كيفية الحماية من هجوم ddos

كيفية حماية موقع الويب الخاص بك من هجوم DDoS

  • مؤلف المنشور:
  • فئة المشاركة:حماية DDoS
  • وقت القراءة:قراءة 14 دقيقة

تسمح هجمات DDoS للمتسللين بإغراق الشبكات أو الخوادم بحركة مرور وهمية. تؤدي حركة المرور إلى زيادة الحمل على الشبكة وتتسبب في تعطيل الاتصال. هذا يمنع طلبات المستخدم المشروعة من المعالجة. تُترك الشركة المستهدفة بدون خدمات ، مما يؤدي إلى فترة توقف طويلة ، وخسارة في الإيرادات ، وعملاء غير سعداء.

إذا عرفت شركة أو مؤسسة كيفية الحماية من هجوم DDoS ، فيمكنها مساعدتها على البقاء في صدارة المتسللين. ستساعد هذه الممارسات في تقليل تأثير هجمات DDoS وتسريع الاسترداد بعد محاولة الهجوم.

تحديد هجمات DDoS

يهدف هجوم DDoS ، أو هجوم رفض الخدمة الموزع ، إلى التسبب في انهيار شبكة أو خادم أو خدمة عن طريق إغراقها بحركة مرور وهمية. التعزيز المفاجئ في طلبات الاتصال والحزم والرسائل يطغى على البنية التحتية للهدف ، مما يؤدي إلى إبطاء أو تعطله.

يمكن للمتسللين استخدام هجمات DDoS لابتزاز الشركات لدفع فدية (على غرار برامج الفدية) ، ولكن هناك أسباب أكثر شيوعًا وراء DDoS.

  • يمكن أن تتعطل الاتصالات أو الخدمات
  • تلف العلامة التجارية.
  • يمكنك الحصول على ميزة تنافسية حتى في حالة تعطل موقع الويب الخاص بالمنافس.
  • صرف انتباه مجموعة الاستجابة للحوادث.

تشكل هجمات DDoS تهديدًا لجميع الشركات ، الكبيرة والصغيرة ، بالإضافة إلى شركات Fortune 500 وتجار التجزئة الإلكترونيين. يستهدف قراصنة DDoS بشكل شائع:

  • تجار التجزئة على الانترنت
  • مقدمو الخدمات في مجال تكنولوجيا المعلومات.
  • شركات في المالية والتكنولوجيا المالية.
  • الجهات الحكومية.
  • المقامرة عبر الإنترنت والكازينوهات

لإحداث DDoS ، يستخدم المهاجمون عادةً شبكة الروبوتات. Botnets عبارة عن شبكة من أجهزة الكمبيوتر والأجهزة المحمولة المصابة بالبرامج الضارة والتي يتحكم فيها المهاجم. يتم استخدام "أجهزة الزومبي" هذه من قبل المتسللين لإرسال طلبات زائدة إلى خادم أو موقع ويب مستهدف.

بمجرد تلقي الروبوتات طلبات كافية ، والخدمات عبر الإنترنت (رسائل البريد الإلكتروني ومواقع الويب ، وتطبيقات الويب ، وما إلى ذلك ، إما أنها تتوقف عن العمل أو تفشل. هذه هي متوسط ​​أطوال هجوم DDoS ، وفقًا لـ Radware.

  • 33٪ من المستجيبين يحافظون على عدم توفر الخدمات لأكثر من ساعة.
  • 60٪ تدوم أقل من يوم كامل
  • 15٪ لمدة شهر.

لا يؤدي هجوم DDoS عادةً إلى تسرب البيانات أو خرق البيانات. ومع ذلك ، يمكن أن يتسبب الحصول على الخدمات عبر الإنترنت مرة أخرى في خسائر مالية وخسائر في الوقت. يمكن أن يؤدي الفشل في إيقاف هجمات DDoS إلى فقدان الأعمال وعربات التسوق المهجورة وإلحاق الضرر بالسمعة.

أنواع هجمات DDoS

تم تصميم جميع هجمات DDoS لإرباك الأنظمة بالكثير من النشاط. لدى المتسللين استراتيجيات أخرى للتسبب في تعطيل الخدمة الموزعة.

الثلاثة أنواع الهجوم الرئيسية هي:

  • هجمات طبقة التطبيقات
  • هجمات البروتوكول
  • الهجمات الحجمية

على الرغم من اختلاف الطرق الثلاث ، إلا أن المخترق الماهر يمكنه استخدام الثلاثة للتغلب على هدف واحد.

هجمات طبقة التطبيق

يستهدف هجوم طبقة التطبيق تطبيقًا معينًا ولا يؤثر على الشبكة بالكامل. ينشئ المتسللون الكثير من طلبات HTTP ، مما يستنفد قدرة الخادم الهدف على الاستجابة.

يقيس خبراء الأمن السيبراني هجمات طبقة التطبيق لكل طلب. هذه الهجمات هي أهداف شائعة تشمل:

يصعب إيقاف هذا النوع من هجمات DDoS نظرًا لأن فرق الأمان غالبًا ما تكون غير قادرة على التمييز بين طلبات HTTP المشروعة والطلبات الضارة. هذه الهجمات أقل استهلاكًا للموارد من إستراتيجيات DDoS الأخرى وقد يستخدم المتسللون جهازًا واحدًا فقط لشن هجوم على طبقة تطبيق.

هجوم الطبقة 7 هو اسم شائع آخر لـ DDoS على مستوى التطبيق.

هجمات البروتوكول

تستغل هجمات بروتوكول DDoS نقاط الضعف في الإجراءات والبروتوكولات التي تنظم اتصالات الإنترنت. إنهم يستهدفون الشبكة بالكامل وليس مجرد تطبيق.

هذان هما النوعان الأكثر شيوعًا من محاولات DDoS القائمة على البروتوكول.

  • الفيضانات سين: يستغل هذا الهجوم إجراءات مصافحة TCP. يرسل المتسلل طلبات TCP إلى الهدف باستخدام عناوين IP مزيفة. يرسل المهاجم طلبات TCP بعناوين IP مزيفة إلى الهدف. بعد رد المهاجم ، ينتظر النظام المستهدف تأكيد المرسل. يتعطل الخادم لأن المهاجم لا يرسل الاستجابة المطلوبة.
  • سمورف DNS: يستخدم المتسلل برامج ضارة لإنشاء حزمة شبكة متصلة بعنوان IP غير موجود. تتضمن الحزمة رسالة ping لـ ICMP تطلب من الشبكة الرد. يرسل المهاجم الردود مرة أخرى إلى عنوان IP للشبكة ، مما يؤدي إلى إنشاء حلقة تؤدي في النهاية إلى تدمير النظام.

متخصصو الأمن السيبراني قياس محاولات البروتوكول في الحزم في الثانية (PPS) أو بت في الثانية (BPS). مهاجمو بروتوكول DDoS شائعون جدًا لأنهم يستطيعون تجاوز جدران الحماية سيئة التكوين.

الهجمات الحجمي

تستهلك هجمات DDoS المستندة إلى الحجم النطاق الترددي للهدف وتطلب البيانات بشكل خاطئ ، مما يؤدي إلى ازدحام الشبكة. تمنع حركة المرور من المهاجم المستخدمين الشرعيين من الوصول إلى خدمات معينة وتحظر التدفق المنتظم لحركة المرور.

هذه هي أكثر أنواع هجمات DDoS الحجمية شيوعًا:

  • فيضان UDP: تسمح هذه للمهاجمين بإغراق المنافذ على المضيفين المستهدفين بحزم IP التي تحتوي على بروتوكولات UDP عديمة الحالة.
  • تضخيم DNS أو انعكاس DNS: ينقل هذا الهجوم كميات كبيرة من طلبات DNS إلى عنوان IP الهدف.
  • فيضان ICMP: يستفيد هذا التكتيك من طلبات أخطاء ICMP الزائفة لإرباك عرض النطاق الترددي للشبكة.

الروبوتات هي أساس كل المحاولات الحجمية. ينشر المتسللون الأجهزة المصابة بالبرامج الضارة بأعداد كبيرة لتوليد طفرات في حركة المرور واستنفاد كل النطاق الترددي المتاح. الهجمات الحجمية هي أكثر أنواع DDoS شيوعًا.

الدفاع عن موقع الويب الخاص بك ضد هجوم DDoS

في حين أنه من المستحيل منع المتسللين من محاولة التسبب في هجمات DDoS ، إلا أن التخطيط الاستباقي والإجراءات الاستباقية يمكن أن تقلل من التأثير والمخاطر المحتملة لمثل هذه المحاولات.

قم بإنشاء خطط استجابة حماية DDoS.

يجب وضع خطة الاستجابة للحوادث من قبل فريق الأمن الخاص بك. سيضمن ذلك استجابة أعضاء فريقك بسرعة وفعالية لهجمات DDoS. يجب أن تتضمن الخطة ما يلي:

  • إرشادات خطوة بخطوة حول كيفية الرد على هجوم DDoS
  • كيف تحافظ على سير عملك بسلاسة
  • أصحاب المصلحة الرئيسيين والموظفين الذين يمكن الوصول إليهم في القمة
  • بروتوكولات التصعيد
  • مسؤوليات الفريق

فرض مستويات أمان عالية للشبكة.

يعد أمان الشبكة أمرًا ضروريًا لإيقاف أي محاولات هجوم DDoS. يمكن أن يكون للهجوم تأثير فقط إذا كان لدى المتسللين الوقت الكافي لتجميع الطلبات. من الأهمية بمكان أن تكون قادرًا على التعرف على هجوم DDoS مبكرًا للتحكم في نصف قطر الانفجار.

ليضمن حماية DDoS، يمكنك الاعتماد على الأنواع التالية من أمان الشبكة:

  • أنظمة الجدران النارية وكشف التسلل التي تعمل كجدران لمسح حركة المرور بين الشبكات
  • برنامج مكافحة الفيروسات والبرامج الضارة الذي يكتشف ويزيل ويحظر الفيروسات والبرامج الضارة
  • أمان نقطة النهاية ، وهو حل أمني يحمي نقاط النهاية (أجهزة الكمبيوتر المكتبية والأجهزة المحمولة) ولا يسمح للنشاط الضار بالوصول
  • أدوات أمان الويب التي تحظر حركة المرور المشبوهة وتزيل التهديدات المستندة إلى الويب
  • أدوات لمنع الانتحال ، والتحقق من أن حركة المرور لها عنوان أصل يتوافق مع عناوين المصدر
  • التقسيم الذي يفصل الأنظمة إلى شبكات فرعية باستخدام بروتوكولات فريدة وضوابط أمنية.

مستويات عالية من أمن البنية التحتية للشبكة مطلوبة حماية ضد محاولات DDoS. يمكنك تجهيز أجهزتك لارتفاع حركة المرور عن طريق تأمين الأجهزة (أجهزة التوجيه وموازنات التحميل وأنظمة DNS).

إنشاء فائض للخادم.

لا يمكن للقراصنة مهاجمة جميع الخوادم في وقت واحد إذا كانوا يعتمدون على عدة خوادم موزعة. يمكن للمهاجم شن هجوم DDoS ناجح على جهاز مضيف واحد ولكن الخوادم الأخرى لا تتأثر وتستمر في تلقي حركة المرور حتى يعود النظام المستهدف إلى الاتصال بالإنترنت.

لضمان عدم وجود أي اختناقات أو نقاط فردية للفشل ، من المهم أن تستضيف الخوادم في مرافق الموقع المشترك ومراكز البيانات. نظام تسليم المحتوى ممكن أيضا. تتضمن محاولات DDoS التحميل الزائد على الخوادم. يمكن لـ CDN توزيع الحمل بالتساوي بين عدة خوادم موزعة.

التعرف على علامات التحذير.

يجب أن يكون فريق الأمان لديك قادرًا على التعرف بسرعة على خصائص هجمات DDoS واتخاذ إجراءات فورية لتخفيف الضرر.

هذه هي المؤشرات الأكثر شيوعًا:

  • اتصال ضعيف
  • بطء الأداء
  • الطلب مرتفع لصفحة واحدة أو نقطة نهاية.
  • حوادث
  • قد تتلقى زيارات غير معتادة من عنوان IP واحد أو عدة عناوين IP.
  • ارتفاعات كبيرة في حركة المرور من المستخدمين الذين يشاركون ملفًا شخصيًا مشابهًا (نموذج النظام والموقع الجغرافي ، وإصدار مستعرض الويب ، وما إلى ذلك).

ليست كل الهجمات مرتبطة بحركة مرور عالية. غالبًا ما يتم التغاضي عن الحدث ذي الحجم المنخفض والمدة القصيرة كحدث غير ذي صلة. يمكن استخدام هذه الهجمات كتحويل أو اختبار لخرق أكثر خطورة (مثل برامج الفدية). إن اكتشاف محاولة منخفضة الحجم لا يقل أهمية عن تحديد محاولة كاملة.

قد تفكر في تنظيم برنامج توعية أمني لتثقيف جميع الموظفين حول العلامات التحذيرية للهجمات. بهذه الطريقة ، لا تترك علامات التحذير للصدفة ويمكن لأفراد الأمن التقاطها على الفور.

مراقبة حركة مرور الشبكة باستمرار.

لاكتشاف النشاط ، من المستحسن استخدام المراقبة المستمرة. فيما يلي فوائد CM:

  • يمكنك الكشف عن المحاولات في الوقت الفعلي قبل أن تأخذ أقصى درجاتها.
  • يمكن لأعضاء الفريق تطوير إحساس قوي بالنشاط المعتاد وأنماط حركة المرور. يمكن للفريق تحديد الأنشطة غير المعتادة بسهولة أكبر بمجرد أن يكون لديهم فهم أفضل للعمليات اليومية.
  • المراقبة متاحة على مدار الساعة لاكتشاف علامات الهجمات التي تحدث خارج ساعات العمل العادية وعطلات نهاية الأسبوع.

اعتمادًا على الترتيب ، يمكن لأداة CM إما الاتصال بالمسؤولين لحل مشكلة أو اتباع تعليمات من برنامج نصي.

تنظيم البث الشبكي.

لزيادة التأثير ، من المرجح أن يرسل المتسللون الذين يقفون وراء المحاولة طلبات إلى جميع الأجهزة الموجودة على شبكتك. يمكن مواجهة هذا التكتيك من قبل فريق الأمان الخاص بك عن طريق تقييد البث بين الأجهزة.

يمكن إيقاف إعادة توجيه البث أو إيقاف تشغيله إذا كان من الممكن تعطيل المحاولات ذات الحجم الكبير. يمكنك إرشاد الموظفين للتعطيل صدى or تشارجن عندما يكون ذلك ممكنا.

استفد من قوى السحابة.

التخفيف المعتمد على السحابة ليس بنفس قوة البرامج والأجهزة الموجودة في الشركة. الحماية المستندة إلى السحابة قادرة على توسيع نطاق ومعالجة حتى كميات كبيرة من الهجمات بسهولة.

  • يوفر موفرو السحابة أمانًا إلكترونيًا شاملاً مع أفضل جدران الحماية وبرامج مراقبة التهديدات والمزيد.
  • عرض النطاق الترددي للسحابة العامة أكبر من أي شبكة خاصة.
  • تقدم مراكز البيانات تكرارًا عاليًا ونسخًا من البيانات والمعدات والأنظمة.

عادة ما يتوفر خياران للأعمال عندما يتعلق الأمر بالحماية المستندة إلى السحابة.

  • التخفيف من السحابة عند الطلب: يتم تنشيط هذه الخدمات بعد أن يكتشف فريق أو مزود داخلي تهديدًا. للاحتفاظ بالخدمات على الإنترنت ، سيقوم المزود بتحويل كل حركة المرور إلى موارد السحابة إذا تأثرت بمحاولة.
  • حماية السحابة: تقوم هذه الخدمات بتوجيه حركة المرور عبر مركز تنقية السحابة ، بأقل زمن انتقال. هذا هو الخيار الأفضل للتطبيقات ذات المهام الحرجة التي لا يمكنها تحمل وقت التوقف عن العمل.

قد لا تكون الحماية المستندة إلى السحابة ضرورية إذا كان فريقك مختصًا. للحصول على نفس النتائج مثل الحماية الدائمة أو عند الطلب ، يمكنك إنشاء بيئة مختلطة أو بيئة متعددة السحابة.

وفي الختام

هجوم DDoS هو أمر خطير ، ومثل هذه الحالات تزداد وتيرتها. يتوقع الخبراء أن متوسط ​​الهجوم السنوي سيرتفع إلى 15.4 مليون بحلول عام 2023. ويشير هذا الرقم إلى أن كل شركة تقريبًا ستتأثر بهجوم في مرحلة ما. لذلك ، من المهم الاستعداد لمثل هذه المحاولة.