ماهي طرق واساليب هجمات حجب الخدمة (denial-of-service attack)؟ ماهو الفرق بين DoS attack والـ DDoS attack ؟ كيف تتم الحماية من هذه الهجمات ؟

ما هي هجمات الحرمان من الخدمات DOS attack؟

هجمات الحرمان من الخدمات كأسلوب ليست حديثة ولكن الشبكة جعلتها فتاكة، ومبدأ هذا الأسلوب بسيط ويتلخص في أن المهاجم يقوم بإغراق الأجهزة بسيل من الطلبات والأوامر التي تفوق قدرة الجهاز المزود Server على المعالجة بغرض منع الموقع من العمل بشكل سليم أو إبطاءه أو الإطاحة بالسيرفر.
من الأساليب لهذا النوع من الهجوم هو استهداف الموارد الثابتة الأخرى في البنية التحتية، ومن الأمثلة على ذلك هجمات الإغراق SYN. فضمن جلسات الشبكة (الإنترنت) الاعتيادية تتم عملية أشبه بالمصافحة بين النظم، حيث يقوم أحد النظم بإصدار طلب للارتباط بنظام آخر باستخدام حزمة SYN (المزامنة)، ويقوم النظام المضيف في هذه الحالة بإصدار حزمة SYN-ACK، والتي يستجيب فيها للطلب الوارد من عنوان IP معين، ويقوم بتسجيل هذا العنوان في جدول معين، وتحديد فترة معينة لقطع الاتصال إذا لم تحدث الاستجابة لهذه الحزمة، والتي يجب أن تكون على شكل حزمة ACK يصدرها النظام الأول.
وفي هجمات الإغراق يقوم المهاجم بإرسال أكبر كمية ممكنة من حزم SYN باستخدام عناوين IP مزيفة ويقوم النظام المضيف بتسجيل ردود حزم SYN-ACK في الجدول والتي تبقى هناك لأن المهاجم لايقوم بإرسال حزم ACK المطلوبة مما يؤدي إلى امتلاء الجدول بالطلبات وعدم قدرته على تلقي أية طلبات اتصال جديدة.
ورغم الأذى الذي قد يلحقه هذا النوع من الهجمات فإن العلاج يكمن في خطوتين؛ الأولى: هي زيادة حجم الجدول الذي يتلقى طلبات الاتصال، والثانية: وهي خطوة ملازمة للأولى التقليل من الوقت المطلوب للاستجابة لطلبات الاتصال وذلك لحذف المدخلات غير المستخدمة بشكل أسرع.
هنالك نوع آخر من هجمات الحرمان من الخدمات حيث يستخدم المهاجم برنامج يقوم بتجربة الدخول إلى حسابات المستخدمين ضمن خدمة معينة من خلال تجربة كافة أسماء المستخدمين واستعمال كلمات سر خاطئة عمدا وعند استخدام هذه البرمجيات تقوم بمنع المستخدمين الشرعيين من النفاذ إلى النظام.
وهنالك أيضا أسلوب آخر من الهجمات يدعى “الحزم الدامعة Teardrop” حيث يرسل المهاجم حزما مشوهة بحيث يؤدي إلى انهيار عمليات معالجة عناوين IP على الجهاز المزود وبالمثل فهنالك أسلوب إغراق عملية المعالجة نفسها في نظام التشغيل من خلال إرسال أوامر معالجة، أو إدخال اوامر طويلة (أكثر طولا مما يسمح به نظام التشغيل أو التطبيق) Buffer Overflow لا تقوم عمليات معالجة المدخلات ضمن نظام التشغيل بصدّها (وهي الثغرة التي استغلها واضعو فيروس الشيفرة الحمراء Code Red في مخدمات مايكروسوفت ونظم تشغيلها).
ومن الأمثلة الظريفة والبسيطة على هذا الأسلوب هو مواصلة الضغط على زر الإدخال ENTER على الـ (Terminal) هذا قبل تسجيل الدخول إلى الشبكة Log In ولكنها مرتبطة بنوع معين من الأجهزة الإيوانية أو محطات العمل والسبب في أن هذا الأسلوب يمكن أن يُصنف ضمن أساليب هجمات الحرمان من الخدمات هو أن زر الإدخال يقوم في معظم الأحيان ببدء روتين للتعرف على الأداة ضمن نظام التشغيل وهو روتين ذو أولوية تنفيذ عالية عادة وبمواصلة الضغط على هذا الزر يتولد طلب مرتفع على عملية المعالجة اللازمة للتعرف على الأداة (لوحة المفاتيح في هذه الحال)، مما يؤدي إلى استهلاك 100% من طاقة المعالج وجعله غير قادر على تلقي طلبات معالجة إضافية. ويؤدي ذلك إلى إحداث شلل في نظام التشغيل والذي لا يمتلك عادة الذكاء ليميز بين طلبات الدخول الشرعية، وطلبات الدخول المؤذية. وفي هذه الحالة لا توجد ميكانيكية يمكن بها الاستجابة لهذا الهجوم.

أنواع هجمات الحرمان من الخدمة

هناك 3 أنواع من هجمات حجب الخدمة (DOS attack) 

  • الهجمات التي تستغل خطأ برمجي Bug في بناء TCP/IP. 
  • الهجمات التي تستغل تقصير في مواصفات TCP/IP. 
  • الهجمات التي تعيق المرور في شبكتك حتى لا تستطيع أي بيانات ان تصل إليها أو تغادرها.

الحماية من هجمات الحرمان من الخدمة

الحماية من هجمات الحرمان من الخدمة DOS attack تتم الحماية من هذه الهجمات عن طريق برامج أو أجهزة جدران نارية لكي تمنع وصول الحزم إلى النظام ومن ضمن الحلول نظام (DoS.deny) هو نظام مخصص لاكتشاف هجمات الحرمان من الخدمة DOS والتصدي لها ومنعها من التأثير على أداء المخدمات أو المواقع.
عمل نظام Dos.deny يعمل هذا النظام عن طريق إضافة سطر واحد إلى ملفات المواقع، ويكون بإمكان النظام قراءة رقم بروتوكول إنترنت لكل زائر، وعن طريق تخزين هذه الأرقام وتتبعها وفقاً لخوارزمية معينه يكون بمقدور النظام اكتشاف عمليات الحرمان من الخدمة وذلك بضوابط يمكن لمدير الموقع التحكم بها من خلال لوحة التحكم بمعنى أنه يمكنك تحديد عدد المحاولات والفترة التي تقع فيها هذه المحاولات والتي على أساسها يمكن الحكم ان هذا الأي بيIP يقوم بهجمة عندها سيقوم النظام بالكتابة في ملفات من نوع htaccess وذلك لمنع ذلك IP من الوصول إلى الموقع.
ملاحظة لا يدعم هذا النظام هجمات الحرمان من الخدمة الموزعة (DDOS) بشكل كامل و لا يستطيع هذا النظام الحماية من هجمات الحرمان من الخدمة الموزعه DDOS إذا كانت الهجمات تتم عن طريق عدد كبير جدا من أرقام الأي بي، اما إذا كانت الهجمه تتم عن طريق عدد محدود من أرقام الأي بي، فمن خلال ضبط الإعدادات بشكل أكثر صرامة سيكون بالمقدور إيقاف أو الحد من هذه العمليات بشكل كبير.

ماهو الفرق بين DoS attack والـ DDoS attack؟ 

هجوم DOS Attack اولاً كلمة DOS اختصار لـ Denial of Service وتعني حجب الخدمة يؤدي الى توقف خدمة معينة فمثلا توقف خدمة HTTP في سيرفر ويب يعني توقف تصفح المواقع نفس المثال على خدمة FTP اذا توقفت لا تستطيع الاتصال بFTP الخاص بالسيرفر ويتم تنفيذ هجوم DOS Attack باستخدام عدة تقنيات ومنها ارسال استعلامات بشكل هائل او عبر ثغرات مثل ثغرة Apache http Remote Denial of Service (memory exhaustion)
هجوم DDOS Attack اولاً DDOS Attack اختصار لـ Distributed Denial of service Attack وتعني حجب الخدمة الموَزع من كلمة موزع نعرف ان الهجوم يتم من عدة مصادر ليس مهاجم واحد فقط قد يتم الهجوم من عدة مهاجمين في نفس الوقت او باستخدام Botnet حيث يقوم المهاجم بأرسال أوامر الى البوتات لتنفيذ هجوم حجب الخدمة مثلا HTTP Attack حيث تقوم كل البوتات المتصلة بأرسال HTTP Request الى السيرفر المستهدف في آن وحد وتؤدي هذه العملية الى توقف السيرفر وعدم مقدرتة على الاستجابة للطبات الاخرى.
كلود فلير CloudFlare انا اعتبرها حالياً الحل الامثل لمنع هذه الهجمات وهي تمنع وصول الهجوم إليك عن طريقة فحص وفلترة الترافيك القادم إلى موقعك قد يحتاج لوقت ليميز ان حجم الترافيك القادم يعتبر هجوم وعموماً تستطيع وقت إكتشافك لوجود هجوم عليك بتغيير حالة الحماية إلى “I’m Under Attack”.
في النهاية، إذا كان لديك إي استفسار يثير اهتمامك، أخبرنا في التعليقات بالأسفل، وسنكون جاهزين بالرد عليك في أقرب وقت ممكن، نراكم في موضوع آخر، فلا تنسونا من نشر المقال لتعم الفائدة.
المصدر (1)