الدرس الرابع:هجومات DoS و DDoS

ننتقل اليوم إلى موضوع جديد في عالم أمن المعلومات أﻻ وهو هجومات حجب الخدمة أو ما يعرف اختصارا بـ DoS و في بعض اﻷحيان يسمى DDoS،لماذا هته التسميات و ما الفرق بينهما؟

كثرت في اﻵونة الأخيرة هجومات حجب الخدمة عن المواقع الكبرى و في مقدمتها تويتر و فايسبوك،إﻻ أن تلك الهجومات لم تستطع إسقاط تلك المواقع لعدة أسباب سيتم ذكرها ﻻحقا...دعونا نتعرف على الهجومات أوﻻ...

1- هجوم حجب الخدمة DoS: أو ما يعرف أيضا بـ Denial of Service،هذا الهجوم في العادة يتم من طرف مهاجم واحد عن طريق إما عن طريق سطر اﻷوامر أو أحد البرامج المختصة في هذا النوع من الهجومات و التي في العادة يكون الهدف من هذا الهجوم هو إسقاط سيرفر الموقع و جعله ﻻ يستجيب،في العادة يتم تنفيذ هذا النوع من الهجومات على سيرفيرات المواقع الصغيرة و المتوسطة و التي تكون ذات مزايا محدودة نوعا.يمكن تنفيذ هذا الهجوم من طرف عدة مهاجمين و ليس شرطا أن يكون المنفذ شخصا واحدا و لكن في العادة ﻻ يفوق عدد المهاجمين 100 مهاجم.

2-هجوم حجب الخدمة الموزع DDoS:أو ما يعرف أيضا بـ Distributed Denial of Service،يشبه هذا النوع من الهجومات هجوم DoS و لكن يختلفان في عدد من قاموا بالهجوم و طبيعة المهاجمين.

في العادة يتم هذا الهجوم عن طريق استغلال شبكات البوت نت Bot Net و التي يتم تحضيرها قبل الهجوم بحيث يتم اختراق عدد كبير جدا من الأجهزة،و بالتالي تكون كلها تحت تحكم المهاجمين ثم يتم استغلالها في هجوم DoS على سيرفيرات المواقع الكبرى و بالتالي الرفع من إمكانية إسقاط السيرفر و ارغامه على عدم اﻹستجابة للطلبات.

مبدأ العمل: كما رأينا فإن الهجومين تقريبا يملكان نفس الهدف و نفس التقنية و لكن يختلفان في بعض النقاط...نحن الآن نريد أن نفهم كيف يتم إسقاط السيرفر و جعله غير قادرا على اﻹستجابة للطلبات.

من المعلوم فإن السيرفر هو جهاز كمبيوتر مثله من جهازك إﻻ أنه يمتلك خصائصا تجعله مختلفا عن الجهاز العادي...المهم فإن السيرفر لديه حدود من حيث الذاكرة الحية و المعالج،و بالتالي فإن كان من المفروض أن السيرفر بإمكانه الإستجابة ﻷلف طلب request (كمثال) فإن قمنا برفع عدد الطلبات إلى 2000 فإن السيرفر لن يكون بإمكانه الإستجابة إلى كل تلك الطلبات بشكل عادي،و إن قمنا برفعها إلى 3000 أو 4000 طلب فإننا نزيد الحمل على السيرفر و نجعل الزمن المستغرق من أجل اﻹستجابة لكل تلك الطلبات أطول أكثر و هكذا إلى أن نجعله غير قادر تماما على اﻹستجابة للطلبات و بالتالي على مدير السيرفر إعادة تشغيل السيرفر يدويا.

الحلول: هنالك عدة حلول مستخدمة من أجل التقليل من آثار هذا النوع من الهجوم مثل استخدام خدمات شركة Could Flare و التي تقوم بتوزيع نسخة افتراضية من الموقع على سيرفرات الشركة المتواجدة في عدة أماكن حول العالم و بالتالي سيتم توجيه الزوار إلى اقرب سيرفر إلى بلده.

توجد عدة طرق أخرى منها منع الزوار من الأي بي الذي يأتي منه عدد من الطلبات غير العادية...كما قلت توجد العديد من الطرق لتقليل آثار هذا النوع من الهجومات و لكن ﻻ يمكن منعها بشكل كامل...

أتمنى أن تكونوا قد استفدم من الدرس،ﻻ تنسوا مشاركته مع اﻷصدقاء،دمتم بود،سلام