منع هجمات DoS
Categories:
منع هجمات DDoS
نوعان من هجمات DoS:
- تعطيل الخدمة
- إعاقة الشبكة
أنواع الهجمات
| نوع الهجوم | طريقة الهجوم | طريقة المواجهة |
|---|---|---|
| هجمات DDoS الموزعة | آلات متعددة ذات عناوين IP مستقلة تبدأ الهجوم في نفس الوقت | 1. خفض مستوى الخدمة 2. القائمة السوداء 3. إيقاف أجهزة الشبكة |
| هجوم Yo-yo (ال悠悠球) | لخدمات ذات قدرة توسع موارد تلقائية، الهجوم في الفجوة عندما يتم تقليل الموارد | القائمة السوداء |
| هجمات طبقة التطبيق | تستهدف ميزات أو خصائص محددة، وتنتمي هجمات LAND إلى هذا النوع | القائمة السوداء |
| LANS | هذه الطريقة تستخدم حزم TCP SYN مصممة خصيصًا (تستخدم عادةً لفتح اتصال جديد)، بحيث يكون عنوان المصدر والوجهة عنوان IP الخاص بالجهاز المستهدف، مما يؤدي إلى اتصال فارغ مستمر بالجهاز نفسه، يستهلك موارد النظام حتى ينهار. هذه الطريقة لا تختلف عن هجمات SYN الفيضية. | القائمة السوداء |
| هجمات DoS المتقدمة المستمرة | تجنب الكشف/أهداف محددة/تجنب المقاومة/هجمات طويلة الأمد/قوة حسابية كبيرة/هجمات متعددة المسارات | خفض مستوى الخدمة |
| هجوم DoS HTTP slow POST | إنشاء اتصال قانوني ثم إرسال كميات كبيرة من البيانات ببطء شديد، مما يؤدي إلى استهلاك موارد الخادم | خفض مستوى الخدمة |
| هجوم Challenge Collapsar (CC) | إرسال طلبات قانونية قياسية بشكل متكرر، هذا الطلب يستهلك موارد كثيرة، مثل محركات البحث التي تستهلك ذاكرة كبيرة | خفض مستوى الخدمة، التعرف على المحتوى |
| فيض ICMP (Internet Control Message Protocol) | العديد من حزم ping/ ping خاطئة /Ping of death (حزمة ping مشوهة) | خفض مستوى الخدمة |
| هجمات رفض الخدمة الدائمة | الهجوم على الأجهزة | التعرف على المحتوى |
| هجمات الانعكاس | إرسال طلبات إلى طرف ثالث، من خلال تزوير العنوان، توجيه الرد إلى الضحية الحقيقية | نطاق ddos |
| التضخيم | استخدام بعض الخدمات كعاكِس لتكبير حركة المرور | نطاق ddos |
| شبكة بوت Mirai | استخدام أجهزة إنترنت الأشياء التي تم التحكم بها | نطاق ddos |
| ذعر SACK | استغلال أقصى حجم للقطعة واختيار التأكيد، مما يؤدي إلى إعادة الإرسال | التعرف على المحتوى |
| هجوم Shrew | استغلال نقاط الضعف في آلية إعادة إرسال TCP، باستخدام اندفاعات حركة مرور قصيرة متزامنة لتعطيل اتصالات TCP على نفس الاتصال | التخلص من الحزم ذات الوقت الزائد |
| هجوم Slow Read | مشابه لـ slow post، إرسال طلب قانوني، ولكن القراءة بطيئة جدًا، لاستنزاف بركة الاتصال، يتم ذلك عن طريق الإعلان عن رقم صغير جدًا لحجم TCP Receive Window | قطع الاتصال عند انتهاء الوقت، خفض مستوى الخدمة، القائمة السوداء |
| فيض SYN | إرسال عدد كبير من حزم TCP/SYN، مما يؤدي إلى اتصالات نصف مفتوحة بالخادم | آلية انتهاء الوقت |
| هجمات Teardrop | إرسال أجزاء IP تالفة ذات حمولة زائدة عن التداخل إلى الجهاز المستهدف | التعرف على المحتوى |
| هجوم انتهاء TTL | عندما يتم التخلص من الحزمة بسبب انتهاء TTL، يجب على وحدة المعالجة المركزية بالراوتر إنشاء وإرسال استجابة ICMP للوقت الزائد. إنشاء العديد من هذه الاستجابات قد يثقل كاهل وحدة المعالجة المركزية بالراوتر | التخلص من الحزم |
| هجوم UPnP | مبني على تقنية تضخيم DNS، ولكن آلية الهجوم هي راوتر UPnP، الذي يقوم بإعادة توجيه الطلب من مصدر خارجي إلى مصدر آخر، مع تجاهل قواعد سلوك UPnP | خفض مستوى الخدمة |
| هجوم انعكاس SSDP | العديد من الأجهزة، بما في ذلك بعض أجهزة التوجيه المنزلية، تحتوي على ثغرات في برنامج UPnP، يمكن للمهاجمين استغلالها للحصول على ردود إلى عنوان الوجهة الذي يختارونه من رقم المنفذ 1900. | خفض مستوى الخدمة، حظر المنفذ |
| انتحال ARP | ربط عنوان MAC بعنوان IP لجهاز كمبيوتر أو بوابة (مثل راوتر) آخر، مما يؤدي إلى إعادة توجيه حركة المرور المخصصة لعنوان IP الأصلي إلى المهاجم، مما يؤدي إلى رفض الخدمة. | نطاق ddos |
إجراءات الوقاية
- التعرف على حركة المرور المهاجمة
- تعطيل الخدمة
- التعرف على محتوى الحركة
- إعاقة الخدمة
- تسجيل وقت الزيارة
- تعطيل الخدمة
- التعامل مع حركة المرور المهاجمة
- التخلص من حركة المرور المهاجمة
- حظر عنوان IP المهاجم
- عدد عناوين IPv4 محدود، من السهل إنشاء قائمة سوداء
- عدد عناوين IPv6 كبير، من الصعب إنشاء قائمة سوداء. يمكن استخدام نطاقات عناوين IPv6، ولكن هناك خطر الحظر الخاطئ
- التحكم في معدل الزيارة
أدوات مفتوحة المصدر
أدوات الهجوم
https://github.com/palahsu/DDoS-Ripper- 162 fork، 755 نجمة
- https://github.com/MHProDev/MHDDoS
- 539 fork، 2.2k نجمة
- MHDDoS - برنامج هجوم DDoS مع 40 طريقة
- https://github.com/NewEraCracker/LOIC
- 539 fork، 1.9k نجمة
- C#
- أداة ضغط الشبكة
- https://github.com/PraneethKarnena/DDoS-Scripts
- 165 fork، 192 نجمة
- C، Python
- https://github.com/theodorecooper/awesome-ddos-tools
- 46 نجمة
- مجموعة من أدوات ddos
أدوات الدفاع
- https://github.com/AltraMayor/gatekeeper
- رخصة GPL-3.0
- 159 fork، 737 نجمة
- C، Lua
- Gatekeeper هو أول نظام مفتوح المصدر لحماية من DoS.
https://github.com/Exa-Networks/exabgp- رخصة مشابهة لرخصة Apache
- 415 fork، 1.8k نجمة
- Python
- السكين السويسري للشبكات BGP
- https://github.com/curiefense/curiefense
- رخصة Apache 2.0
- 60 fork، 386 نجمة
- حماية طبقة التطبيق
- يحمي المواقع، الخدمات، وواجهات برمجة التطبيقات
- https://github.com/qssec/Hades-lite
- رخصة GPL-3.0
- 24 fork، 72 نجمة
- C
- برنامج تشغيل منع ddos على مستوى النواة
- https://github.com/snort3/snort3
- رخصة GPL-2.0
- 372 fork، 1.4k نجمة
- Snort IPS (نظام منع التسلل) الجيل التالي
- C++
مراقبة الحركة
- https://github.com/netdata/netdata
- رخصة GPL-3.0
- 5.2k fork، 58.3k نجمة
- C
- https://github.com/giampaolo/psutil
- رخصة BSD-3-Clause
- 1.2 fork، 8.2k نجمة
- Python، C
- مكتبة مراقبة العمليات والأنظمة عبر المنصات، أيضًا مراقبة الشبكة
- https://github.com/iptraf-ng/iptraf-ng
- رخصة GPL-2.0
- 22 fork، 119 نجمة
- C
- IPTraf-ng هو برنامج مراقبة الشبكة قائم على واجهة سطر الأوامر لنظام Linux، يعرض معلومات حول حركة IP.