ما المقصود بالحماية من الهجمات الموزعة لحجب الخدمة (DDoS)؟

رغم أن IBM® X-Force Threat Intelligence Index يُفيد بأن هجمات DDoS تمثل 2% فقط من الهجمات التي تستجيب لها X-Force، فإن الاضطرابات التي تُسببها هذه الهجمات قد تكون مكلفة. في الواقع، يُشير تقرير تكلفة خرق البيانات من IBM إلى أن متوسط خسائر الأعمال نتيجة الهجمات الإلكترونية يبلغ 1.47 مليون دولار أمريكي.

يُسهم تفعيل تدابير قوية لحماية DDoS في ضمان استمرارية النظام، ومنع فترات التعطل والانقطاعات التشغيلية، وحماية سمعة المؤسسة.

تبدأ الوقاية من هجمات DDoS بفهم الأهداف التي تستهدفها عادةً. تميل حركة هجمات DDoS إلى التركيز على واحدة من ثلاث طبقات في نموذج شبكة ترابط الأنظمة المفتوحة (OSI).

• طبقة التطبيقات (الطبقة 7)، وهي أعلى طبقات النموذج، حيث تتفاعل التطبيقات الموجَّهة للمستخدمين مع الشبكة.
• طبقة النقل (الطبقة 4)، وهي الطبقة التي يتم فيها نقل البيانات من التطبيقات الفردية وإليها.
• طبقة الشبكة (الطبقة 3)، وهي المسؤولة عن عنونة البيانات وتوجيهها وتمريرها بين الأجهزة التي تتفاعل عبر شبكات مختلفة. 

تستهدف الهجمات على طبقة التطبيقات الطبقة المسؤولة عن تفاعل التطبيقات مع الشبكة. من الأمثلة على ذلك هجوم فيضان HTTP، حيث يُرسِل المهاجم عددًا هائلًا من طلبات HTTP من أجهزة متعددة إلى الموقع نفسه لإسقاطه. تهاجم هجمات فيضانات استعلامات DNS خوادم نظام أسماء النطاقات (DNS)، من خلال إغراقها بطلبات موجَّهة لمواقع وهمية.

تستهدف هجمات البروتوكولات طبقات الشبكة والنقل. ومن الأمثلة على ذلك هجمات فيضان SYN، التي تستغل آلية المصافحة في بروتوكول TCP -وهي العملية التي يتم فيها إنشاء اتصال بين جهازين- لإغراق الخوادم بحزم بيانات زائفة. تستغل هجمات Smurf بروتوكول رسائل التحكم في الإنترنت (ICMP)، حيث تُغرق جهاز الضحية بمئات أو آلاف من ردود الصدى (Echo Reply).

تستهلك الهجمات الحجمية كامل النطاق الترددي المتاح داخل الشبكة المستهدفة أو بين الخدمة المستهدفة وبقية الإنترنت، ما يمنع المستخدمين الشرعيين من الوصول إلى موارد الشبكة. 

من الأمثلة على ذلك هجمات فيضانات UDP، التي تُرسِل حزم UDP مزيفة إلى منافذ المضيف المستهدف. يتم استنزاف موارد المضيف في محاولة عبثية للعثور على تطبيق يستقبل هذه الحزم المزيفة. فيضانات ICMP، المعروفة أيضًا باسم "هجمات فيضان Ping"، تُغرق الأهداف بطلبات صدى ICMP صادرة من عدة عناوين IP مزيفة.

تستغل الهجمات متعددة التوجهات عدة مسارات أو نقاط هجوم بدلًا من مصدر واحد، بهدف زيادة الأضرار وإحباط جهود التخفيف من هجمات DDoS.

قد يستخدم المهاجمون عدة متجهات في الوقت نفسه أو ينتقلون بينها أثناء الهجوم عندما يتم إحباط أحدها. على سبيل المثال، قد يبدأ المتسللون بهجوم Smurf، ولكن عندما يتم إيقاف الحركة من أجهزة الشبكة، قد يُطلقون هجوم فيضان UDP من شبكة الربوتات الخاصة بهم.

نعم بالطبع. وفقًا لمكتب التحقيقات الفيدرالي الأمريكي (FBI): "المشاركة في الهجمات الموزعة لحجب الخدمة (DDoS) أو تقديم خدمات DDoS مدفوعة تُعَد أمرًا غير قانوني. ويتعامل مكتب التحقيقات الفيدرالي (FBI) والجهات الأمنية الأخرى مع هجمات DDoS على أنها جرائم إلكترونية ويُجرون تحقيقات بشأنها". ويمكن أن تشمل العقوبات ما يلي:

• مصادرة أجهزة الكمبيوتر والأجهزة الإلكترونية الأخرى
• الاعتقال والملاحقة الجنائية
• أحكامًا بالسجن لمدد طويلة
• الغرامات المالية

غالبًا ما تعتمد حلول وخدمات الحماية من هجمات DDoS على قدرات الكشف والاستجابة التلقائية، لمساعدة المؤسسات على التعرُّف على الأنماط غير الطبيعية أو الارتفاعات المشبوهة في حركة الشبكة والتعامل معها في الوقت الفعلي. عند اكتشاف نشاط غير معتاد، يعمل العديد من حلول الحماية من هجمات DDoS على حظر الحركة الخبيثة فورًا أو إغلاق الثغرات التي قد يحاول المهاجمون استغلالها.

من الأدوات والتقنيات الشائعة للوقاية من هجمات DDoS والتخفيف من آثارها:

"الحفرة السوداء"، التي تُعرَف باسم "المسار الفارغ"، هي جزء من الشبكة يتم فيه حذف حركة المرور الواردة دون معالجته أو تخزينه. والتوجيه نحو الحفرة السوداء هو عملية تحويل حركة المرور الواردة إلى "حفرة سوداء" عند الاشتباه في حدوث هجوم DDoS.

الجانب السلبي هو أن توجيه الحفرة السوداء قد يؤدي إلى فقدان البيانات الجيدة إلى جانب الضارة. من الممكن أن يتم حذف حركة المرور الشرعية وربما المهمة أيضًا، ما يجعل توجيه الحفرة السوداء وسيلة بدائية لكنها غير دقيقة في مواجهة الهجوم.

تساعد أدوات تحديد الروبوتات وإدارتها على مكافحة تهديدات DDoS من خلال تحديد حركة المرور الضارة من الروبوتات.

بعض الروبوتات -مثل الروبوت الذي يستخدمه Google لفهرسة الصفحات في نتائج البحث- هي روبوتات حميدة. لكن بعضها يُستخدَم لغايات خبيثة. على سبيل المثال، يتم تنفيذ العديد من هجمات DDoS باستخدام شبكات الروبوتات. شبكات الروبوتات هي شبكات من الروبوتات التي يُنشئها مجرمو الإنترنت عن طريق الاستيلاء على أجهزة الكمبيوتر المحمولة والمكتبية والهواتف المحمولة وأجهزة إنترنت الأشياء (IoT) وغيرها من نقاط النهاية الاستهلاكية أو التجارية.

غالبًا ما يتم استخدام برامج إدارة الروبوتات لمنع حركة مرور الروبوتات غير المرغوب فيها أو الضارة على الإنترنت، مع السماح للروبوتات المفيدة بالوصول إلى الموارد. تستخدم العديد من هذه الأدوات الذكاء الاصطناعي والتعلم الآلي لتمييز الروبوتات عن الزوار البشريين. يمكن لبرنامج إدارة الروبوتات حظر الروبوتات المحتملة الضارة من خلال اختبارات CAPTCHA أو غيرها من التحديات وتحديد معدل الروبوتات أو رفضها إذا كانت قد تسبب إرباكًا للنظام. 

تُعَد شبكة توصيل المحتوى (CDN) شبكة من الخوادم الموزعة التي تساعد المستخدمين على الوصول إلى الخدمات الإلكترونية بشكل أسرع وأكثر موثوقية. مع وجود CDN، لا تنتقل طلبات المستخدمين مرة أخرى إلى الخادم الأصلي للخدمة. بدلًا من ذلك، يتم توجيه الطلبات إلى خادم CDN الأقرب جغرافيًا الذي يقوم بتوصيل المحتوى.

يمكن لشبكات توزيع المحتوى (CDNs) أن تدعم جهود التخفيف من هجمات DDoS من خلال زيادة القدرة الإجمالية للخدمة على استيعاب حركة المرور. عند تعرُّض خادم CDN للتعطيل بسبب هجوم DDoS، يمكن توجيه حركة المستخدمين إلى خوادم أخرى متاحة داخل الشبكة.

يمكن لأدوات مثل كشف نقاط النهاية والاستجابة لها (EDR)، وكشف الشبكة والاستجابة لها (NDR)، وتحليلات سلوك المستخدم والكيانات (UEBA)، وغيرها من الأدوات المماثلة، مراقبة بنية الشبكة وأنماط حركة المرور بحثًا عن مؤشرات اختراق. غالبًا ما تعمل هذه الأدوات من خلال إنشاء نماذج أساسية للسلوك الطبيعي للشبكة، ثم تحديد أي انحرافات عن هذه النماذج قد تُشير إلى حركة مرور ضارة.

عندما ترصد هذه الأنظمة مؤشرات محتملة لهجمات DDoS -مثل أنماط حركة المرور غير المعتادة- يمكنها تشغيل استجابات فورية للحوادث، مثل إنهاء الاتصالات الشبكية المشبوهة.

تستخدم بصمات الأجهزة معلومات يتم جمعها عن البرمجيات والأجهزة لتحديد هوية أجهزة الحوسبة المحددة. تستخدم بعض أدوات الحماية من هجمات DDoS، مثل أنظمة إدارة الروبوتات، قواعد بيانات تحتوي على بصمات لتحديد الروبوتات المعروفة أو استبعاد الأجهزة المرتبطة بنوايا خبيثة مثبتة أو مشتبه بها.

موازنة الأحمال هي عملية توزيع حركة الشبكة بين عدة خوادم لتحسين توفُّر التطبيق. يمكن أن تساعد موازنة الأحمال على التصدي لهجمات DDoS من خلال توجيه الحركة تلقائيًا بعيدًا عن الخوادم المرهقة.

يمكن للمؤسسات تركيب موازنات أحمال تعتمد على الأجهزة أو البرمجيات لمعالجة حركة المرور. ويمكنها أيضًا استخدام شبكة anycast، التي تُتيح تعيين عنوان IP واحد لعدة خوادم أو عُقَد موزعة على مواقع مختلفة، بحيث يتم توزيع حركة المرور بينها. عادةً، يتم إرسال طلب إلى الخادم الأمثل. ومع زيادة حركة المرور، ينتشر الحمل، ما يعني أن الخوادم أقل عرضةً للإرهاق.

يمكن أن تكون هذه الأجهزة إما مادية أو أجهزة افتراضية يتم تثبيتها على شبكة الشركة. تراقب هذه الأنظمة حركة المرور الواردة، وتكشف الأنماط المشبوهة، وتعمل على حظر أو تقييد الحركة التي قد تشكِّل خطرًا.

ونظرًا لأن هذه الأجهزة مثبَّتة محليًا، فلا داعي لإرسال حركة المرور إلى خدمة قائمة على السحابة لفحصها أو تنظيفها. يمكن أن تكون أجهزة الحماية من هجمات DDoS في البيئات المحلية مفيدة للمؤسسات التي تتطلب مستويات منخفضة من زمن الانتقال، مثل منصات المؤتمرات والألعاب. 

تعمل تصفية البروتوكولات على تحليل حركة الشبكة مقارنةً بالسلوك الطبيعي لبروتوكولات الاتصال الشائعة مثل TCP وDNS وHTTPS. إذا انحرفت حركة المرور التي تستخدم بروتوكولًا معينًا عن السلوك الطبيعي لذلك البروتوكول، فيمكن لأدوات تصفية البروتوكولات تنبيه المستخدم أو حظرها.

على سبيل المثال، تستخدم هجمات تضخيم DNS عناوين IP مزيفة وطلبات DNS خبيثة لإغراق أجهزة الضحايا بكميات هائلة من البيانات. يمكن أن تساعد تصفية البروتوكولات على اكتشاف طلبات DNS غير العادية هذه وإسقاطها قبل أن تتسبب في حدوث ضرر. 

يعني تحديد معدل الطلبات فرض حدود على عدد الطلبات الواردة التي يُسمح للخادم بقبولها خلال فترة زمنية محددة. قد تتباطأ الخدمة أيضًا بالنسبة إلى المستخدمين الشرعيين، لكن الخادم لا يتعرض للإرهاق. 

مراكز التصفية هي شبكات أو خدمات أمنية متخصصة يمكنها تصفية الحركة الضارة من الحركة الشرعية باستخدام تقنيات مثل التحقق من حركة المرور وكشف الحالات الشاذة. تعمل مراكز التصفية على حظر حركة المرور الضارة مع السماح لحركة المرور الشرعية بالوصول إلى وجهتها.

بينما تحمي جدران الحماية التقليدية الشبكات على مستوى المنافذ، تساعد جدران حماية تطبيقات الويب (WAF) على التأكد من سلامة الطلبات قبل تمريرها إلى خوادم الويب. يمكن لجدار حماية تطبيقات الويب (WAF) تحديد أنواع الطلبات المشروعة وغير المشروعة، ما يمكِّنه من إسقاط الحركة الضارة ومنع هجمات طبقة التطبيقات.

يمكن لأدوات الذكاء الاصطناعي والتعلم الآلي تمكين إجراءات تكيّفية للتخفيف من هجمات DDoS، ما يساعد المؤسسات على مكافحة الهجمات مع تقليل الإزعاج للمستخدمين الشرعيين. من خلال تحليل حركة المرور والتعلُّم منها، تستطيع أدوات الذكاء الاصطناعي والتعلم الآلي تحسين أنظمة الكشف لديها لتقليل الإنذارات الكاذبة التي قد تحظر حركة مرور صحيحة وتؤثِّر سلبًا في فرص الأعمال.

في الغالب لا يمكن ذلك. غالبًا ما يتم شنّ هجمات DDoS من شبكات روبوتات مكوَّنة من مئات أو آلاف الأجهزة المخترقة التي تخص مستخدمين أبرياء. عادةً ما يقوم المخترِق الذي يسيطر على شبكة الروبوتات بتزوير عناوين IP للأجهزة؛ لذا فإن تتبُّعها جميعًا قد يستغرق وقتًا طويلًا وغالبًا لن يقود إلى المجرم الحقيقي.

مع ذلك، في ظروف معينة ومع توفُّر الموارد الكافية، يمكن تتبُّع بعض هجمات DDoS. ومن خلال استخدام التحليلات الجنائية المتقدمة بالتعاون مع مزودي خدمة الإنترنت (ISPs) وفرق تنفيذ القانون، قد تتمكن المؤسسات من تحديد المهاجمين. ويكون هذا الاحتمال أكبر في حالة المهاجمين المتكررين، الذين قد يتركون أدلة في أنماط هجماتهم. 

في معظم الأوقات ، لا. إذا كان الهجوم صغيرًا أو بسيطًا، فقد يوفر جدار الحماية الشبكي التقليدي بعض الحماية، لكن الهجوم واسع النطاق أو المتطور قد يتجاوز هذا الحاجز.

تكمن المشكلة في أن معظم جدران الحماية لا تستطيع التعرُّف على حركة المرور الضارة المتنكرة في صورة حركة طبيعية وإيقافها. على سبيل المثال، تُرسِل هجمات HTTP GET عدة طلبات لملفات من الخادم المستهدف، والتي من المحتمل أن تبدو طبيعية لأدوات أمن الشبكات القياسية. 

مع ذلك، تعمل جدران حماية تطبيقات الويب (WAFs) على طبقة مختلفة في الشبكة مقارنةً بجدران الحماية التقليدية، ولها استخدامات في التخفيف من هجمات DDoS كما ذُكر سابقًا. 

يمكن لهجمات DDoS أن تؤدي إلى توقُّف تطبيقات المؤسسة ومواقعها الإلكترونية وخوادمها وغيرها من الموارد، ما يؤدي إلى تعطيل الخدمة أمام المستخدمين ويتسبب في خسائر مالية كبيرة نتيجة فقدان الأعمال وتضرُّر السمعة.

يمكن أن تؤدي هجمات DDoS أيضًا إلى منع المؤسسات من تلبية اتفاقيات مستوى الخدمة (SLAs)، ما يدفع العملاء إلى الانسحاب. إذا لم تكن أنظمة المؤسسة متاحة عند الطلب، فقد يقرر المستخدمون التوجه إلى مزودين آخرين.

وتستهدف هذه التهديدات الإلكترونية بشكل متزايد البنية التحتية الحساسة، مثل الخدمات المالية ومرافق الخدمات العامة. وقد أفادت دراسة حديثة بأن هجمات DDoS ضد البنية التحتية الحيوية قد ارتفعت بنسبة 55% خلال السنوات الأربع الماضية.

علاوةً على ذلك، غالبًا ما يتم استخدام هجمات DDoS كغطاء لهجمات إلكترونية أكثر تدميرًا. على سبيل المثال، يشنّ المخترقون أحيانًا هجوم DDoS لتشتيت الضحية، بحيث يتمكنون من نشر برمجيات الفدية على الشبكة بينما يكون فريق الأمن الإلكتروني منشغلًا بمواجهة هجوم DDoS.

يمكن لحلول التخفيف من هجمات DDoS وخدمات الحماية منها أن تساعد المؤسسات على إيقاف العديد من هذه الهجمات تمامًا، ما يمنع الانقطاعات في القطاعات والخدمات الحيوية. وإذا لم تتمكن من إيقاف الهجوم، يمكنها تقليل فترة التعطل بشكل كبير لضمان استمرارية الأعمال.

تساعد حلول الحماية الحديثة من هجمات DDoS على حماية الأصول سواء أكانت محلية أم سحابية، ما يُتيح للمؤسسات حماية مواردها بغض النظر عن مكان وجودها.