أنواع هجمات DDoS

على مدار العقدين الماضيين ، تزايد قلق العديد من الشركات والحكومات بشأن انتشار أنواع مختلفة من هجمات DDoS. تم الإبلاغ عنها لأول مرة في عام 1996، هجمات رفض الخدمة الموزعة (DDoS) هي مجموعة من التهديدات السيبرانية المدمرة والمتطورة باستمرار والتي تعطل الشبكات الإلكترونية عن طريق إغراقها بحركة مرور لا تستطيع التعامل معها.

يمكن أن يستخدم نشطاء القرصنة هجمات DDoS لإظهار احتجاجهم على الرقابة على الإنترنت والمبادرات الأخرى المثيرة للجدل. كما أنه يفتح طرقًا مختلفة للمتسللين لمتابعة أهداف شائنة. أحدث تطور في وباء DDoS هو "Ransom DDoS" ، وهو عبارة عن منصة تمكن المتسللين من ابتزاز الأموال للمؤسسات مقابل إيقاف توغل واسع النطاق.

DDoS هي ظاهرة معقدة يمكن أن تجعل من الصعب هزيمتها بسبب طبيعتها غير المتجانسة والعديد من التكتيكات.

هناك ثلاثة أساسية جالشركات هجمات DDoS التي تشكل جوهر هذا النظام البيئي:

هجوم DDoS الحجمي

تشكل الهجمات الحجمية النوع الأكثر شيوعًا من هجمات DDoS. على الرغم من أنها تنتج قدرًا كبيرًا من حركة المرور ، والتي تتجاوز أحيانًا 100 جيجابت في الثانية ، لا يتعين على المتسللين إنشاء الكثير منها. هذا يجعل الهجمات الحجمية واحدة من أسهل أنواع هجمات DDoS ، حيث يمكنك استخدام كمية صغيرة من حركة المرور عبر عنوان IP مخادع لإنشاء جيجابت.

تُستخدم الهجمات الحجمية المرتكزة على المرآة لاستهداف الخدمات. يرسلون طلبات مشروعة باستخدام عناوين IP مخادعة إلى خادم DNS و NTP. عندما تستجيب خوادم DNS أو خوادم NTP ، فإنها ترد على الطلبات المشروعة. غالبًا ما يكون هذا هو عنوان IP المخادع. في مثل هذه الحالة ، يستهدف الهجوم عنوان URL المخادع ، والذي يتم بعد ذلك قصفه في دفق البيانات المضخم.

هجوم DDoS القائم على البروتوكول

تم تصميم هجمات البروتوكول لاستغلال نقطة ضعف في الطبقة 3 والطبقة 4 من طبقات OSI. TCP Syn Flood هو هجوم البروتوكول الأكثر شهرة. يتضمن ذلك إرسال سلسلة من أوامر TCP SYN إلى الهدف ، والتي يمكن أن تطغى عليه وتجعله غير مستجيب. بصرف النظر عن كونه هجومًا على التطبيقات ، فإن انقطاع Dyn الأخير شمل أيضًا منفذ TCP Syn فيضان 53 من خوادم Dyn. في النهاية ، تهدف هجمات البروتوكول إلى استنفاد موارد الخادم أو موارد جدار الحماية.

هجوم DDoS المستند إلى التطبيق

تعتبر هجمات DDoS ضد التطبيقات هي الأصعب في اكتشافها وفي بعض الحالات حتى التخفيف منها. تعد هجمات طبقة التطبيقات أكثر الهجمات تطوراً وتخفيًا لأنها يمكن أن تولد حركة مرور بمعدل منخفض باستخدام جهاز مهاجم واحد فقط. يصعب اكتشاف هذه الهجمات باستخدام أنظمة المراقبة التقليدية القائمة على التدفق.

يمتلك المتسللون الذين يستخدمون هجمات طبقة التطبيقات معرفة عميقة بالبروتوكولات والتطبيقات المعنية. غالبًا ما يكون استهداف حركة المرور لطبقات التطبيق أمرًا مشروعًا. إنه ينطوي على تنشيط عملية خلفية تستنزف الموارد وتجعلها غير متاحة ، مما يجعل منع مثل هذه الهجمات أكثر صعوبة.

في الآونة الأخيرة ، تعرض NS1 ، مزود خدمة DNS المستند إلى السحابة ، لهجوم DDoS ضد البنية التحتية لنظام DNS الخاص بهم. تأثرت بعض المواقع الأكثر شهرة ، مثل Yelp ، بالهجوم. أكد NS1 الهجوم وقال إنه كان مزيجًا من الهجمات الحجمية وطبقة التطبيقات التي تضمنت هجمات الحزم المشوهة واستعلامات DNS المباشرة الضارة. هاجم المهاجمون البنية التحتية لـ NS1 ومزود الاستضافة ، مما تسبب في تعطيل موقع الويب الخاص بهم.

بصرف النظر عن هذه الفئات الثلاث المذكورة أعلاه ، يتم تصنيف هجمات DDoS إلى عشرات الفئات الفرعية التي تندرج تحت أي فئة من الفئات الرئيسية الثلاث وتظهر بعض الخصائص الفريدة.


فيما يلي بعض الأمثلة على الأنواع الحديثة لهجمات DDoS:

هجوم SYN Flood DDoS

يستغل هذا الهجوم اتصال TCP ثلاثي الاتجاهات ويستخدم لإنشاء أي اتصال بين العملاء والمضيفين والخوادم باستخدام بروتوكول TCP. يرسل العميل عادةً رسالة SYN (مزامنة) إلى المضيف لطلب اتصال.

يتضمن هجوم فيضان SYN إرسال العديد من الرسائل من عنوان مخادع. والنتيجة هي أن الخادم المستلم لا يمكنه معالجة أو تخزين العديد من ملفات SYN ويرفض الخدمة للعملاء.

هجوم LAND DDoS

لتنفيذ هجوم رفض الشبكة المحلية (LAND) ، يرسل ممثل التهديد بريد SYN مزيفًا تكون فيه عناوين IP الوجهة والمصدر متطابقة. عندما يحاول الخادم الهدف الرد على هذه الرسالة ، فإنه ينشئ ردودًا متكررة على نفسه. يؤدي هذا إلى سيناريو خطأ يمكن أن يؤدي في النهاية إلى عدم قدرة المضيف الهدف على الاستجابة.

هجوم DDoS الخاص بـ SYN-ACK Flood

يستغل متجه الهجوم هذا مرحلة اتصال TCP ، حيث يقوم الخادم بإنشاء حزمة SYN-ACK لتأكيد طلب العميل. يقوم المحتالون بإغراق ذاكرة الوصول العشوائي ووحدة المعالجة المركزية للخادم الهدف بعدد كبير من حزم SYNACK المارقة لتنفيذ هجمات DDoS هذه.

ACK & PUSH ACK Flood DDoS Attack

بمجرد إنشاء اتصال TCP ثلاثي الاتجاهات ، يمكن إرسال حزم ACK و PUSH ACK مرة أخرى إلى الخلف حتى تنتهي الجلسة. لا يستطيع الخادم المستهدف الذي يخضع لهجمات DDoS هذه تحديد مكان نشأة الحزم المزيفة ، وبالتالي يهدر موارد المعالجة الخاصة به في محاولة لتحديد كيفية التعامل معها.

هجوم فيضان ACK مجزأ

هذا النوع من هجوم DDoS هو نسخة من تقنية ACK & PUSH ACK Flood. إنها هجمات DDoS بسيطة تغمر شبكة الكمبيوتر المستهدفة بعدد محدود من حزم ACK المجزأة. يبلغ الحد الأقصى لحجم كل حزمة ACK 1500 بايت. إنها مشكلة شائعة لأجهزة التوجيه ومعدات الشبكة الأخرى لمحاولة إعادة تجميع هذه الحزم المجزأة. يمكن لأنظمة منع التطفل (IPS) اكتشاف الحزم المجزأة ومنعها من الوصول إلى جدران الحماية الخاصة بها.

فيضان الجلسة المخادعة (هجوم الجلسة الوهمية)

يمكن لمجرمي الإنترنت استخدام حزم SYN الزائفة لتجاوز أدوات حماية الشبكة. كما يقومون بإرسال حزم ACK متعددة وحزمة RST أو FIN واحدة على الأقل. يسمح هذا للمجرمين بتجاوز الدفاعات التي تركز على حركة المرور الواردة وليس إعادة تحليل حركة المرور.

هجوم الفيضانات UDP

تستغل هجمات DDoS عدة حزم بروتوكول مخطط بيانات المستخدم (UDP). لا تحتوي اتصالات UDP على آلية مصافحة مثل TCP ، وبالتالي فإن خيارات التحقق من عنوان IP محدودة. يتجاوز حجم الحركة الوهمية الناتجة عن هذا الاستغلال الحد الأقصى لسعة الخادم لمعالجة الطلبات والاستجابة لها.

هجوم فيضان DNS

هذا متغير في UDP Flood ، وهو نوع يستهدف خوادم DNS على وجه التحديد. يقوم هذا العامل الخبيث بإنشاء حزم طلبات DNS وهمية تبدو شرعية ويبدو أنها تأتي من العديد من عناوين IP المختلفة. يعد DNS Flood أحد أصعب عمليات رفض هجمات DDoS التي يتم اكتشافها والتعافي منها.

هجوم الفيضانات عبر بروتوكول الإنترنت

يعد هجوم DDoS أحد أكثر أنواع هجمات DDoS انتشارًا ، ويستهدف خادم بروتوكول نقل الصوت عبر الإنترنت (VoIP). يتم إرسال العديد من طلبات VoIP الاحتيالية من العديد من عناوين IP لاستنزاف موارد الخادم الهدف وإيقافه.

هجوم الفيضانات NTP

بروتوكول وقت الشبكة (NTP) ، وهو بروتوكول للشبكات كان موجودًا منذ البداية وهو مسؤول عن مزامنة الساعة بين الأجهزة الإلكترونية ، وهو مفتاح ناقل هجوم DDoS آخر. الهدف هو زيادة التحميل على الشبكة المستهدفة بحزم UDP باستخدام خوادم NTP التي يمكن الوصول إليها بشكل عام.

هجوم فيضان الشحن

على غرار NTP ، يعد بروتوكول مولد الأحرف أو CHARGEN إصدارًا أقدم من NTP. تم تطويره في الثمانينيات. على الرغم من ذلك ، لا يزال يتم استخدامه على بعض الأجهزة المتصلة مثل الطابعات وآلات التصوير. يتضمن إرسال حزم صغيرة تحتوي على IP مصطنع لخادم الضحية إلى الأجهزة مع تمكين بروتوكول CHARGEN. ترسل الأجهزة التي تواجه الإنترنت حزمًا متدفقة من UDP إلى خادم الضحية ردًا على ذلك. هذا يغمر الخادم بالبيانات الزائدة عن الحاجة.

هجوم فيضان SSDP

من خلال تنفيذ هجمات DDoS المستندة إلى الانعكاس على بروتوكول Simple Service Discovery Protocol (SSDP) على الأجهزة المتصلة بالشبكة التي تشغل خدمات التوصيل والتشغيل العالمية (UPnP) ، يمكن للمخالفين استغلال هذه الأجهزة. يتم إرسال حزم UDP الصغيرة ، التي تحتوي على عناوين IP مزيفة ، إلى عدة أجهزة قادرة على UPnP بواسطة المهاجم. يصبح الخادم غارقًا في هذه الطلبات حتى يتم إجباره على الإغلاق.

هجوم فيضان HTTP

في هذه الأنواع من هجمات DDoS ، يرسل المهاجم طلبات GET / POST مشروعة ظاهريًا إلى خادم أو تطبيق ويب ، مما يؤدي إلى اختلاس معظم أو كل الموارد. تتضمن هذه التقنية شبكات الروبوت المكونة من "أجهزة كمبيوتر زومبي" سبق أن أصيبت ببرامج ضارة.

هل أنت مستعد لهذه الأنواع من هجمات DDoS؟ احصل على حماية DDoS متقدمة لموقع الويب الخاص بك دون تبديل المضيفين الآن.