خبر مهم
چندتا عکس یادگاری داشتیم ، پیام صمیمانه‌ای که با گل گوشی شما را هک می‌کند
ما را دنبال کنید
جستجو
حملات DDoS
-
0

حملات DDoS

رضا فروزان رضا فروزان
آموزشامنیت
آبان ۲۲, ۱۴۰۴

حملات DDoS یا «حملهٔ توزیع‌شدهٔ منع سرویس» روشی است که در آن مهاجم از مجموعه‌ای از دستگاه‌های کنترل‌شده (بات‌نت‌ها) استفاده می‌کند تا به‌صورت هم‌زمان حجم عظیمی از ترافیک یا درخواست‌های مخرب را به یک سرور، سرویس یا شبکه ارسال کند.
هدف اصلی کم کردن دسترسی کاربران قانونی یا از کار انداختن کامل سرویس است.

در مقابلِ حملات DoS که از یک منبع انجام می‌شوند، حملات DDoS از چندین منبع هم‌زمان انجام شده و تشخیص و دفاع در برابرشان دشوارتر است.

۲. عناصر درگیر

  • مهاجم: شخص یا گروهی که حمله را هدایت می‌کند.

  • بات‌نت: شبکه‌ای از سیستم‌های آلوده (کامپیوترها، سرورها، دستگاه‌های IOT) که بدون اطلاع مالکشان برای حمله استفاده می‌شوند.

  • هدف: سرور، وب‌سایت، سرویس آنلاین، یا زیرساخت شبکه.

۳. طبقه‌بندی کلی انواع حملات DDoS

  1. حملات حجمی (Volumetric Attacks): هدف اشباع پهنای باند با ارسال ترافیک زیاد (مثلاً UDP Flood، ICMP Flood، یا حملات تقویت‌شده).

  2. حملات پروتکل (Protocol Attacks): بهره‌برداری از حالت‌های داخلی پروتکل‌هایی مانند TCP/IP (مثلاً SYN Flood) که به منابع سرور فشار می‌آورند.

  3. حملات لایهٔ کاربرد (Application Layer Attacks): حمله روی بخش‌های کاربردی سرویس (مثلاً HTTP Flood، Slowloris) که شبیهِ ترافیک واقعی به‌نظر می‌آیند و سخت‌تر دفاع می‌شوند.

۴. شرح فنی انواع متداول

4.1. SYN Flood (حملهٔ نیمه‌اتصال TCP)

  • توضیح: مهاجم درخواست‌های SYN زیادی به سرور می‌فرستد اما پاسخِ نهایی (ACK) را کامل نمی‌کند؛ سرور منابعی را برای هر اتصال نیمه‌کامل رزرو می‌کند تا زمانی که تایم‌اوت شود.

  • اثر: پر شدن جداول اتصال (SYN queue) و عدم توانایی پذیرش اتصالات جدید.

  • مقابله: استفاده از SYN cookies، کاهش زمان تایم‌اوت، فایروال‌های stateful و rate limiting.

4.2. UDP Flood / ICMP Flood

  • توضیح: ارسال بسته‌های UDP/ICMP با نرخ بالا برای اشباع پهنای باند یا منابع پردازشی مقصد.

  • اثر: افزایش مصرف پهنای باند و بار روی پردازش بسته‌ها.

  • مقابله: فیلتر کردن ترافیک غیرضروری، استفاده از CDN/ISP یا سرویس‌های Scrubbing.

4.3. Amplification & Reflection (تقویت و بازتاب)

  • مثال‌ها: DNS Amplification، NTP Amplification، Memcached Amplification.

  • توضیح: مهاجم با ارسال درخواست‌هایی کوچک به سرویس‌هایی با امکان پاسخ‌دهی بزرگ (مانند سرورهای باز DNS) که آدرس مبدأ را آدرس قربانی جعل کرده، باعث می‌شود آن سرویس‌ها پاسخ بزرگی به قربانی بفرستند.

  • مقابله: رفع سرویس‌های باز، محدود کردن پاسخ‌دهی سرورهای عمومی و همکاری با ISPها برای فیلترینگ.

4.4. HTTP Flood (حمله لایهٔ کاربرد)

  • توضیح: ارسال درخواست‌های GET/POST متعدد و پیچیده (مثلاً درخواست‌هایی که نیاز به پردازش دیتابیس دارند) تا CPU و دیتابیس هدف را خسته کنند.

  • اثر: کندی شدید یا از دسترس خارج شدن سرویس حتی بدون مصرف زیاد پهنای باند.

  • مقابله: WAF، CAPTCHA، rate limiting کاربردی، caching، بهینه‌سازی کوئری‌ها و استفاده از CDN.

4.5. Slowloris / Slow POST

  • توضیح: ارسال درخواست HTTP با کندی بسیار زیاد (مثلاً هدرها را خیلی آهسته می‌فرستد) تا اتصال باز بماند و باعث مصرف تمام کانکشن‌های سرور شود.

  • اثر: اشباع تمام کانکشن‌های وب‌سرور بدون تولید ترافیک زیاد.

  • مقابله: محدودیت زمان برای هدرها و بدنهٔ درخواست، بروزرسانی تنظیمات وب‌سرور و استفاده از پروکسی‌ها.

4.6. Smurf

  • توضیح: ارسال ICMP Echo Request به آدرس broadcast شبکه با جعل آدرس مبدأ (قربانی)، باعث می‌شود همهٔ میزبان‌های شبکه به قربانی پاسخ دهند.

  • مقابله: غیرفعال کردن پاسخ به broadcast در روترها و استفاده نکردن از سرورهای باز.

۵. نشانه‌های وقوع حمله DDoS

  • افزایش ناگهانی و غیرمعمول در ترافیک یا تعداد درخواست‌ها

  • کندی یا ناپایداری سرویس (خطاهای ۵۰x مانند 502، 503، 504)

  • لاگ‌های اتصال از IPهای متعدد و مشکوک

  • مصرف بالای CPU، RAM یا پهنای باند

۶. روش‌های شناسایی و مانیتورینگ

  • نظارت لحظه‌ای ترافیک (NetFlow, sFlow, packet capture)

  • ابزارهای APM / RUM برای تشخیص کندی سمت کاربر

  • سیستم هشداردهی بر مبنای الگوی عادی (Baseline)

  • تحلیل لاگ وب‌سرور و فایروال برای تشخیص الگوهای تکراری

۷. استراتژی‌ها و ابزارهای مقابله

7.1. پیشگیری (Preparation)

  • طراحی زیرساخت با Redundancy و Load Balancing

  • استفاده از CDN یا سرویس ضد DDoS (مثل Cloudflare، Akamai، Fastly)

  • تست ظرفیت (Stress Testing) و شناخت نقاط ضعف

  • پیاده‌سازی بهترین شیوه‌های شبکه (مثل BCP38 برای جلوگیری از IP Spoofing)

7.2. محافظت در زمان حمله (Mitigation)

  • محدودسازی نرخ درخواست‌ها (Rate Limiting)

  • استفاده از Anycast برای توزیع ترافیک

  • بهره‌گیری از Scrubbing Centers

  • همکاری با ISP برای فیلترینگ ترافیک مخرب

7.3. پاسخ سریع به حادثه (Incident Response)

  • وجود طرح واکنش به حملات (IR Playbook)

  • تماس با ISP و فعال‌سازی CDN در حالت محافظتی

  • ثبت و تحلیل لاگ‌ها برای بهبود امنیت آینده

۸. چک‌لیست عملی برای آماده‌سازی

  1. فعال‌سازی CDN و Anti-DDoS برای دامنهٔ اصلی

  2. راه‌اندازی WAF و تنظیم قوانین پایه

  3. تنظیم Rate Limit و Timeout مناسب

  4. به‌روزرسانی وب‌سرور برای مقابله با Slowloris

  5. مانیتورینگ مداوم ترافیک و تنظیم هشدار

  6. ثبت شماره تماس تیم پشتیبانی ISP/CDN

  7. اجرای تست‌های فشار (Load Test)

  8. مستندسازی وظایف تیم فنی هنگام حمله

۹. سناریوی واقعی

مثال: سایت فروشگاهی ناگهان با خطای 503 مواجه می‌شود و مصرف پهنای باند سرور افزایش چشم‌گیری دارد.

اقدامات:

  1. بررسی لاگ‌ها و نوع ترافیک

  2. فعال‌سازی CDN در حالت “Under Attack”

  3. اعمال Rate Limit روی مسیرهای سنگین

  4. تماس با ISP برای فیلترینگ upstream

  5. پس از پایان حمله، تحلیل لاگ‌ها و بهینه‌سازی تنظیمات

۱۰. جمع‌بندی

حملات DDoS یکی از جدی‌ترین تهدیدهای سایبری محسوب می‌شوند. از حملات حجمی ساده تا حملات هوشمند لایهٔ کاربرد، هدف همه یکی است: از کار انداختن سرویس.
دفاع مؤثر تنها با ترکیب زیرساخت مقاوم، ابزارهای محافظتی (CDN، WAF)، مانیتورینگ فعال و طرح واکنش سریع ممکن است.

Attack DDos Reza Foruzan Security آموزش امنیت حملات شبکه طراحی سایت
رضا فروزان
رضا فروزان

علاقه‌ی من به تکنولوژی از سال‌های نخستین تحصیلم آغاز شد و به مرور، به یک مسیر حرفه‌ای تبدیل شد. در این مسیر، با پروژه‌های متنوعی در زمینه‌های طراحی وب‌سایت، تولید نرم‌افزار، امنیت داده‌ها و پیاده‌سازی شبکه‌های سازمانی همکاری داشته‌ام و همواره تلاش کرده‌ام تا هر پروژه را با بالاترین کیفیت، خلاقیت و دقت اجرا کنم

مقالات مرتبط
پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد.قسمتهای مورد نیاز علامت گذاری شده اند *

بستن
جستجو

اینتر را بزنید تا جستجو کنید یا ESC را ببندید