تعمل الهجمة الموزعة لحجب الخدمة (DDoS) على إغراق مورد إلكتروني -مثل موقع ويب أو خدمة سحابية- بطلبات اتصال احتيالية أو حركة مرور خبيثة، وغالبًا ما يتم تنفيذها باستخدام شبكة روبوتات (botnet). وعندما يعجز الهدف عن معالجة هذا الكم من الحركة، يصبح بطيئًا للغاية أو يتعطل تمامًا، ما يجعله غير متاح للمستخدمين الشرعيين.
تُعَد هجمات حجب الخدمة الموزعة نوعًا من هجمات حجب الخدمة (DoS)، وهي فئة تشمل جميع الهجمات الإلكترونية التي تؤدي إلى إبطاء التطبيقات أو الخدمات أو إيقافها. تتميّز هجمات DDoS بأنها ترسل حركة هجوم من عدة مصادر في الوقت نفسه، ما يجعل اكتشافها والتصدي لها أكثر صعوبة، وهو ما يُفسِّر مصطلح "الموزعة" في "الهجمات الموزعة لحجب الخدمة".
وفقًا لتقرير IBM® X-Force Threat Intelligence Index، تمثِّل هجمات DDoS نسبة 2% من الهجمات التي تتعامل معها X-Force. مع ذلك، فإن الاضطرابات التي تُسببها قد تكون مكلفة. يمكن أن تؤدي فترات تعطُّل النظام إلى تعطُّل الخدمات، وفقدان الإيرادات، وتضرر السمعة. يشير تقرير تكلفة خرق البيانات من IBM إلى أن متوسط خسائر الأعمال الناتجة عن هجوم إلكتروني يبلغ 1.47 مليون دولار أمريكي.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
على عكس الهجمات الإلكترونية الأخرى، لا تعتمد هجمات DDoS على استغلال الثغرات الأمنية لاختراق الأنظمة. بدلًا من ذلك، تستخدم هذه الهجمات بروتوكولات الاتصال الشبكي القياسية مثل بروتوكول نقل النص التشعبي (HTTP) وبروتوكول التحكم في الإرسال (TCP) لإغراق الموارد المستهدفة مثل نقاط الاتصال والتطبيقات والخدمات الأخرى بعدد كبير من الطلبات يفوق قدرتها على الاستيعاب.
تمتلك خوادم الويب وأجهزة التوجيه والبنية التحتية للشبكات قدرة محدودة على معالجة الطلبات والاتصالات في الوقت ذاته. وبإرسال كميات ضخمة من الطلبات التي تستهلك كل سعة النطاق الترددي المتاح لهذه الموارد، تمنع هجمات DDoS الموارد من الاستجابة للطلبات الحقيقية من المستخدمين.
بشكل عام، يتضمن هجوم DDoS مرحلتَين رئيسيتَين: إنشاء شبكة روبوتية وتنفيذ الهجوم.
يتطلب هجوم DDoS عادةً استخدام شبكة روبوت (botnet)، وهي شبكة مكوّنة من أجهزة متصلة بالإنترنت تم اختراقها ببرمجيات ضارة تمكِّن المتسللين من التحكم بها عن بُعد.
قد تتكوَّن شبكات الروبوتات (botnets) من أجهزة كمبيوتر محمولة ومكتبية، وهواتف محمولة، وأجهزة إنترنت الأشياء، وغيرها من نقاط النهاية الاستهلاكية أو التجارية. غالبًا ما يكون مالكو هذه الأجهزة المخترقة غير مدركين بأنها قد أُصيبت أو أنها تُستخدم في هجوم DDoS.
يقوم بعض مجرمي الإنترنت بإنشاء شبكات الروبوتات الخاصة بهم، من خلال نشر البرمجيات الضارة والاستيلاء على الأجهزة. في المقابل، يشتري أو يستأجر آخرون شبكات روبوتات جاهزة من مجرمي الإنترنت عبر الشبكة الخفية، ضمن نموذج يُعرف باسم "هجوم حجب الخدمة كخدمة".
بعض الهجمات الموزعة لحجب الخدمة (DDoS) لا تستخدِم شبكات الروبوتات. يستغل بعض المهاجمين العمليات العادية للأجهزة غير المصابة لتحقيق أهداف خبيثة. (للمزيد من المعلومات، راجِع "هجمات Smurf").
يأمر المتسللون الأجهزة في شبكة الروبوتات بإرسال طلبات اتصال أو حزم بيانات أخرى إلى عنوان IP للخادم أو الجهاز أو الخدمة المستهدفة.
تعتمد معظم هجمات DDoS على القوة الغاشمة، حيث تُرسِل عددًا هائلًا من الطلبات لاستهلاك النطاق الترددي بأكمله للهدف. ترسل بعض هجمات DDoS عددًا أقل من الطلبات، لكنها أكثر تعقيدًا وتتطلب من الهدف استهلاك موارد أكبر في الرد عليها. في كلتا الحالتين، تكون النتيجة واحدة: تؤدي حركة الهجوم إلى إغراق النظام المستهدف، ما يؤدي إلى حجب الخدمة ومنع الوصول المشروع.
غالبًا ما يُخفي المتسللون مصدر هجماتهم عبر انتحال عنوان IP، وهي تقنية يزوِّر فيها مجرمو الإنترنت عناوين IP وهمية للحزم الصادرة من شبكة الروبوتات. في أحد أشكال انتحال عنوان IP، المعروف باسم "الانعكاس"، يُظهر المتسللون الحركة الضارة وكأنها صادرة من عنوان IP الخاص بالضحية.
لا تُعَد هجمات DDoS دائمًا الهجوم الأساسي في العملية. في بعض الأحيان يستخدمها المتسللون لصرف انتباه الضحية عن جريمة إلكترونية أخرى. على سبيل المثال، قد يقوم المهاجمون بسرقة البيانات أو نشر برمجيات فدية داخل الشبكة بينما يكون فريق الأمن الإلكتروني منشغلًا بصدّ هجوم DDoS.
يستخدِم المتسللون هجمات DDoS لأسباب متعددة: مثل الابتزاز، أو إيقاف منظمات ومؤسسات يعارضونها، أو إضعاف الشركات المنافسة، وكذلك في الحروب الإلكترونية.
تتضمن بعض أهداف أكثر اهتمامًا في هجمات DDoS ما يلي:
يمكن أن تُلحِق هجمات DDoS ضررًا ماليًا كبيرًا بتجار التجزئة من خلال تعطيل متاجرهم الرقمية، ما يمنع العملاء من التسوق حتى يتم إنهاء الهجوم.
عندما تشنّ عناصر التهديد هجمات DDoS على مزوّدي خدمات الإنترنت، يمكنها فصل جميع عملاء المزوِّد عن الشبكة.
يُعَد مزودو الخدمات السحابية أهدافًا شائعة لهجمات DDoS. ولأن هذه الخدمات تستضيف بيانات وتطبيقات لعدة شركات، يمكن للمتسللين إحداث انقطاع واسع النطاق بهجوم واحد.
يمكن أن تؤدي الهجمات إلى تعطيل الخدمات المصرفية، ما يمنع العملاء من الوصول إلى حساباتهم.
كما هو الحال مع مزودي الخدمات السحابية، فإن مزودي البرمجيات كخدمة (SaaS) يُعَدون أهدافًا جذابة؛ لأن المتسللين يمكنهم تعطيل عدة مؤسسات دفعة واحدة.
وتستهدف هذه الهجمات كذلك شركات الألعاب، إذ يمكنها تعطيل الألعاب عبر الإنترنت من خلال إغراق خوادمها بحركة بيانات زائدة. هذه الهجمات تتم عادةً بواسطة لاعبين يشعرون بالاستياء أو يريدون الانتقام، كما هو الحال مع شبكة Mirai التي تم تصميمها في الأصل لاستهداف خوادم Minecraft.
في كثير من الأحيان، يتم استخدام هجمات DDoS ضد الحكومات، خاصةً في أوقات الحروب.
يتم تصنيف هجمات DDoS بناءً على الأساليب التي تستخدمها والبنية الشبكية التي تستهدفها. تشمل الأنواع الشائعة لهجمات DDoS ما يلي:
كما يوحي الاسم، الهدف في هجمات طبقة التطبيقات هو طبقة التطبيقات في الشبكة. في إطار نموذج الربط البيني للأنظمة المفتوحة (نموذج OSI)، تُعَد هذه الطبقة هي التي يتفاعل فيها المستخدمون مع صفحات الويب والتطبيقات. تؤدي هجمات طبقة التطبيقات إلى تعطيل تطبيقات الويب عن طريق إغراقها بالطلبات الضارة.
من أكثر هجمات طبقة التطبيقات شيوعًا هجوم فيضان HTTP، حيث يرسِل المهاجم عددًا كبيرًا من طلبات HTTP باستمرار ومن أجهزة متعددة إلى موقع ويب واحد. لا يستطيع الموقع الإلكتروني التعامل مع جميع الطلبات، فيتباطأ أو يتعطل. تشبه هجمات فيضان HTTP قيام مئات أو آلاف المتصفحات بتحديث صفحة ويب واحدة باستمرار.
تستهدف هجمات البروتوكولات الطبقة الثالثة (طبقة الشبكة) والطبقة الرابعة (طبقة النقل) من نموذج OSI. وتهدف إلى إغراق الموارد الشبكية الحيوية، مثل جدران الحماية، وموازنات الأحمال، وخوادم الويب، بطلبات اتصال ضارّة.
من بين أكثر أنواع هجمات البروتوكول شيوعًا: هجمات فيضان SYN وهجمات Smurf.
تستغل هجمات فيضان SYN آلية المصافحة في بروتوكول TCP، وهي العملية التي يتم من خلالها إنشاء اتصال بين جهازين. تتضمن مصافحة TCP النموذجية ثلاث خطوات:
أما في هجوم فيضان SYN، فيرسِل المهاجم عددًا كبيرًا من حزم SYN إلى الخادم المستهدف باستخدام عناوين IP مزيفة. يرد الخادم على عناوين IP المزيفة وينتظر حزم ACK النهائية. وبسبب تزوير عناوين IP المصدر، لا تصل هذه الحزم أبدًا. ينشغل الخادم بعدد كبير من الاتصالات غير المكتملة، ما يجعله غير متاح لإجراء طلبات TCP الشرعية.
يستغل هجوم Smurf بروتوكول رسائل التحكم في الإنترنت (ICMP)، وهو بروتوكول يُستخدَم لتقييم حالة الاتصال بين جهازين.
في الاتصال الاعتيادي عبر ICMP، يرسل جهاز حزمة طلب صدى (Echo Request) ويستقبل الجهاز الآخر رد الصدى (Echo Reply).
في هجوم Smurf، يرسل المهاجم طلب صدى ICMP من عنوان IP مزيف يطابق عنوان IP الخاص بالضحية. يتم إرسال طلب صدى ICMP إلى شبكة بث عبر IP، والتي تقوم بتوزيع الطلب على جميع الأجهزة المتصلة بالشبكة.
كل جهاز يتلقى طلب صدى ICMP -وقد يكون عددها بالمئات أو الآلاف- يرد بإرسال رد صدى ICMP إلى عنوان IP الخاص بالضحية. العدد الهائل من الردود يفوق قدرة جهاز الضحية على التحمل. وعلى عكس العديد من أنواع الهجمات الموزعة لحجب الخدمة، لا تتطلب هجمات Smurf بالضرورة وجود شبكة روبوتات (botnet).
تستهلك هجمات DDoS الحجمية كل النطاق الترددي المتاح داخل الشبكة المستهدفة أو بين الخدمة المستهدفة وبقية الإنترنت، ما يمنع المستخدمين الشرعيين من الوصول إلى موارد الشبكة.
وغالبًا ما تُغرق هذه الهجمات الشبكات والموارد بحجم هائل من حركة البيانات، حتى بالمقارنة مع أنواع هجمات DDoS الأخرى. ومن المعروف أن الهجمات الحجمية قادرة على إرباك أنظمة الحماية من هجمات DDoS، مثل مراكز التنقية (scrubbing centers)، المصممة لتمييز حركة البيانات الضارة من الحقيقية.
تشمل الأنواع الشائعة من الهجمات الحجمية هجمات فيضانات UDP، وفيضانات ICMP، وهجمات تضخيم DNS.
ترسِل هجمات فيضانات UDP حزمًا وهمية عبر بروتوكول بيانات المستخدم (UDP) إلى منافذ المضيف المستهدف، ما يدفعه للبحث عن تطبيق يستقبل هذه الحِزم. ونظرًا لأن حزم UDP مزيفة، فلا يوجد تطبيق يستقبلها، ويضطر المضيف لإرسال رسالة ICMP تفيد بأن "الوجهة غير قابلة للوصول" إلى المرسل.
تنشغل موارد المضيف في الرد على التدفق المستمر من حزم UDP المزيفة، ما يجعله غير متاح للرد على الحزم الشرعية.
فيضانات ICMP، المعروفة أيضًا باسم "هجمات فيضان Ping"، تُغرق الأهداف بطلبات صدى ICMP صادرة من عدة عناوين IP مزيفة. يجب على الخادم المستهدف الرد على كل هذه الطلبات، ما يؤدي إلى زيادة الحمل عليه وعدم قدرته على معالجة طلبات ICMP الصحيحة.
تتميز هجمات فيضانات ICMP عن هجمات Smurf بأن المهاجمين يرسلون أعدادًا كبيرة من طلبات ICMP من شبكات الروبوتات الخاصة بهم. في هجوم Smurf، يخدع القراصنة أجهزة الشبكة لإرسال ردود ICMP إلى عنوان IP الخاص بالضحية.
في هجوم تضخيم DNS، يرسل المهاجم العديد من طلبات نظام أسماء النطاقات (DNS) إلى خادم DNS عام واحد أو أكثر. تستخدم هذه الطلبات عنوان IP مزيفًا يعود إلى الضحية وتطلب من خوادم DNS الرد بمعلومات كبيرة الحجم مقابل كل طلب. ثم يرد خادم DNS على الطلبات عن طريق إغراق عنوان IP الخاص بالضحية بكميات كبيرة من البيانات.
كما يشير الاسم، تستغل الهجمات متعددة المتجهات عدة مسارات للهجوم بدلًا من مصدر واحد، لزيادة الضرر وإعاقة جهود التخفيف من الهجمات الموزعة لحجب الخدمة.
قد يستخدم المهاجمون عدة متجهات في الوقت نفسه أو ينتقلون بينها أثناء الهجوم عندما يتم إحباط أحدها. على سبيل المثال، قد يبدأ المتسللون بهجوم Smurf، ولكن عندما يتم إيقاف الحركة من أجهزة الشبكة، قد يُطلقون هجوم فيضان UDP من شبكة الربوتات الخاصة بهم.
قد يتم استخدام تهديدات DDoS أيضًا بالتزامن مع تهديدات إلكترونية أخرى. على سبيل المثال، قد يضغط المخترقون الذين يستخدمون برمجيات الفدية على ضحاياهم من خلال التهديد بشن هجوم DDoS إذا لم يتم دفع الفدية.
تظل هجمات DDoS أسلوبًا شائعًا بين المجرمين الإلكترونيين لأسباب عديدة.
لم يَعُد المجرم الإلكتروني بحاجة إلى معرفة البرمجة لإجراء هجوم DDoS. تزدهر أسواق الجريمة الإلكترونية في الشبكة الخفية، حيث يمكن لعناصر التهديد شراء وبيع شبكات الروبوتات والبرمجيات الضارة وأدوات أخرى لتنفيذ هجمات DDoS.
يُمكن للمجرمين الإلكترونيين شن هجمات DDoS بمفردهم بسهولة، عبر استئجار شبكات روبوتات جاهزة من متسللين آخرين، ودون الحاجة إلى تحضير أو تخطيط معقد.
نظرًا لأن شبكات البوت نت تتكوّن في الغالب من أجهزة استهلاكية وتجارية، يصعب على المؤسسات التمييز بين حركة البيانات الضارة وحركة بيانات المستخدمين الحقيقيين.
علاوةً على ذلك، قد تكون أعراض هجمات DDoS -مثل بطء الخدمة وتعطل المواقع والتطبيقات مؤقتًا- ناتجة عن ارتفاعات مفاجئة في حركة المرور الشرعية، ما يجعل من الصعب الكشف عن هجمات DDoS مبكرًا.
عند التعرُّف على هجوم DDoS، فإن طبيعته الموزعة تعني أنه لا يمكن إيقافه ببساطة عن طريق تعطيل مصدر واحد لحركة البيانات. كما أن عناصر التحكم القياسية في أمن الشبكة المخصصة لإحباط الهجوم الموزع لحجب الخدمة (DDoS)، مثل تحديد المعدل، يمكن أن تبطئ عمليات المستخدمين الحقيقيين أيضًا.
أدى صعود إنترنت الأشياء إلى توفير مصدر غني للأجهزة التي يمكن للمتسللين تحويلها إلى شبكات روبوتات.
يتم بيع الأجهزة المتصلة بالإنترنت -بما في ذلك التكنولوجيا التشغيلية (OT) مثل أجهزة الرعاية الصحية وأنظمة التصنيع- وتشغيلها بإعدادات افتراضية عامة وضعيفة أو دون ضوابط أمنية، ما يجعلها عرضة للإصابة بالبرمجيات الضارة.
قد يصعب على مالكي هذه الأجهزة ملاحظة تعرضها للاختراق، لأن أجهزة إنترنت الأشياء تُستخدم غالبًا بشكل سلبي أو نادرًا.
أصبحت هجمات DDoS أكثر تطورًا مع اعتماد المتسللين على أدوات الذكاء الاصطناعي (AI) وأدوات التعلم الآلي (ML) للمساعدة على توجيه هجماتهم. تستخدِم هجمات DDoS التكيفية الذكاء الاصطناعي والتعلم الآلي لاكتشاف أكثر نقاط الضعف في الأنظمة، وتغيّر تلقائيًا مسارات واستراتيجيات الهجوم استجابةً لجهود فريق الأمن الإلكتروني في التخفيف من الهجوم.
كلما تم التعرُّف على هجوم DDoS مبكرًا، بدأت إجراءات الدفاع والمعالجة بشكل أسرع. وتشمل العلامات التي تشير إلى حدوث هجوم ما يلي:
قد تكون العديد من هذه السلوكيات ناتجةً عن عوامل أخرى. ومع ذلك، فإن التحقق أولًا من وجود هجمات DDoS يمكن أن يوفر الوقت ويقلل الضرر إذا كان الهجوم جاريًا.
تساعد حلول الحماية من هجمات DDoS على اكتشاف الحالات الشاذة في حركة المرور وتحديد إذا ما كانت ضارة أو غير ضارة. فبعد كل شيء، قد يكون التدفق المفاجئ للطلبات نتيجة حملة تسويقية ناجحة، وحظر تلك الطلبات قد يكون كارثة تجارية.
تحاول جهود التخفيف من هجمات DDoS عادةً تحويل حركة المرور الضارة بأسرع ما يمكن.
تشمل جهود الوقاية والتخفيف الشائعة للحماية من هجمات DDoS ما يلي:
بينما تحمي جدران الحماية التقليدية الشبكات على مستوى المنافذ، تساعد جدران حماية تطبيقات الويب (WAF) على التأكد من سلامة الطلبات قبل تمريرها إلى خوادم الويب. يمكن لجدار حماية تطبيقات الويب (WAF) تحديد أنواع الطلبات المشروعة وغير المشروعة، ما يمكِّنه من إسقاط الحركة الضارة ومنع هجمات طبقة التطبيقات.
تُعَد شبكة توصيل المحتوى (CDN) شبكة من الخوادم الموزعة التي تساعد المستخدمين على الوصول إلى الخدمات الإلكترونية بشكل أسرع وأكثر موثوقية. عند استخدام شبكة توصيل المحتوى (CDN)، لا تنتقل طلبات المستخدمين بالكامل إلى خادم المنشأ الخاص بالخدمة. بدلًا من ذلك، يتم توجيه الطلبات إلى خادم CDN الأقرب جغرافيًا الذي يقوم بتوصيل المحتوى.
يمكن لشبكات توصيل المحتوى (CDNs) المساعدة على الحماية من هجمات DDoS عبر زيادة السعة الإجمالية للخدمة من حركة المرور. وعندما يتعطل خادم CDN بسبب هجوم DDoS، يمكن توجيه حركة المستخدمين إلى خوادم أخرى متاحة ضمن الشبكة.
يمكن لأدوات كشف نقطة النهاية والاستجابة لها (EDR) وكشف الشبكة والاستجابة لها (NDR) وغيرها من الأدوات مراقبة البنية التحتية للشبكة بحثًا عن مؤشرات الاختراق. عندما تكتشف هذه الأنظمة علامات محتملة لهجمات DDoS -مثل أنماط حركة مرور غير طبيعية- يمكنها إطلاق استجابات حوادث فورية، مثل إنهاء اتصالات الشبكة المشبوهة.
"الحفرة السوداء" هي جزء من الشبكة يتم فيه حذف حركة المرور الواردة دون معالجته أو تخزينه. توجيه الحفرة السوداء يعني تحويل حركة المرور الواردة إلى الحفرة السوداء عند الاشتباه في هجوم DDoS.
الجانب السلبي هو أن توجيه الحفرة السوداء قد يؤدي إلى فقدان البيانات الجيدة إلى جانب الضارة. من الممكن أن يتم حذف حركة المرور الشرعية وربما المهمة أيضًا، ما يجعل توجيه الحفرة السوداء وسيلة بدائية لكنها غير دقيقة في مواجهة الهجوم.
يعني تقييد المعدل وضع حدود لعدد الطلبات الواردة التي يُسمح للخادم باستقبالها خلال فترة زمنية محددة. قد تتباطأ الخدمة أيضًا بالنسبة إلى المستخدمين الشرعيين، لكن الخادم لا يتعرض للإرهاق.
موازنة الأحمال هي عملية توزيع حركة الشبكة بين عدة خوادم لتحسين توفُّر التطبيق. يمكن أن تساعد موازنة الأحمال على التصدي لهجمات DDoS من خلال توجيه الحركة تلقائيًا بعيدًا عن الخوادم المرهقة.
يمكن للمؤسسات تركيب موازنات أحمال تعتمد على الأجهزة أو البرمجيات لمعالجة حركة المرور. ويمكنها أيضًا استخدام شبكة anycast، التي تُتيح تعيين عنوان IP واحد لعدة خوادم أو عُقَد موزعة على مواقع مختلفة، بحيث يتم توزيع حركة المرور بينها. عادةً، يتم إرسال طلب إلى الخادم الأمثل. ومع زيادة حركة المرور، ينتشر الحمل، ما يعني أن الخوادم أقل عرضةً للإرهاق.
مراكز التصفية هي شبكات أو خدمات متخصصة يمكنها تصفية الحركة الضارة من الحركة الشرعية باستخدام تقنيات مثل التحقق من حركة المرور وكشف الحالات الشاذة. تحظر مراكز التصفية حركة المرور الضارة مع السماح لحركة المرور الشرعية بالوصول إلى وجهتها.