع لشركة سولاري ، إلى أن "معرفة شكل بنية DNS لديك حقًا من الداخل بالإضافة إلى الخارج يمكن أن يساعد في تحديد الثغرات في نشر DNS لمؤسساتك." نصح التأكد من أن جميع خوادم DNS مصححة بالكامل وتأمين للمواصفات. للتأكد من أنك قمت بذلك بشكل صحيح ، يقترح كراوس "استخدام تمرينات القرصنة الأخلاقية يساعد في الكشف عن التكوينات الخاطئة".

نعم ، هناك طرق أخرى لشن هجمات DDoS ، لكن انعكاس DNS فعال بشكل خاص بسبب تأثير التضخيم ، حيث تولد كمية صغيرة من حركة المرور من المهاجم مقدارًا كبيرًا من الضحية. سيؤدي إغلاق هذا الطريق المحدد إلى إجبار مجرمي الإنترنت على الأقل على ابتكار نوع جديد من الهجمات. هذا تقدم من نوع ما.