تفاوت بین حملات DoS و DDoS چیست؟

حمله denial-of-service یا همان (DoS) یک سرور را پر از ترافیک می‌کند و یک وب‌سایت یا منبع را از دسترس خارج می‌کند. حمله distributed denial-of-service  یا (DDoS) یک حمله DoS است که از چندین کامپیوتر یا ماشین به یک منبع هدف استفاده می‌کند درواقع  DDoS، نوعی حمله سایبری است که هدف آن بستن وب‌سایت، خدمات یا سایر منابع برای ایجاد اختلال در تجارت است. هر دو نوع حمله یک سرور یا برنامه وب را با هدف قطع کردن خدمات پر ترافیک می‌کنند.

از آنجایی که سرور پر از بسته‌های داده‌های کاربر (TCP/UDP) است که امکان پردازش ندارد، ممکن است از کار بیفتد، داده‌ها خراب شوند و منابع ممکن است به اشتباه هدایت شوند یا حتی سیستم را از کار بیاندازد.

در واقع تفاوت اصلی بین DoS و DDoS این است که DoS یک حمله به یک سیستم دارد، در حالی که DDoS شامل چندین سیستم است که به یک سیستم واحد حمله می‌کنند. Distributed Denial of Service یک استراتژی پیشرفته‌تر از حملات Denial of Service (DoS) است. در DoS، یک سیستم واحد تلاش می‌کند تا سیستم دیگری را بیش از حد پر ترافیک کند تا دسترسی به خدمات خود را مسدود کند.

DDoS همان هدف را دارد، اما قدرتمندتر است. به‌جای اینکه یک ماشین برای از بین بردن یک سیستم اضافه وقت کار کند، تعدادی از ماشین‌های مرتبط حمله را اجرا می‌کنند و به‌طور گسترده کارایی آن را افزایش می‌دهند و بازیابی سیستم را دشوارتر می‌کنند.

با این حال، تفاوت‌های دیگری نیز وجود دارد که شامل ماهیت یا تشخیص آن‌ها می‌شود، از جمله:

سهولت تشخیص: از آنجایی که یک DoS از یک مکان منفرد می‌آید، تشخیص منشأ آن و قطع اتصال آسان‌تر است. در واقع یک فایروال حرفه‌ای می‌تواند این کار را انجام دهد. از سوی دیگر، یک حمله DDoS از چندین مکان راه دور انجام می‌شود و منشأ آن را پنهان می‌کند.

سرعت حمله: از آنجا که یک حمله DDoS از چندین مکان انجام می‌شود، می‌تواند بسیار سریع‌تر از یک حمله DoS که از یک مکان منشأ می‌گیرد، مستقر شود. افزایش سرعت حمله تشخیص آن را دشوارتر می‌کند، به این معنی که آسیب بیشتر یا حتی یک نتیجه فاجعه‌بار خواهد بود.

حجم ترافیک: یک حمله DDoS از چندین ماشین راه دور (زامبی‌ها یا ربات‌ها) استفاده می‌کند، به این معنی که می‌تواند مقادیر بسیار بیشتری از ترافیک را از مکان‌های مختلف به طور همزمان ارسال کند و ترافیک سرور را پر کند و قابل‌شناسایی نباشد.

نحوه اجرا: یک حمله DDoS میزبان‌های متعدد آلوده به بدافزار (ربات‌ها) را هماهنگ می‌کند و یک بات نت ایجاد می‌کند که توسط یک سرور فرمان و کنترل (C&C) مدیریت می‌شود. در مقابل، یک حمله DoS معمولاً از یک اسکریپت یا یک ابزار برای انجام حمله استفاده می‌کند.

بات نت شبکه‌ای از چندین کامپیوتر است که مخفیانه و بدون اطلاع صاحبانشان، توسط یک بات مستر (Bot Master) برای انجام فعالیت‌های مخرب و اغلب حملات DDoS یا ارسال ایمیل‌های هرزنامه تحت کنترل گرفته شده‌اند.

ردیابی منبع (ها): استفاده از بات نت در یک حمله DDoS به این معنی است که ردیابی منشأ واقعی بسیار پیچیده‌تر از ردیابی منشأ یک حمله DoS است.

 

انواع حملات DoS و DDoS

حملات DoS و DDoS می‌توانند اشکال مختلفی داشته باشند و از ابزارهای مختلف مورداستفاده قرار گیرند که ممکن است یک شرکت تجارت خود را از دست بدهد، یک رقیب را فلج کند یا صرفاً ایجاد مشکل نماید و سریعاً رفع شود. در زیر برخی از اشکال رایج این‌گونه حملات آورده شده است.

 

1. حمله قطره اشک (Teardrop Attack)

حمله قطره اشکی یک حمله DoS است که قطعات بی‌شماری از داده‌های پروتکل اینترنت (IP) را به یک شبکه ارسال می‌کند. هنگامی که شبکه سعی می‌کند قطعات را مجدداً در بسته‌های اصلی آن‌ها کامپایل کند، نمی‌تواند.

به عنوان مثال، مهاجم ممکن است بسته‌های داده بسیار بزرگی را بگیرد و آن‌ها را به چند قطعه تقسیم کند تا سیستم موردنظر دوباره جمع شود. با این حال، مهاجم نحوه جداسازی بسته را تغییر می‌دهد تا سیستم هدف را گیج کند که پس از آن قادر به جمع‌آوری مجدد قطعات در بسته‌های اصلی نیست.

 

2. حمله سیل (Flooding Attack)

حمله سیل یک حمله DoS است که چندین درخواست اتصال را به یک سرور ارسال می‌کند اما برای تکمیل پروسه اتصال پاسخ نمی‌دهد زیرا این حمله‌ها، سعی می‌کند با ارسال درخواست و مشغول نگه داشتن سرور، ظرفیت سرور برای پاسخ‌گویی به درخواست‌ها را به حداقل ممکن برساند و مانع دسترسی کاربران به سرویس شود.

به عنوان مثال، مهاجم ممکن است درخواست‌های مختلفی را برای اتصال به عنوان یک کلاینت ارسال کند، اما زمانی که سرور سعی می‌کند برای تأیید اتصال مجدداً ارتباط برقرار کند، مهاجم از پاسخ دادن خودداری می‌کند. پس از تکرار بی‌شمار این فرآیند، سرور چنان غرق در درخواست‌های معلق می‌شود که کلاینت‌های واقعی نمی‌توانند به آن متصل شوند و سرور «مشغول» یا حتی از کار می‌افتد.

 

3. حمله تکه‌تکه شدن IP(IP Fragmentation Attack)

حمله IP Fragmentation نوعی حمله DoS است که بسته‌های شبکه تغییریافته‌ای را تحویل می‌دهد که شبکه دریافت‌کننده نمی‌تواند آن‌ها را دوباره جمع کند. شبکه با بسته‌های حجیم مونتاژ نشده گرفتار می‌شود و تمام منابع خود را مصرف می‌کند.

 

4. حمله حجمی (Volumetric Attack)

حمله حجمی نوعی حمله DDoS است که برای هدف قرار دادن منابع پهنای باند استفاده می‌شود. به‌عنوان‌مثال، مهاجم از یک بات نت برای ارسال حجم بالایی از بسته‌ها به یک شبکه استفاده می‌کند که این باعث می‌شود که خدمات کاهش یابد یا حتی به طور کامل متوقف شود.

 

5. حمله پروتکلی (Protocol Attack)

حمله پروتکلی نوعی حمله DDoS است که از نقاط ضعف لایه‌های 3 و 4 مدل OSI استفاده می‌کند. به‌عنوان‌مثال، مهاجم ممکن است از توالی اتصال TCP سوءاستفاده کند، با مصرف تمام ظرفیت جدول موجود در سرورهای برنامه وب یا منابع واسطه‌ای مانند فایروال‌ها و توازن بار باعث ایجاد اختلال در سرویس می‌شوند.

 

6. حمله مبتنی بر برنامه (Application-based Attack)

حمله مبتنی بر برنامه نوعی حمله DDoS است که لایه 7 مدل OSI را هدف قرار می‌دهد. به‌عنوان‌مثال یک حمله است که در آن مهاجم درخواست‌های جزئی پروتکل انتقال ابرمتن (HTTP) را ارسال می‌کند اما آن‌ها را تکمیل نمی‌کند. هدرهای HTTP به‌صورت دوره‌ای برای هر درخواست ارسال می‌شوند و در نتیجه منابع شبکه بسته می‌شود.

مهاجم به حمله ادامه می‌دهد تا زمانی که هیچ اتصال جدیدی توسط سرور ایجاد نشود. شناسایی این نوع حمله بسیار دشوار است زیرا به جای ارسال بسته‌های خراب، بسته‌های جزئی را ارسال می‌کند و از پهنای باند کمی استفاده می‌کند.

چگونه می‌توان حفاظت از حملات DoS و DDoS را بهبود بخشید

در زیر برخی از بهترین شیوه‌های سطح بالا برای حفاظت از DoS و DDoS آمده است:

1. شبکه خود را به طور مستمر نظارت کنید: این برای شناسایی الگوهای ترافیکی عادی مفید و برای تشخیص زودهنگام و کاهش آن بسیار مهم است.
2. آزمایش‌هایی را برای شبیه‌سازی حملات DoS اجرا کنید: این به ارزیابی ریسک، افشای آسیب‌پذیری‌ها و آموزش کارکنان در زمینه امنیت سایبری کمک می‌کند.
3. ایجاد یک طرح حفاظتی: چک‌لیست ایجاد کنید، یک تیم پاسخ تشکیل دهید، پارامترهای پاسخ را تعریف کنید و حفاظت را مستقر کنید.
4. شناسایی سیستم‌های بحرانی و الگوهای ترافیکی عادی: اولی به حفاظت از برنامه‌ریزی کمک می‌کند و دومی به تشخیص زودهنگام تهدیدها کمک می‌کند.
5. ارائه پهنای باند اضافی: ممکن است حمله را متوقف نکند، اما به شبکه کمک می‌کند تا با جهش‌های ترافیک مقابله کند و تأثیر هر حمله را کاهش دهد.

 

حملات DDoS در حال تکامل هستند، پیچیده‌تر و قدرتمندتر می‌شوند، بنابراین سازمان‌ها به راه‌حل‌هایی نیاز دارند که از استراتژی‌های جامع مانند ابزارهای گزارش‌دهی پیشرفته و تجزیه‌وتحلیل برای نظارت بر پارامترهای بی‌شماری تهدید به طور همزمان استفاده کنند.