برچسب: DDoS

اندر تفاوت Unicast و Anycast سوارابرها

پیرو حملات DDoS در ایران و رویداد #سوارابرها، بارها دیده‌شده افرادی که خیلی هم در حوزه‌ی خودشون متخصص هستن، در تفاوت خدمت DDoS Protection برای سرویس‌های IaaS که از منظر شبکه بصورت Unicast ارائه میشه، با نحوه‌ی DDoS Protection برای سرویس‌های CDN که معمولن از منظر شبکه بطور Anycast پیاده‌سازی میشن، براشون سوء تفاهم شده‌بود.
//این مطلب خیلی یهویی و کوتاه نوشته شده :)) و سعی کردم خیلی از جزئیات فنی که ممکنه حوصله‌سربر باشه رو ساده بیان کنم. ضمنن مطلب بر اساس درک و تجربه شخصی بنده بر اساس اطلاعاتی که منشتر شده هست.

در پیاده‌سازی های Unicast، حملات DDoS بسیار موفق هستند چون می‌تونن تمامی منابع حمله رو، متمرکز کنن روی یک یا چند نقطه‌ [فیزیکی] (مثلن کل IPهایی که با BGP در دنیای اینترنت از یک محل اعلان میشن) و خیلی عامیانه‌ش اینکه لوله‌های اینترنت اون نقاط رو پر کنن.
حالا هرچقدر هم که تکنولوژی DDoS Protection/Mitigation و scrubbing پیشرفته باشه، اما بخاطر طبیعت سرویس IaaS، میشه گفت راهی جز افزایش دائمی پهنای باند وجود نداره و گاهی ممکنه پهنای باند زیرساخت‌های بزرگ پر بشه و مجبور به blackhole کردن بشن. اتفاقی که بارها در دنیا برای سرویس‌دهنده‌های بزرگ IaaS هم بطور روزانه رخ میده و بعنوان یکی از مخاطرات اینترنت شناخته شده. ادامه خواندن “اندر تفاوت Unicast و Anycast سوارابرها”

همخوان کنید

DOTS، روشی جدید در مواجهه با حملات DDoS؟

این روزها حملات DDoS به بخش لاینفکی از دنیای اینترنت مبدل شده‌اند و روز به روز نیز در حال پیچیده‌تر و قوی‌تر شدن می باشند.
طبعاً شرکت‌های مختلفی وجود دارند که سرویس‌های DDoS Protection/Mitigation ارائه کرده و هر یک از آن‌ها نیز راهکارها و روش های خاص خود را دارند (گاهی نیز شبیه به هم).

جدای از بحث استفاده از تجهیزات مقابله با DDoS در شبکه‌ها، زمانی که از یک سرویس‌دهنده‌ی بیرونی استفاده می‌شود، بطور خیلی کلی، معمولا دو حالت پیاده‌سازی (با استفاده از BGP و Tunnel) وجود دارد (معروف به Diversion/Reinjection یا Offramping/Onramping):

  • کل ترافیک دائماً از طریق آن سرویس‌دهنده عبور داده شود و اگر حمله‌ای وجود داشته باشد، همانجا مانده و تنها (به اصطلاح) ترافیک پاک به شبکه برسد (Scrubbing).
  • فقط زمانی که شبکه تحت حمله قرار می‌گیرد، طی یکسری عملیات و تغییر routing، ترافیک ورودی به شبکه بجای آن که مستقیم از اینترنت به شبکه وارد شود، مانند مدل قبل به سمت یک سرویس‌دهنده هدایت شده و توسط آن بررسی شده و تنها ترافیک پاک به شبکه می‌رسد. این روش، به نوعی On-demand محسوب می شود و کل عملیات و تغییر روتینگ می تواند به صورت خودکار و یا بصورت دستی توسط یک اپراتور رخ دهد.

ادامه خواندن “DOTS، روشی جدید در مواجهه با حملات DDoS؟”

همخوان کنید

” Bro ” ابزاری قدرتمند برای آنالیز شبکه

به عنوان یک ادمین شبکه یا حتی کسی که به حوزه ی شبکه علاقه داره حتما در رابطه با حملات DDoS و Mirai شنیدید.
ابزارهای Open Source زیادی وجود دارن که میتونید از اون ها به عنوان IDS در ساختار شبکتون استفاده کنید که یکی از اون ها ابزار قدرتمند و رایگانی هست به اسم  Bro Network Security Monitor.

Bro در واقع یک طرح آکادمیک/صنعتی هست که نتیجه ی سال ها تلاش و تحقیق بوده و تونسته بسیار موفق عمل کنه. چیزی که Bro رو از سایر IDS های رایج از دید کارشناسان مستثنی میکنه اینه که Bro در صورت توسعه قابلیت تولید طیف وسیعی از داده های NSM رو داره. داده های NSM به صورت کلی در این شش دسته قرار میگیرند: ادامه خواندن “” Bro ” ابزاری قدرتمند برای آنالیز شبکه”

همخوان کنید

خون‌ریزی ابری در Cloudflare!

این روزها اتفاقات زیادی در دنیای امنیت رخ داده است که شاید بزرگترین آن‌ها اولین حمله تصادم SHA-1 بوده باشد؛ اما اتفاقی که کمتر به آن پرداخته شد واقعه‌ی ناگوار Cloudbleed یا خون‌ریزی ابری هست که برای شرکت Cloudflare رخ داد.

شرکت Cloudflare به جهت سرویس گسترده CDN و DDoS Protection بسیار شناخته شده است و متاسفانه/خوشبختانه در ایران نیز کاربران فراوانی دارد. در حال حاضر حدود 4 میلیون دامنه (Domain) در بستر Cloudflare سرویس‌دهی می‌شوند.

جمعه‌ی گذشته آقای Tavis Ormandy از تیم معروف Google Project Zero متوجه شد که نسبت به برخی درخواست های HTTP که توسط سرورهای Cloudflare سرویس‌دهی می‌شدند، پاسخ‌های بی‌معنی دریافت می‌کند و نهایتاً به یک مشکل امنیتی جدی در سرویس Cloudflare پی بُرد که منجر به نشت اطلاعات فراوانی از وب‌سایت ها و Web Application های تحت سرویس CDN گردیده است. این اطلاعات می‌تواند شامل نام کاربری و رمز عبور، پیام‌های رد و بدل شده در چَت ها، و کلاً هرگونه اطلاعاتی که توسط آن می‌توان شخصی را شناسایی کرد (PII)، باشد.
متاسفانه عمق فاجعه جایی است که این اطلاعات توسط اغلب Search Engine ها Cache شده اند و احتمالاً در بسیاری از سرویس‌های تجزیه/تحلیل اطلاعاتی ذخیره شده اند.
در بین جستجوگرها می‌توان به Google، Bing، DuckDuckGo و Baidu اشاره کرد.

تصویر از Forbes

این اتفاق به این معنی است که اطلاعات شخصی میلیون ها کاربر اینترنتی در خطر قرار گرفته است!

این نشت اطلاعاتی از تاریخ 22 سپتامبر 2016 تا 18 فوریه 2017 ادامه داشته اما اوج آن بین 13 تا 18 فوریه بوده که از هر 3.300.000 درخواست HTTP، یک درخواست منجر به نشت اطلاعات گردیده است؛ یعنی روزانه حدود 100 تا 200 هزار صفحه با اطلاعات شخصی افراد! ادامه خواندن “خون‌ریزی ابری در Cloudflare!”

همخوان کنید

BlackNurse نوع جدیدی از حملات DDoS

امروزه حملات DoS / DDoS یکی از چالشهای مهم دنیای امنیت می‌باشد که گاهی نیز منجر به عدم دسترسی به سرویس‌های پرمخاطب اینترنت گردیده است. محققان شرکت امنیتی TDC Security Operations Center اخیراً روش جدیدی از حملات DDoS را بنام BlackNurse شناسایی کرده‌اند که با کمترین امکانات سخت افزاری، حتی قوی‌ترین فایروال‌های سخت‌افزاری را تحت تاثیر قرار می‌گیرند.

این حمله DDoS با ارسال متعدد بسته های کوچک ICMP (معروف به ICMP Flooding) به سمت فایروال‌ها پیاده سازی شده که این موضوع باعث ایجاد سربار اضافی برای فایروال و فشار مضاعف بر CPU فایروال مربوطه گردیده و در برخی موارد باعث از کارافتادگی آن می‌شود. در نظر داشته‌باشید که بطور کلی پروتکل ICMP یکی از ابزارهایی هست که در بستر اینترنت جهت اشکال زدایی، خطایابی در کامپیوترها، روترها و بطور کلی بررسی وجود ارتباط بین تجهیزات شبکه بکار میرود.

این نوع حمله، عموماً فایروال‌های شرکت‌های مختلف را که قبلاً در مقابل Ping Flood Attack آسیب پذیر بوده اند مورد هدف قرار میدهد. ادامه خواندن “BlackNurse نوع جدیدی از حملات DDoS”

همخوان کنید