حماية من هجمات DoS
Categories:
حماية من هجمات DDoS
نوعان من هجمات DoS:
- تعطيل الخدمة
- إغراق الشبكة
أنواع الهجمات
| نوع الهجوم | طريقة الهجوم | وسيلة المواجهة |
|---|---|---|
| هجمات DDoS الموزعة | هجوم متزامن من عدة أجهزة مستقلة ذات عناوين IP مختلفة | 1. خفض مستوى الخدمة 2. قائمة سوداء 3. إيقاف أجهزة الشبكة |
| هجوم Yo-yo (ال悠悠球) | على الخدمات القادرة على التوسع التلقائي، الهجوم في فترات تقليل الموارد | قائمة سوداء |
| هجمات طبقة التطبيق | تستهدف وظائف أو خصائص محددة، تصنف هجمات LAND ضمن هذا النوع | قائمة سوداء |
| LANS | هذه الطريقة تستخدم حزم TCP SYN مصممة خصيصًا (تُستخدم عادة لبدء اتصال جديد)، تجعل الهدف يفتح اتصالًا فارغًا بعنوان IP المصدر والوجهة متطابقين مع IP الهدف، مما يؤدي إلى استجابة مستمرة وتستهلك موارد النظام حتى ينهار. هذه الطريقة تختلف عن هجمات SYN Flood. | قائمة سوداء |
| هجمات DoS المتقدمة المستمرة | تتجنب الاكتشاف/أهداف محددة/تتفادى الإجراءات المضادة/هجوم طويل الأمد/قوة حاسوبية عالية/هجوم متعدد الخيوط | خفض مستوى الخدمة |
| هجوم DoS Slow POST (البطيء) | إنشاء اتصال شرعي ثم إرسال كميات كبيرة من البيانات ببطء شديد، يؤدي إلى استنفاد موارد الخادم | خفض مستوى الخدمة |
| هجوم Challenge Collapsar (CC) | إرسال طلبات شرعية قياسية بشكل متكرر، هذه الطلبات تستهلك موارد كبيرة، مثل محركات البحث التي تستهلك ذاكرة كبيرة | خفض مستوى الخدمة، التعرف على المحتوى |
| فيض ICMP (بروتوكول رسائل التحكم في الإنترنت) | إرسال عدد كبير من حزم ping/ ping خاطئة / ping of death (حزمة ping غير صالحة) | خفض مستوى الخدمة |
| هجوم رفض الخدمة الدائم | هجوم على الأجهزة | التعرف على المحتوى |
| هجوم انعكاسي | إرسال طلب إلى طرف ثالث، من خلال تزوير العنوان، توجيه الرد إلى الضحية الحقيقية | نطاق ddos |
| تضخيم | استخدام بعض الخدمات كعاكسة، لتكبير حجم التدفق | نطاق ddos |
| شبكة بوت Mirai | استخدام أجهزة إنترنت الأشياء المسيطر عليها | نطاق ddos |
| ذعر SACK | استغلال الحد الأقصى لحجم المقطع وتأكيد الاختيار، يؤدي إلى إعادة إرسال | التعرف على المحتوى |
| هجوم Shrew (ال泼妇) | استغلال ضعف آلية إعادة إرسال TCP، باستخدام انفجارات مزامنة قصيرة لقطع اتصالات TCP على نفس الرابط | التخلص من الحزم عند انتهاء الصلاحية |
| هجوم Slow Read (القراءة البطيئة) | مشابه لـ Slow POST، إرسال طلب شرعي، لكن القراءة بطيئة جدًا، لاستنفاد بركة الاتصالات، يتم ذلك بالإعلان عن رقم صغير جدًا لحجم نافذة استلام TCP | قطع الاتصال عند انتهاء الصلاحية، خفض مستوى الخدمة، قائمة سوداء |
| فيض SYN | إرسال عدد كبير من حزم TCP/SYN، يؤدي إلى إنتاج اتصالات نصف مفتوحة من قبل الخادم | آلية انتهاء الصلاحية |
| هجوم Teardrop (الدموع) | إرسال أجزاء IP تالفة بحمولة زائدة عن التداخل إلى الهدف | التعرف على المحتوى |
| هجوم انتهاء TTL | عند رمي الحزمة بسبب انتهاء TTL، يجب على CPU الموجه إنشاء وإرسال استجابة ICMP timeout. إنشاء العديد من هذه الاستجابات قد يثقل كاهل CPU الموجه | التخلص من التدفق |
| هجوم UPnP | مبني على تقنية تضخيم DNS، لكن آلية الهجوم هي جهاز توجيه UPnP، يقوم بإعادة توجيه الطلب من مصدر خارجي إلى مصدر آخر، مع تجاهل قواعد سلوك UPnP | خفض مستوى الخدمة |
| هجوم انعكاس SSDP | العديد من الأجهزة، بما في ذلك بعض أجهزة التوجيه المنزلية، تحتوي على ثغرات في برنامج UPnP، يمكن للمهاجمين استغلالها للحصول على ردود إلى عنوان الهدف المختار من رقم المنفذ 1900 | خفض مستوى الخدمة، حظر المنفذ |
| انتحال ARP | ربط عنوان MAC مع عنوان IP لجهاز كمبيوتر آخر أو بوابة (مثل جهاز توجيه)، مما يؤدي إلى إعادة توجيه حركة المرور المخصصة لـ IP الأصلي إلى المهاجم، مما يؤدي إلى رفض الخدمة. | نطاق ddos |
تدابير الحماية
- التعرف على حركة الهجوم
- تعطيل الخدمة
- التعرف على محتوى الحركة
- إغراق الخدمة
- تسجيل وقت الزيارة
- تعطيل الخدمة
- معالجة حركة الهجوم
- التخلص من حركة الهجوم
- حظر IP الهجوم
- IPv4 عدد IP محدود، من السهل إنشاء قائمة سوداء
- IPv6 عدد كبير من IP، من الصعب إنشاء قائمة سوداء. يمكن استخدام قطاعات عناوين IPv6، ولكن هناك خطر الحظر الخاطئ
- التحكم في معدل الزيارة
أدوات مفتوحة المصدر
أدوات الهجوم
https://github.com/palahsu/DDoS-Ripper- 162 forks, 755 stars
- https://github.com/MHProDev/MHDDoS
- 539 forks, 2.2k stars
- MHDDoS - نص هجوم DDoS مع 40 طريقة
- https://github.com/NewEraCracker/LOIC
- 539 forks, 1.9k stars
- C#
- أداة ضغط الشبكة
- https://github.com/PraneethKarnena/DDoS-Scripts
- 165 forks, 192 stars
- C, Python
- https://github.com/theodorecooper/awesome-ddos-tools
- 46 stars
- مجموعة من أدوات ddos
أدوات الدفاع
- https://github.com/AltraMayor/gatekeeper
- رخصة GPL-3.0
- 159 forks, 737 stars
- C, Lua
- Gatekeeper هو أول نظام حماية مفتوح المصدر من DoS.
https://github.com/Exa-Networks/exabgp- رخصة مشابهة لـ Apache
- 415 forks, 1.8k stars
- Python
- Swiss army knife للشبكات BGP
- https://github.com/curiefense/curiefense
- رخصة Apache 2.0
- 60 forks, 386 stars
- حماية طبقة التطبيق
- يحمي المواقع والخدمات وواجهات برمجة التطبيقات
- https://github.com/qssec/Hades-lite
- رخصة GPL-3.0
- 24 forks, 72 stars
- C
- برنامج تشغيل Anti-ddos على مستوى النواة
- https://github.com/snort3/snort3
- رخصة GPL-2.0
- 372 forks, 1.4k stars
- Snort IPS (نظام منع التسلل) الجيل التالي
- C++
مراقبة حركة المرور
- https://github.com/netdata/netdata
- رخصة GPL-3.0
- 5.2k forks, 58.3k stars
- C
- https://github.com/giampaolo/psutil
- رخصة BSD-3-Clause
- 1.2 forks, 8.2k stars
- Python, C
- مكتبة صليبية للأنظمة والعمليات، أيضًا مراقبة الشبكة
- https://github.com/iptraf-ng/iptraf-ng
- رخصة GPL-2.0
- 22 forks, 119 stars
- C
- IPTraf-ng هو برنامج مراقبة شبكة قائم على واجهة أوامر Linux يُظهر معلومات حول حركة IP.