پنج راهکار برای مقابله با حملات DDoS

به گزارش واحد امنیت سایبربان؛ لایو ژرنال (LiveJournal) یک وبگاه خدمات شبکه‌های اجتماعی در روسیه و آمریکا است که هر ماه میلیون‌ها کاربر را از سرتاسر جهان از آن بازدید می‌کنند. این وبگاه متعلق به شرکت مدیا SUP در روسیه است. به گفته‌ی تیم ترنر (Tim Turner) مدیر ارشد این وبگاه در لندن، این سامانه به‌طور مداوم تحت حملات DDoS یا «حمله محروم‌سازی از سرویس» قرار دارد.
به اعتراف این مسئول، میزان حملات به این وبگاه در سه سال گذشته افزایش داشته و پیچیده‌تر نیز شده است. در ادامه پیشنهادات وی برای مقابله با این حملات آمده است:
1. مهم است که حملات در زمان مناسب شناسایی شوند. ترافیک جعلی، شروع به مشغول کردن وبگاه کرده و می‌تواند منجر به ناتوانی کاربران واقعی در دسترسی به وبگاه شود.
ترنر می‌گوید، گروه IT این شرکت به‌طور دائم بر تغییرات در ترافیک نظارت دارد. داشتن ابزارهای مقابله با DDoS و شناختن فراهم‌کننده‌ی ضد DDoS نیز مفید است؛ البته، رابطه داشتن با فراهم‌کننده‌ی DDoS باید بر اساس شراکت باشد. این کارشناس تصریح کرد: «زمانی که اتفاقی برای وبگاه می‌افتد، ما تصمیم می‌گیریم چگونه با فراهم‌کننده‌ی حمله، معامله کنیم.» وی اعتقادی به خودکار‌سازی کامل فرآیند مقابله ندارد؛ این در حالی است که بیشتر شرکت‌ها از این روش بهره می‌برند.
2. اطمینان حاصل کنید بین فراهم‌کننده‌ی ضد DDoS و شما، داده‌های مشترکی وجود دارد. گاهی روشن نبودن داده‌ها، گمراه‌کننده است. برای نمونه، برخی فراهم‌کنندگان، آدرس سرور بات‌نت را افشا نمی‌کنند و یا اطلاعاتی که ممکن است مربوط به حمله‌کننده باشد را مخفی نگه می‌دارند. زمانی که یک حمله آغاز می‌شود، باید در مورد مسدود کردن IP آدرس‌های خاصی، تصمیم‌گیری شود. رواج فناوری تفسیر آدرس شبکه، به این معنی است که ممکن است 20 هزار نفر در یک IP آدرس دست داشته باشند. ترنر می‌گوید: «مهم‌ترین مسئله‌ی شما، بالا بردن بازدید است؛ حتی زمانی که حملات به اوج خود می‌رسند.» وی در حال حاضر از خدمات دیفنس.نت (Defense.Net) استفاده می‌کند، زیرا شفاف‌سازی اطلاعات قابل قبولی دارد. زمانی که حمله به لایو ژرنال آغاز شود، ترافیک به دیفنس.نت انتقال می‌یابد تا بار از روی سرور اصلی برداشته شود.
3. نوع حمله‌ی DDoS را تشخیص دهید. گستره‌ی این حملات از 5 تا 30 Gbp یا گیگابایت در هر ثانیه متفاوت است، بعلاوه برخی از آن‌ها از جریان‌های SYN (نوعی حمله‌ی منع خدمات که در آن به سرور دستور داده می‌شود، ترافیک قانونی را ممنوع کند) و UDP (نوعی حمله که در آن از پروتکل دیتا گرام رایانه‌های غیر متصل استفاده می‌شود) نیز بهره می‌برند. حملات ترکیبی، پیچیده‌ترین نوع حملات بوده و مقابله با آن‌ها بسیار دشوار است.
4. در مورد مبلغ قرارداد با فراهم‌کننده‌ی ضد DDoS، دقیق باشید. برخی فراهم‌کنندگان بر اساس لینک‌های تمیز شده و برخی دیگر بر اساس ترافیک آلوده، حق‌الزحمه می‌گیرند. البته به نظر ترنر، فراهم‌کننده‌ی ارزان‌تر لزوما بهتر نیست، زیرا میزان فیلتر واقعی در زمان حمله، مهم است.
5. انگیزه‌ها برای حملات DDoS متفاوت است. ممکن است هدف هکرها باج‌گیری بوده یا تنها اهداف ایدئولوژیک داشته باشند. در برخی موارد نیز، فرد برای درخواست کار در وبگاه، به آن حمله کرده است. حملات DDoS معمولا در روزهای تعطیل اتفاق می‌افتند، زیرا اغلب کارکنان IT در شرکت حضور ندارند. ترنر می‌گوید: «از ماه نوامبر، چهار یا پنج حمله به ما شده است که دو حمله در کریسمس و سال نو بوده است. آن‌ها به دنبال غافلگیر کردن ما هستند.» به اعتقاد وی، اطلاعات کافی در مورد این حملات وجود ندارد؛ البته، برخی وبگاه‌های بازی، گروه‌های خاص اشتراک اطلاعات تشکیل داده‌اند تا تجربیاتشان را در اختیار همکاران خود قرار دهند.