هجوم DDoS أو حجب الخدمة الموزعة, هو هجوم إلكتروني يقوم فيها المهاجم بإرهاق موارد خادم من خلال إغراقه بترافيك وهمي إلى درجة أنه غير قادر على الرد على طلبات المستخدمين بهدف منع المستخدمين من الوصول إلى الخدمات والمواقع التي يوفرها هذا الخادم.هجوم DDoS هو هجوم إلكتروني يقوم فيها المهاجم بإرهاق موارد خادم من خلال إغراقه بترافيك وهمي إلى درجة أنه غير قادر على الرد على طلبات المستخدمين بهدف منع المستخدمين من الوصول إلى الخدمات والمواقع التي يوفرها هذا الخادم.
تتباين دوافع منفذي هجوم DDoS وأنواع الأفراد والمنظمات الراغبة في شن هذا النوع من الهجمات السيبرانية. يتم تنفيذ بعض الهجمات من قبل أفراد ساخطين وهاكتفيزم يرغبون في تعطيل خوادم شركة لمجرد الإدلاء ببيان، أو الاستمتاع باستغلال ضعف سيبراني، أو التعبير عن الاستنكار.
مع استمرار انتشار أجهزة إنترنت الأشياء (IoT) أو الأجهزة الالكترونية المتصلة بشبكة الإنترنت، وعدد الموظفين الذين يعملون من المنزل من خلال شبكة الإنترنت، فإن عدد الأجهزة المتصلة بالشبكة سيزداد أيضًا مما يزيد من احتمالية استخدام هذه الأجهزة من قبل القراصنة لهذا النوع من الهجمات.
كيف تعمل هجمات DDoS
يهدف هجوم DDoS إلى إغراق المخدمات (Servers) والخدمات (Services) والشبكة (Network) المستهدفة بترافيك أو طلبات زائفة بكميات ضخمة أكثر قدرة هذه الأجهزة، ويصبح من غير الممكن الوصول إليها أو عديمة الفائدة للمستخدمين.
الفرق بين DDoS وDoS
يشبه هجوم حجب الخدمة (DoS) هجوم حجب الخدمة الموزعة (DDoS) من حيث أنه يسعى أيضًا إلى استنزاف موارد المخدمات.
يستخدم هجوم DDoS مجموعة واسعة من الأجهزة الإلكترونية المصابة ببرامج ضارة والتي يتحكم فيها المهاجم لإرسال الطلبات الوهمية.
في حين يعتمد هجوم DoS على إغراق الموقع المستهدف بسيل من الطلبات الوهمية باستخدام جهاز الكتروني واحد.
نظرًا لأن تصميم معظم المواقع يعمل على الاستجابة لكل طلب، فإن هذا السيل من الطلبات الوهمية تستهلك موارد المخدمات المستهدفة أو الخدمات الالكترونية.
هذا يجعل من المستحيل على الموقع أن يخدم المستخدمين الحقيقيين كما يفعل عادة، وغالباً ما يؤدي إلى إغلاق الموقع بالكامل أو عدم إمكانية الوصول إليه.
تختلف هجمات DoS وDDoS عن الأنواع الأخرى من الهجمات السيبرانية التي تمكن المهاجم من اختراق المخدمات أو الخدمات أو زيادة الوصول الافتراضي الذي يتمتع به.
بوتنيتس Botnets
تعتبر شبكات البوتنيتس هي الطريقة الأساسية لتنفيذ هجمات حجب الخدمة الموزعة.
يقوم المهاجم باختراق أجهزة الكمبيوتر أو الأجهزة الأخرى المتصلة بالإنترنت وتثبيت برامج ضارة تسمى الروبوت (Bot). تشكل هذه الأجهزة المصابة معًا شبكة تسمى الروبوتات.
أنواع هجوم DDoS
يقوم المهاجم بعد ذلك من خلال هذه الروبوتات بإرسال الترفيك الوهمي إلى الخوادم والأجهزة المستهدفة.
يمكن لهجمات DDoS استهداف أجزاء مختلفة من الشبكة، ويتم تصنيف هذه الهجمات حسب طبقات اتصال الشبكة (OSI Model) التي يستهدفها.
يتكون اتصال الإنترنت من سبع “طبقات” مختلفة تسمى (OSI Model) أنشأته المنظمة الدولية للتوحيد القياسي. ويسمح هذا النموذج لأنظمة الكمبيوتر المختلفة بالقدرة على “التحدث” مع بعضها البعض.
1- هجمات DDoS القائمة على الحجم
يهدف هذا النوع من الهجوم إلى التحكم في كل عرض النطاق الترددي (Bandwidth) المتاح بين الضحية والإنترنت.
يعد تضخيم نظام اسم المجال (DNS) مثالاً على الهجوم المعتمد على الحجم.
في هذا السيناريو، ينتحل المهاجم عنوان IP الخادم المستهدف، ثم يرسل طلب بحث (Lookup request) عن اسم DNS إلى خادم DNS مفتوح بعنوان IP الذي انتحله.
عندما يرسل خادم DNS استجابة سجل (DNS record response)، يتم إرسالها إلى عنوان IP الخادم المستهدف بدلاً من عنوان المهاجم، مما يؤدي إلى تلقي الخادم المستهدف استجابة مضخمة لطلبات الاستعلام الصغير (Lookup request) المرسلة في البداية من المهاجم.
2- هجمات البروتوكول Protocol Attacks
تستهلك هجمات البروتوكول كل القدرة المتاحة لخوادم الويب أو الموارد الأخرى، مثل جدران الحماية. إنها تكشف نقاط الضعف الموجودة في بروتوكولات الطبقات 3 و4 من OSI Model بهدف جعل الخادم المستهدف غير قابل للوصول.
يعد SYN flood مثالاً على هجوم البروتوكول، حيث يرسل المهاجم إلى الخادم المستهدف عددًا هائلاً من طلبات مصافحة بروتوكول (TCP Handshake) تحتوي على عناوين IP مخادعة.
تحاول الخوادم المستهدفة الاستجابة لكل طلب اتصال، لكن المصافحة النهائية لا تحدث أبدًا، مما يربك الخادم المستهدف في العملية.
3- هجمات طبقة التطبيق Application Layer
تهدف هذه الهجمات أيضًا إلى استنفاد موارد الخادم المستهدف، لكن من الصعب تصنيفها على أنها ضارة.
غالبًا ما يُشار إليه بهجوم الطبقة 7 من OSI Model يستهدف هذا النوع من الهجوم طبقة التطبيق Application Layer وهي الطبقة التي يتم إنشاء صفحات الويب فيها من خلال بروتوكول نقل النص الفائق (HTTP).
يقوم الخادم بتشغيل استعلامات قاعدة البيانات (Database queries) لإنشاء صفحة ويب.
في هذا النوع من الهجوم، يجبر المهاجم الخادم المستهدف على التعامل مع عدد كبير من الطلبات.
يعد طوفان HTTP أحد أنواع هجمات طبقة التطبيقات ويشبه القيام بتحديث صفحة الويب بشكل مستمر لمتصفح الويب على أجهزة كمبيوتر مختلفة في نفس الوقت.
بهذه الطريقة، يؤدي العدد الكبير من طلبات HTTP إلى إرباك الخادم، مما يؤدي إلى إلى عدم تمكن خادم الويب من الرد على طلبات المستخدمين.
