DOTS، روشی جدید در مواجهه با حملات DDoS؟

این روزها حملات DDoS به بخش لاینفکی از دنیای اینترنت مبدل شده‌اند و روز به روز نیز در حال پیچیده‌تر و قوی‌تر شدن می باشند.
طبعاً شرکت‌های مختلفی وجود دارند که سرویس‌های DDoS Protection/Mitigation ارائه کرده و هر یک از آن‌ها نیز راهکارها و روش های خاص خود را دارند (گاهی نیز شبیه به هم).

جدای از بحث استفاده از تجهیزات مقابله با DDoS در شبکه‌ها، زمانی که از یک سرویس‌دهنده‌ی بیرونی استفاده می‌شود، بطور خیلی کلی، معمولا دو حالت پیاده‌سازی (با استفاده از BGP و Tunnel) وجود دارد (معروف به Diversion/Reinjection یا Offramping/Onramping):

  • کل ترافیک دائماً از طریق آن سرویس‌دهنده عبور داده شود و اگر حمله‌ای وجود داشته باشد، همانجا مانده و تنها (به اصطلاح) ترافیک پاک به شبکه برسد (Scrubbing).
  • فقط زمانی که شبکه تحت حمله قرار می‌گیرد، طی یکسری عملیات و تغییر routing، ترافیک ورودی به شبکه بجای آن که مستقیم از اینترنت به شبکه وارد شود، مانند مدل قبل به سمت یک سرویس‌دهنده هدایت شده و توسط آن بررسی شده و تنها ترافیک پاک به شبکه می‌رسد. این روش، به نوعی On-demand محسوب می شود و کل عملیات و تغییر روتینگ می تواند به صورت خودکار و یا بصورت دستی توسط یک اپراتور رخ دهد.

شبکه ها - DOTS - DDoS Protection Mitigation

ادامه خواندن “DOTS، روشی جدید در مواجهه با حملات DDoS؟”

” Bro ” ابزاری قدرتمند برای آنالیز شبکه

Bro NSM

به عنوان یک ادمین شبکه یا حتی کسی که به حوزه ی شبکه علاقه داره حتما در رابطه با حملات DDoS و Mirai شنیدید.
ابزارهای Open Source زیادی وجود دارن که میتونید از اون ها به عنوان IDS در ساختار شبکتون استفاده کنید که یکی از اون ها ابزار قدرتمند و رایگانی هست به اسم  Bro Network Security Monitor.

Bro در واقع یک طرح آکادمیک/صنعتی هست که نتیجه ی سال ها تلاش و تحقیق بوده و تونسته بسیار موفق عمل کنه. چیزی که Bro رو از سایر IDS های رایج از دید کارشناسان مستثنی میکنه اینه که Bro در صورت توسعه قابلیت تولید طیف وسیعی از داده های NSM رو داره. داده های NSM به صورت کلی در این شش دسته قرار میگیرند: ادامه خواندن “” Bro ” ابزاری قدرتمند برای آنالیز شبکه”

خون‌ریزی ابری در Cloudflare!

این روزها اتفاقات زیادی در دنیای امنیت رخ داده است که شاید بزرگترین آن‌ها اولین حمله تصادم SHA-1 بوده باشد؛ اما اتفاقی که کمتر به آن پرداخته شد واقعه‌ی ناگوار Cloudbleed یا خون‌ریزی ابری هست که برای شرکت Cloudflare رخ داد.

شرکت Cloudflare به جهت سرویس گسترده CDN و DDoS Protection بسیار شناخته شده است و متاسفانه/خوشبختانه در ایران نیز کاربران فراوانی دارد. در حال حاضر حدود ۴ میلیون دامنه (Domain) در بستر Cloudflare سرویس‌دهی می‌شوند.

جمعه‌ی گذشته آقای Tavis Ormandy از تیم معروف Google Project Zero متوجه شد که نسبت به برخی درخواست های HTTP که توسط سرورهای Cloudflare سرویس‌دهی می‌شدند، پاسخ‌های بی‌معنی دریافت می‌کند و نهایتاً به یک مشکل امنیتی جدی در سرویس Cloudflare پی بُرد که منجر به نشت اطلاعات فراوانی از وب‌سایت ها و Web Application های تحت سرویس CDN گردیده است. این اطلاعات می‌تواند شامل نام کاربری و رمز عبور، پیام‌های رد و بدل شده در چَت ها، و کلاً هرگونه اطلاعاتی که توسط آن می‌توان شخصی را شناسایی کرد (PII)، باشد.
متاسفانه عمق فاجعه جایی است که این اطلاعات توسط اغلب Search Engine ها Cache شده اند و احتمالاً در بسیاری از سرویس‌های تجزیه/تحلیل اطلاعاتی ذخیره شده اند.
در بین جستجوگرها می‌توان به Google، Bing، DuckDuckGo و Baidu اشاره کرد.

تصویر از Forbes

این اتفاق به این معنی است که اطلاعات شخصی میلیون ها کاربر اینترنتی در خطر قرار گرفته است!

این نشت اطلاعاتی از تاریخ ۲۲ سپتامبر ۲۰۱۶ تا ۱۸ فوریه ۲۰۱۷ ادامه داشته اما اوج آن بین ۱۳ تا ۱۸ فوریه بوده که از هر ۳٫۳۰۰٫۰۰۰ درخواست HTTP، یک درخواست منجر به نشت اطلاعات گردیده است؛ یعنی روزانه حدود ۱۰۰ تا ۲۰۰ هزار صفحه با اطلاعات شخصی افراد! ادامه خواندن “خون‌ریزی ابری در Cloudflare!”

BlackNurse نوع جدیدی از حملات DDoS

امروزه حملات DoS / DDoS یکی از چالشهای مهم دنیای امنیت می‌باشد که گاهی نیز منجر به عدم دسترسی به سرویس‌های پرمخاطب اینترنت گردیده است. محققان شرکت امنیتی TDC Security Operations Center اخیراً روش جدیدی از حملات DDoS را بنام BlackNurse شناسایی کرده‌اند که با کمترین امکانات سخت افزاری، حتی قوی‌ترین فایروال‌های سخت‌افزاری را تحت تاثیر قرار می‌گیرند.

حملات DDoS BlackNurse

این حمله DDoS با ارسال متعدد بسته های کوچک ICMP (معروف به ICMP Flooding) به سمت فایروال‌ها پیاده سازی شده که این موضوع باعث ایجاد سربار اضافی برای فایروال و فشار مضاعف بر CPU فایروال مربوطه گردیده و در برخی موارد باعث از کارافتادگی آن می‌شود. در نظر داشته‌باشید که بطور کلی پروتکل ICMP یکی از ابزارهایی هست که در بستر اینترنت جهت اشکال زدایی، خطایابی در کامپیوترها، روترها و بطور کلی بررسی وجود ارتباط بین تجهیزات شبکه بکار میرود.

این نوع حمله، عموماً فایروال‌های شرکت‌های مختلف را که قبلاً در مقابل Ping Flood Attack آسیب پذیر بوده اند مورد هدف قرار میدهد. ادامه خواندن “BlackNurse نوع جدیدی از حملات DDoS”

خواندنی: گزارش حملات ناموفق DDoS برروی سایت های ایرانی در شب یلدا

همزمان با شب یلدا و طرح های ویژه فروش و تخفیف بسیاری از وب سایت ها، حملات DDoS برروی وب سایت های ایرانی به شکل چشم گیری شدت گرفت. مجموع حملات دفع شده توسط سامانه امنیت ابری آروان در شب یلدا و روزهای قبل و بعد از آن بیش از ۴۵ ساعت ادامه داشت و در اوج خود از مرز ۷۰gbps عبور کرد.

گزارش کامل