حملات Denial-of-service attack یا محرومسازی از سرویس (DDoS) در سال 2024 ابعاد تازهای به خود گرفتند. بزرگترین حمله ثبتشده در این سال، با حجم بیسابقه 5.6 ترابیت بر ثانیه، زیرساخت یک ارائهدهنده خدمات اینترنتی در آسیای شرقی را هدف قرار داد. این حمله، که تنها در عرض 80 ثانیه اجرا شد، بلکه نشاندهنده ی پیشرفت چشمگیر مهاجمان در افزایش قدرت و مقیاس حملات سایبری است.
آمار تکاندهنده حملات DDoS
در سال 2024، تعداد و حجم حملات DDoS به شکل قابل توجهی افزایش یافتند. تنها در سهماهه چهارم این سال:
6.9 میلیون حمله DDoS شناسایی و دفع شدند.
حملات HTTP بیش از 50 درصد از کل حملات را تشکیل دادند.
لایه 3 و لایه 4 (شبکه): SYN floods (38%)، DNS floods (16%) و UDP floods (14%) رایجترین روشهای حمله بودند.
این آمار نشاندهنده افزایش 1,885 درصدی حملات شبکهای با حجم بسیار بالا نسبت به سهماهه قبل است.
باتنتها: نیروی اصلی حملات
اکثر حملات (73%) HTTP توسط باتنتهای شناختهشده (botnets) اجرا شدند. این باتنتها اغلب با جعل مرورگرهای قانونی، استفاده از ویژگیهای مشکوک HTTP و یا بهرهگیری از پروتکل HTTPS برای پنهان کردن ترافیک خود، پیچیدگی حملات را افزایش دادند.
کشورهای درگیر، مهاجمان و قربانیان
بزرگترین منابع حملات DDoS در سهماهه پایانی 2024 شامل اندونزی، هنگکنگ و سنگاپور بودند. در همین حال، چین، فیلیپین و تایوان بیشترین تعداد حملات را دریافت کردند.
صنایع هدف شامل سازمانهای مخابراتی، ارائهدهندگان خدمات اینترنت و شرکتهای بازاریابی بودند که بیشترین فشار را از این حملات متحمل شدند.
نگاهی به رکورد 5.6 ترابیتی
این حمله که توسط یک باتنت مبتنی بر بدافزار Mirai انجام شد، از 13,000 آدرس IP برای ایجاد ترافیک مخرب استفاده کرد. هر آدرس IP به طور میانگین 1 گیگابیت بر ثانیه ترافیک تولید کرد که توانست در عرض چند ثانیه، تهدیدی جدی برای شبکه هدف ایجاد کند.
بیشتر بخوانید : راهنمای جامع مقابله با حملات DDoS : اقدامات پیشگیرانه و واکنش سریع
تحلیل و راهکارها
افزایش حجم و پیچیدگی حملات DDoS، زنگ خطری برای تمامی سازمانها و زیرساختهای حساس است. برای مقابله با این تهدیدات، استفاده از راهکارهای پیشرفته زیر بیش از پیش ضروری به نظر میرسد:
1- مدیریت ترافیک شبکه (Traffic Management)
مدیریت ترافیک شبکه یکی از حیاتیترین بخشهای دفاع در برابر حملات DDoS است. این فرآیند شامل نظارت بر ترافیک ورودی به شبکه و تقسیم آن به قسمتهای مختلف برای مدیریت مؤثر بار است. در صورت شناسایی حملات DDoS، سیستمهای مدیریت ترافیک میتوانند به سرعت ترافیک غیرضروری را مسدود کرده یا آن را به صورت خودکار به بخشهای مختلف هدایت کنند تا از بار اضافی جلوگیری شود. این کار معمولاً از طریق روشهایی مانند:
بارگذاری توزیعشده (Load Balancing) : تقسیم ترافیک ورودی به سرورها و منابع مختلف برای جلوگیری از فشار زیاد به یک نقطه خاص.
فیلتر کردن ترافیک مشکوک: شناسایی و مسدود کردن درخواستهایی که از آدرسهای IP غیرمعمول یا ترافیک غیرعادی میآیند.
کنترل کیفیت سرویس (QoS) : اولویت دادن به ترافیک حساس و جلوگیری از حملات کماهمیت که میتوانند پهنای باند را اشغال کنند.
این فرآیندها کمک میکند تا شبکه در برابر ترافیک حجیم ناشی از حملات DDoS مقاومتر شود و سیستمها همچنان بتوانند عملکرد مطلوب خود را ارائه دهند.
2- سیستمهای پیشگیری از نفوذ (Intrusion Prevention Systems - IPS)
سیستمهای پیشگیری از نفوذ (IPS) ابزاری حیاتی در شناسایی و مقابله با تهدیدات سایبری به شمار میروند. این سیستمها به طور پیوسته ترافیک شبکه را تحلیل کرده و هرگونه فعالیت مشکوک یا حملات احتمالی را شناسایی میکنند. در مقابله با حملات DDoS، سیستمهای IPS میتوانند اقداماتی چون:
شناسایی الگوهای غیرعادی: شناسایی بستههای شبکه یا درخواستهایی که با الگوهای معمول سازگار نیستند و نشاندهنده حملات DDoS هستند.
مسیردهی ترافیک به سمت فیلترهای امن: پس از شناسایی ترافیک مشکوک، سیستمهای IPS قادرند آن را به سمت فیلترهایی هدایت کنند که از نفوذ و آسیبپذیریهای بیشتر جلوگیری میکند.
بلاک کردن منابع مهاجم: IPS میتواند آدرسهای IP مهاجم را شناسایی کرده و ارتباطات آنها را به طور خودکار مسدود کند.
3- استفاده از راهکارهای ابری برای کاهش اثرات حملات DDoS
راهکارهای ابری به عنوان یکی از مؤثرترین روشها برای مقابله با حملات DDoS در نظر گرفته میشوند. در این رویکرد، بار ترافیکی که به شبکه وارد میشود، به جای عبور از سرورهای محلی به زیرساختهای ابری ارسال میشود که میتوانند به راحتی ترافیک را مدیریت کنند و اثرات حملات را کاهش دهند. این روشها شامل:
فیلترینگ ابری: فیلتر کردن ترافیک مخرب قبل از رسیدن به شبکه محلی، که میتواند به جلوگیری از فشار زیاد به سرورها و جلوگیری از اشغال منابع کمک کند.
مقیاسپذیری در لحظه: یکی از مزایای کلیدی استفاده از خدمات ابری این است که این خدمات میتوانند به صورت دینامیک مقیاسپذیر باشند. به عبارت دیگر، در صورت بروز حملات DDoS، سیستمهای ابری میتوانند به سرعت منابع مورد نیاز را افزایش داده و ظرفیت شبکه را بالا ببرند.
پشتیبانی از حملات بزرگ: زیرساختهای ابری معمولاً به گونهای طراحی شدهاند که میتوانند حملات DDoS با حجم بسیار بالا را مدیریت کنند، چرا که این زیرساختها به راحتی میتوانند ترافیک ورودی را بین مراکز داده مختلف توزیع کنند.
این روش، به ویژه برای سازمانهایی که زیرساختهای فیزیکیشان محدود است، بسیار مناسب است زیرا امکان مقابله با حملات DDoS با منابعی که در زیرساختهای محلی وجود ندارد، فراهم میآورد.
4. استفاده از XDR (Extended Detection and Response) به عنوان راهحلی پیشرفته
XDR (تشخیص و پاسخدهی گسترده) یک رویکرد پیشرفته در زمینه امنیت شبکه است که با ترکیب اطلاعات و دادههای مختلف از منابع مختلف (شبکه، سرورها، دستگاههای کاربری، و غیره) میتواند تهدیدات سایبری، از جمله حملات DDoS را بهطور مؤثری شناسایی و مدیریت کند. برخلاف سیستمهای سنتی که تنها به شناسایی تهدیدات در یک لایه خاص از شبکه میپردازند، XDR قادر است تهدیدات را از چندین لایه مختلف شناسایی کرده و به طور یکپارچه پاسخ دهد.
استفاده از این استراتژی ها در کنار هم، میتواند به طرز چشمگیری قدرت دفاعی سازمانها را در برابر حملات DDoS افزایش دهد و از آسیبهای احتمالی ناشی از این تهدیدات سایبری جلوگیری کند.
جمعبندی
رکوردشکنی حملات DDoS در سال 2024 نه تنها نشاندهنده افزایش قدرت مهاجمان، بلکه بیانگر نیاز فوری به استراتژیهای امنیتی قویتر است. شرکتها و سازمانها باید با سرمایهگذاری روی ابزارهای پیشرفته، از زیرساختهای خود در برابر این حملات حفاظت کنند.