کاهش حمله منع سرویس توزیع شده

کاهش حمله منع سرویس توزیع شده (به انگلیسی: DDoS mitigation) مجموعه ای از تکنیک‌ها یا ابزارهایی است که برای مقاومت در برابر حملات DDoS یا کاهش تأثیر آن بر روی شبکه‌های متصل به اینترنت با حفاظت از هدف و شبکه‌های relay مورد استفاده قرار می‌گیرد. حملات DDoS با تهدید خدمات و تعطیل کردن یک وب سایت به‌طور کامل، حتی برای مدتی کوتاه، می‌توانند یک تهدید دائمی برای کسب وکارها و سازمان‌ها باشند.[1]

از اولین اقداماتی که در DDoS mitigation انجام می‌شود بررسی نرمال بودن شرایط ترافیکی شبکه توسط الگوهای ترافیکی تعریف شده می‌باشد، این شرایط ترافیکی تعریف شده برای تشخیص تهدید و هشدار الزامی است. DDoS mitigation نیاز دارد برای تشخیص ترافیک انسانی از ربات‌های انسان نما و مرورگرهای وب ربوده شده، ترافیک ورودی را نیز شناسایی کند. این فرایند با مقایسه امضاها و بررسی ویژگی‌های مختلف ترافیک، از جمله آدرس‌های IP، تغییرات cookie ,HTTP headers و Javascript footprints انجام می‌شود.

پس از تشخیص حمله، مرحله بعدی فیلتر کردن است. فیلتر کردن می‌تواند از طریق تکنولوژیِ‌های anti-DDoS مثل ردیابی اتصال، لیست‌های اعتبار IP، بازرسی deep packet، لیست سیاه / سفید کردن و محدود کردن سرعت انجام شود.

یکی از تکنیک‌ها اینست که با استفاده از فیلترهای "traffic scrubbing" ترافیک شبکه ای را از طریق شبکه‌هایی با ظرفیت بالا به یک شبکه هدف بالقوه منتقل کند.

امروزه DDoS mitigation به صورت دستی دیگر توصیه نمی‌شود زیرا مهاجمان قادر به دور زدن نرم‌افزارهایی هستند که برای کاهش این حملات به صورت دستی اجرا می‌شوند. راه‌های دیگر برای جلوگیری از حملات DDoS می‌توانند بر اساس پیش فرض یا از طریق ارائه دهندگان راه حل cloud-based اجرا شوند. راه‌هایی که بر اساس پیش فرض هستند به‌طور معمول بر روی سخت‌افزار دستگاه پیاده‌سازی می‌شوند. یک گزینه میانی این است که یک راه حل ترکیبی از فیلترینگ پیش فرض با فیلترینگ cloud-base داشته باشیم مثل Neustar.

بهترین روش برای کاهش حملات DDoS شامل تکنولوژی anti-DDoS و خدمات پاسخ اضطراری anti-DDoS مانند Arbor Networks, Incapsula, Allot, Akamai, CloudFlare یا Radware است. کاهش حملات DDoS از طریق ارائه دهندگان مبتنی بر ابر مانند Verisign و Voxility نیز امکان‌پذیر است.

روش‌های حمله

حملات DDoS علیه وب سایت‌ها و شبکه‌های قربانیان انتخاب شده اجرا می‌شوند. تعدادی از فروشندگان، خدمات میزبانی "DDoS resistant" را ارایه می‌دهند که اکثراً بر اساس تکنیک‌های شبیه به شبکه‌های تحویل محتوا هستند. توزیع از یک نقطه از حملات اجتناب می‌کند و مانع از حمله DDoS به یک هدف واحد می‌شود.

یکی از تکنیک‌های حملات DDoS استفاده از شبکه‌های شخص ثالث غلط است که امکان تقویت بسته‌های جعلیUDP را فراهم می‌کنند. پیکربندی مناسب تجهیزات شبکه، از تقویت و سوء استفاده جلوگیری می‌کند، بنابراین تعداد شبکه‌های رله موجود برای مهاجمان کاهش می‌یابند.

جستارهای وابسته

منابع

  1. Gaffan, Marc (20 December 2012). "The 5 Essentials of DDoS Mitigation". Wired.com. Retrieved 25 March 2014.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.