تستهدف هجمات منع الخدمة العنصر الثالث من عناصر أمن المعلومات (مثلث CIA) وهو التوافر أو إمكانية الوصول Availability للخدمات الخاصة بالنظام الهدف أو لمصادر هذا النظام أو مصادر الشبكة.
تعتبر هذه الهجمات DoS – Denial of Service ومنع الخدمة الموزعة DDoS – Distributed Denial of Service من التهديدات التي تؤثر على شبكات الحاسب. والهدف من هذه الهجمات هو جعل مصادرResources الجهاز الهدف أو الشبكة الهدف غير متاحة للمستخدم الشرعي. وغالباً ما يتم تنفيذ هذه الهجمات من خلال استغلال ثغرات في آلية عمل برتوكولات الاتصال عبر الشبكة مثل TCP/IP أو أخطاء معينة في أنظمة التشغيل.
في هذه السلسة من المقالات سنتعرف بالتفصيل على هجمات منع الخدمة DoS ومنع الخدمة الموزعة DDoS والتقنيات المختلفة المستخدمة لتنفيذ هذه الهجمات. كما سنتعرف على الأدوات والتقنيات المستخدمة لكشف هذه الهجمات والتخفيف منها بالإضافة لطرق الحماية والإجراءات المضادة.
الهجمات لتعطيل الخدمات
في السنوات الأخيرة تم الاعتماد على هذا النوع من الهجمات بشكل كبير جداً من مجموعات الاختراق. فقد استخدمتها لتنفيذ هجمات ضد الشركات أو الحكومات بهدف تعطيل الخدمات التي تتم عبر شبكة الانترنت. وبالتأكيد فإن هذا الأمر أدى لخسائر مالية كبيرة. بالإضافة لذلك فقد استخدامت هذه الهجمات في الحروب القائمة بين الدول. حيث تعمد مجموعات الجيوش الالكترونية التابعة لدولة لتنفيذ هجمات منع خدمة موزعة DDOS بشكل منظم. الهدف هو شل أو تعطيل الخدمات الحيوية في دولة معادية والتسبب بمشاكل اقتصادية.
قد يؤدي هجوم منع الخدمة على الشركات المالية أو مواقع البنوك إلى التسبب بخسائر مالية. يضاف لذلك تدمير سمعة الشركة أو البنك الذي يتعرض لمثل هذا النوع من الهجمات.
لنفهم حجم الخسائر المالية التي قد تتسبب بها هذه الهجمات لنتحدث بشكل سريع عن المشكلة التي حدثت بموقع الفيسبوك في تشرين الأول 2021. تلك المشكلة لم تكن نتيجة لهجوم منع الخدمة ولكن أثارها كانت مشابهة لها. فقد فقدنا إمكانية الوصول للموقع (منع الخدمة) لحوالي ست ساعات. أدى ذلك لخسائر مالية بمليارات الدولارات. ومن هنا يمكننا معرفة أهمية الحماية ضد هذا النوع من الهجمات لمنع نجاح هجمات الجهات الفاعلة التي تهدف لتعطيل الخدمة والتسبب بخسائر مالية للشركات أو تعطيل العمليات الحيوية للحكومات.
ما هي هجمات منع الخدمة:
هي نوع من الهجمات الذي يستهدف أجهزة الحاسب أو الشبكات للتقليل أو الحد أو منع الوصول إلى مصادر النظام من قبل المستخدم الشرعي. في هذه الهجمات يغرق المهاجم النظام الهدف بطلبات غير شرعية أو حركة بيانات كبيرة تؤدي لزيادة الحمل على مصادر النظام والتسبب بإعاقة أو توقف عمل النظام. يعني ذلك منع الوصول لموقع الويب أو التقليل من أداء الشبكة مما سيحجب الخدمة عن مستخدميها.
بعض الأمثلة على هذه الهجمات:
- إغراق النظام الهدف بحركة بيانات أكبر من استطاعته ليكون غير قادر على التعامل معها
- إغراق الخدمات بأحداث أكثر من استطاعتها لتكون غير قادرة على التعامل معها
- تدمير TCP/IP stack من خلال إرسال حزم بيانات مزورة أو غير صحيحة
- تدمير الخدمات من خلال التفاعل مع أمور غير متوقعة
- تجميد النظام من خلال إدخاله بحلقات لا نهائية
لهجمات منع الخدمة أشكال وتقنيات مختلفة. كما يمكن أن تستهدف طيفاً واسعاً من الخدمات مما يؤدي إلى الأمور التالية:
- استهلاك المصادر
- استهلاك عرض الحزمة أو مساحة القرص أو وحدة المعالجة المركزية CPU
- التدمير الفيزيائي أو التلاعب بمعدات الشبكة
- تدمير البرامج والملفات
بشكل عام فإن الهجمات من هذا النوع تستهلك عرض الحزمة الخاص بالشبكة من خلال إغراقها بكمية كبيرة من البيانات. بذلك سيكون النظام مشغولاً بالرد على الطلبات الغير شرعية ذات العدد الكبير جداً. و بالتالي لن يتمكن من الرد على طلبات المستخدم الشرعي.
بالأساس فإن هجمات منع الخدمة لا تؤدي إلى الوصول إلى المعلومات أو سرقتها ولكنها تؤثر فقط على الوقت الخاص بالوصول للمصادر ويمكن أن يؤدي هذا الأمر إلى تعطيل بعض الخدمات مثل خدمة البريد الالكتروني.
ما هي هجمات منع الخدمة الموزعة:
منع الخدمة الموزعة DDoS – Distributed Denial of Service هي شكل آخر من هجمات منع الخدمة. كما أن الهدف منها هو التأثير على العنصر الثالث في مثلث أمن المعلومات وهو التوافر أو إمكانية الوصول. ويتم تنفيذ هذه الهجمات من خلال استخدام عدد من الأجهزة لإرسال الطلبات بنفس الوقت. وغالباً ما تكون هذه الأجهزة هي أجهزة مخترقة أو جزء من شبكة متحكم بها Botnet.
يمكن تعريف DDOS أيضاً على انها استخدام عدد من الأجهزة لتنفيذ هجوم منع خدمة بنفس الوقت ضد هدف أو جهاز محدد بهدف استهلاك كامل موارد النظام ومنع المستخدم من الوصول لهذه المصادر أو الاستفادة منها.
يعمل المهاجم في هذا النوع من الهجمات على استخدام أهداف ثانوية (ممكن أن تكون أجهزة مخترقة). و بالتالي استغلالها لاستهداف الهدف الرئيسي. وغالباً ما تتم هذه الهجمات من خلال اختراق عدد من الأجهزة (الأهداف الثانوية) عبر استغلال ثغرات أمنية أصيبت بها ومن ثم الوصول لها ورفع وتشغيل البرامج أو الأكواد البرمجية الخاصة بتنفيذ هجوم منع الخدمة ضد الهدف الرئيسي.
تعتبر هذه الهجمات خطيرة جداً ولها تأثير سلبي كبير. فهي تؤدي إلى تعطيل عمل الأنظمة والشبكات الخاصة بالشركات وتسبب خسائر مالية لها.
يبدأ المهاجم هجوم منع الخدمة الموزعة DDoS من خلال إرسال التعليمات أو الأوامر إلى الأجهزة المتحكم بها Zombie. والتي ستقوم بإرسال عدد كبير من الطلبات إلى النظام المستهدف وهذا الأمر يساعد على إخفاء هوية وعنوان IP للمهاجم الحقيقي.