منع الخدمة الموزع DDoS

يُعدُّ 22 تموز/ يوليو 1999م يومًا مشؤومًا في تاريخ الحوسبة؛ ففي ذلك اليوم، هاجمت جهازَ حاسوب في جامعة مينيسوتا شبكةٌ مكوَّنة من 114 جهاز حاسوب آخر مصاب بكود برمجي ضار يُسمَّى Trin00 فجأةً.

وقد تسبَّب هذا النص في أن ترسل أجهزة الحاسوب المُصابة حزمَ بيانات زائدة عن الحاجة إلى الجامعة، ممَّا أدى إلى غمر جهاز الحاسوب الخاص بها، ومنعه من معالجة الطلبات؛ فعطَّل الهجوم -بهذه الطريقة- الحاسوبَ الجامعي مدَّة يومين.

وكان هذا هو أول هجوم مَنَع خدمة موزع Distributed Denial of Service) DDoS) في العالم؛ ولكن، لم يستغرق انتشار هذا الأسلوب وقتًا طويلًا.

وفي الأشهر التي تلت ذلك، أصبحت عديدٌ من المواقع الأخرى ضحيةً، بما في ذلك شركة Yahoo وAmazon وCNN؛ إذ غُمِرت كلٌّ منها بحزم البيانات الضارة، وفي كل حالة، جاءت حزم البيانات الضارة من شبكةٍ من أجهزة الحاسوب المُصابة.

وقد أصبحت هجمات DDoS شائعةً منذ ذلك الحين، وصارت الجهات الفاعلة الخبيثة تحقِّق تجارةً رابحة أيضًا عن طريق ابتزاز مواقع الويب التي يهدِّدون بمهاجمتها مقابل المال حتى أنَّهم يبيعون خدماتهم على شبكة الإنترنت الخفي "Deep Web".

فهجوم DDoS على مدار 24 ساعة ضدَّ هدف واحد يمكن أن يُكلِّف قرابة  400 دولار، ولكنَّ التكلفة للضحية يمكن أن تكون ضخمةً من حيث الإيرادات المفقودة أو سُمعة الضحية بالنسبة إلى عملائها، وقد خَلَق هذا بدوره سوقًا للدفاع السيبراني الذي يحمي من هذه الأنواع من الهجمات. 

وكان هذا السوق يُقدَّر بما يُقارب 2 مليار يورو في عام 2018م، وكل ذلك يثير السؤال المهم: هل يُمكن فِعل مزيدٍ للدفاع ضد هجمات DDoS؟

هل وقعنا ضحية نجاح بروتوكولات الشبكات؟

يتكوَّن اتصال الشبكة على الإنترنت من مكونات أو "طبقات" مختلفة عديدة، وكل خطوة في النموذج لها غرض مختلف.

ويُستخدم نموذج OSI لوصف اتصال الشبكة في 7 طبقات متميزة:

نموذج OSI لبنية الشبكة

صُممت بروتوكولات الإنترنت منذ فترة طويلة بهدف فصل اتخاذ القرارات عن العمليات لتعزيز التجانس وقابلية التطوير وكثيرٍ غير ذلك.

وتطورت هجمات DDoS في الوقت نفسه إلى استخدام الأساليب والإجراءات (TTP) في طبقة الشبكة وما فوقها (طبقة التطبيقات)، وقد أدَّت عملية الفصل هذه إلى إخفاء دلالات DDoS من طبقات النقل والشبكة. 

وبصفتنا مدافعين ضد هجمات DDoS، فإنَّ التحدي الأساسي الذي يواجهنا هو مسؤولية فصلِ حركة مرور البيانات الخاصة بالهجمات عن حركة مرور البيانات الطبيعية؛ إذ يكون التمييز في كثيرٍ من الأحيان مرئيًًا في التطبيق فحسب.

وهذا ما يجعل التعقيد الحسابي وحجم حركة البيانات والاستخدام المتزايد للتشفير (أدوات الشبكة التشغيلية المعروفة) غير فعَّالة في الدفاع أمام هذه الهجمات غالبًا، وما هو أكثر من ذلك أنَّ بعض المراقبات أظهرت أنَّ ضرورةَ نشر الحماية الأمنية كان محدودًا "إذ لا توجد قدرةٌ على كشف الهجوم مُبكِّرًا." 

وفي مواجهة التهديد الموزَّع لـ DDoS، فإنَّ شبكتنا الموزَّعة يجب أن تكون أعظم وسيلة راحةٍ لنا؛ ولكن، كيف ذلك دون رقابة على حركة مرور البيانات في طبقة التطبيقات على سبيل المثال، وكيف ينبغي أن تحدِّد أداة الإدارة -على مستوى الشبكة- أيًّا من دفق استعلامات DNS حقيقيةٍ من تلك التي تشارك في هجوم؟ أو أيَّة تعليمة NTP حقيقة وأيُّها جزء من الهجوم؟ أو إذا كانت عملية memcached من تطبيق حقيقي أو جزء من هجوم؟ 

يصعب اليوم على طبقة الشبكة أو طبقة النقل تشكيلُ دفاع فعَّال يُمكِّنها من تمييز الفروق الدقيقة على مستوى التطبيق؛ لذا يُجرى تخفيف DDoS باستخدام فحص الحزم العميقة (DPI)، ولا يُخفَّف إلا بعد حصول الهجوم، فعدم تكافؤ القدرة على المقاومة هذه بين التخفيف المركزي للهجوم والهجوم الموزع يزداد تعقيدًا عندما تكون حمولات التطبيقات "مُضمَّنة" (مشفَّرة)، وتتطلَّب طبقات متعددة لفك تشفير معقَّد ومكلف.

آلية هجمات DDoS

تنتشر هجمات DDoS على مراحل عادةً:

- يصيب نص برمجي ضار جهازَ حاسوبٍ ببرامج مُصمَّمة للانتشار عن طريق شبكة، ويُعرف هذا الحاسوب الأول باسم "master"؛ لأنه قادر على التحكُّم في أيَّة أجهزةِ حاسوب لاحقة تُصاب بالعدوى، وتهجم أجهزة الحاسوب المُصابة الأخرى فعليًّا، وتُعرف باسم "daemons".

والضحايا المشتركون في أول مرحلة هم شبكاتُ الحاسوب ضمن الجامعة أو الكلية لأنهم متصلون بمجموعة واسعة من الأجهزة الأخرى.

- يبدأ هجوم DDoS عندما يرسل الحاسوب الرئيس أمرًا إلى الحواسيب المُصابة يتضمَّن عنوان الهدف، ثم تبدأ الأخيرة بإرسال أعداد كبيرة من حُزَم البيانات إلى هذا العنوان لإغراق الهدف بالبيانات طوال فترة الهجوم، وأكبر الهجمات تُرسِل اليوم حزمَ بيانات ضارة بمعدل تيرابايت في الثانية.

- ويذهب المهاجمون إلى أبعد الحدود لإخفاء مواقعهم وهويتهم؛ فعلى سبيل المثال؛ تستخدم الحواسيب المُصابة تقنيةَ IP Spoofing غالبًا؛ لإخفاء عناوينها على الإنترنت، وقد يصعب تتبُّع أجهزة الحاسوب الرئيسة أيضًا لأنها تحتاج إلى إرسال أمر واحد فحسب لشنِّ هجوم، ويمكن للمهاجم اختيارُ استخدام الحواسيب "daemons" في البلدان التي يصعب الوصول إليها وحسب، على الرغم من أنَّها قد تكون موجودة في مكان آخر، ومن الصعب الدفاع عن هذه الأنواع من الهجمات لأنه يتطلب إجراءات تنسِّقها مجموعةٌ من المشغِّلين. 

كيف نحمي شبكاتنا من DDoS؟

إنَّ خط الدفاع الأول هو منع إنشاء شبكة "daemons" في المقام الأول، ويتطلب هذا الأمر من مسؤولي النظام تحديثَ البرامج التي يستخدمونها وتصحيحها بانتظام، وتشجيع العادات الجيدة للاستخدام بين مستخدمي شبكتهم؛ منها على سبيل المثال؛ تغيير كلمات المرور بانتظام، واستخدام جدران الحماية الشخصية وما إلى ذلك.

ويمكن لمزوِّدي خدمة الإنترنت Internet Service Provider) ISP) توفير بعض سبل الدفاع، ويتمثَّل دورهم في إعادة توجيه حُزَم البيانات من جزء من شبكة إلى أخرى اعتمادًا على العنوان الموجود في ترويسة كل حزمة من حُزَم البيانات، ويُعاد توجيهها دون أيِّ اعتبار يُذكَر للمكان الذي جاءت منه حزمة البيانات غالبًا.

لكنَّ هذا يمكن أن يتغير؛ إذ لا تحتوي الترويسة على عنوان الهدف فحسب، بل تحتوي على عنوان المصدر أيضًا، لذلك يمكن لمزوِّد خدمة الإنترنت -من الناحية النظرية- فحص عنوان المصدر والحُزَم التي تحتوي على مصادر مُزيفة بوضوح.

ومع ذلك، فإنَّ هذا مُكلف حسابيًا ويستغرق وقتًا طويلًا، ونظرًا لأنَّ مقدمي خدمات الإنترنت ليسوا  أهدافَ هجوم DDoS بالضرورة، فإنَّ لديهم حافزًا محدودًا لاستخدام إجراءات حماية باهظة التكلفة.

وأخيرًا، يمكن للهدف نفسه اتخاذ خطوات لتخفيف آثار الهجوم، وإحدى الخطوات الواضحة هي تصفية حُزَم البيانات السيئة عند وصولها، فذلك يعمل إذا كان من السهل تحديدها وإذا كانت الموارد الحاسوبية موجودة للتعامل مع حجم حركة البيانات الضارة.

ولكنَّ هذه الموارد باهظة الثمن، ويجب تحديثها باستمرار للتعامل مع أحدث التهديدات؛ لذلك فهذا النوع من التخفيف أمرٌ نادر الحدوث.

وهناك خيار آخر يتمثَّل في الاستعانة بمصادر خارجية قائمة على الحوسبة السحابية ومجهَّزة تجهيزًا أفضل للتعامل مع مثل هذه التهديدات، وعديدٌ منها يتعامل تعاملًا جيدًا؛ولكن، حتى هذه قد تواجه مشكلةً في التعامل مع أكبر الهجمات.

كل هذا يثير مسألة ما إذا كان يمكن فعل مزيدٍ؛ "كيف يمكن تحسين البنية التحتية لشبكتنا لمعالجة المبادئ التي تسهِّل هجمات DDoS؟"

يقول أوسترويل وشركاه: "إنَّ الذكرى العشرين للهجوم الأول يجب أن توفِّر فرصة جيدة لدراسة المشكلة بمزيدٍ من التفصيل، ونعتقد أنَّ ما نحتاج إليه هو إجراء تحقيقات عن العوامل الأساسية  التي تمكِّن DDoS من الحدوث وتفاقمه."

وهناك ملاحظة واحدة مهمَّة تتعلَّق بهجمات DDoS، وهي أنَّ الهجوم والدفاع غير متماثلين؛ فهجوم DDoS يُطلق من حواسيب "daemons" عديدة في جميع أنحاء العالم عادةً، ومع ذلك، يُدافَع إلى حد كبير في مكان واحد وهي العُقدة التي تتعرض إلى الهجوم.

والسؤال المهم هو ما إذا كان يمكن أو ينبغي تعديل الشبكات لتشمل نوعًا من الدفاع الموزع ضدَّ هذه الهجمات؛ على سبيل المثال؛ قد تكون إحدى طرق التقدُّم لتسهيل مهمَّة مزوِّدي خدمات الإنترنت تصفية حُزَم البيانات المُخادعة. 

وفكرة أخرى هي جعل حُزَم البيانات قابلةً للتتبُّع في أثناء انتقالها عن طريق الإنترنت، ويمكن لكل مزوِّد خدمة إنترنت وضع علامة على عينة من حُزَم البيانات -ربَّما واحدة من كل 20.000- إذ تُوجَّه بحيث يُمكن إعادة بناء طريقها لاحقًا، ومن شأن ذلك أن يسمح للضحايا والوكالات القانونية بتتبُّع مصدر الهجوم حتى بعد انتهائه.

هل أجرينا تحسينات أساسية ضد DDoS في العشرين عامًا الماضية؟

أصبحت تطبيقاتنا وأساليب الحماية والأمان والخصوصية الخاصة بنا أكثر تعقيدًا (مثل TLS و HTTPS وما إلى ذلك)؛ ممَّا صعَّب علينا تخفيف هجمات DDoS في الشبكة، نحن بحاجة إلى نهج مبدئي لهذه المشكلة، والبحث الأساسي عن طرق لسدِّ الفجوات، والرؤية الثاقبة التي يمكن لمشغلي اليوم استخدامها. ولنفترض نقطةً انطلاق للمناقشات وهي أنَّ استخدام الشبكة لإنشاء شبكة دفاعات موزعة هي النهج الأساسي الصحيح، وتلك التقنيات الدفاعية التي تقوض خصائص الشبكة التي بُنيت عليها DDoS، وستصبح الجهات التي تبنَّت هذا النهج مبكرًا مفتاحًا لتغيير مجرى حربنا على DDoS.

فهل يمكننا أن نتوقَّع من طبقات الشبكة والنقل أن تكون كافيةً لمحاربة DDoS بنفسها؟

إنَّ مجتمع البحث هو المأمول والمُؤهل للاستجابة لهذه الدعوة.

المصادر:

هنا

هنا