حملات DDoS چگونه بر بازار ارز رمز پایه تاثیر می گذارد

با افزایش قیمت نرخ ارز رمز های پایه (cryptocurrency) و حجوم بسیاری از کاربران جدید به نظر می رسد سرور های سایت های اکسچنچ این نوع ارز ها به اندازه کافی زیر فشار بوده و طی این روز ها گاها با مشکل مواجه شده اما ظاهرا مشکل اصلی این سایت ها فراتر از این موضوع؛ یعنی حملات DDoS (حمله انکار سرویس توزیع شده ) می باشد.

حملات DDoS چگونه بر بازار ارز رمز پایه تاثیر می گذارد

یکی از شایع ترین حملات سایبری به این نوع سایت ها حملات DDoS است،در این نوع حمله با روانه کردن سیل عظیمی از درخواست ها به سمت سرور و اشغال منابع باعث از کار افتادن سرور می شوند. جلوگیری از این نوع حملات معمولا سخت و دشوار است چرا که این حملات از طریق یک آی پی نیست و از منابع مختلفی برای حمله استفاده می شود.

در ماه گذشته در حالی که صرافی های ارز رمز پایه در حال ارتقا سرور ها خود جهت ارایه سرویس مطلوب تر به دلیل افزایش ترافیک ناشی از معاملات بودند ؛ صرافی های معروف در حال مقابله با حملات DDoS بزرگ بودند!

Bitfinexکه در حال یک ارتقا سرور از قبل برنامه ریزی شده بود همزمان با حملات DDoS مواجه شد.

همچنین شرکت Bittrex نیز از شناسایی یک حمله DDoS که باعث اختلالات جدی در سرویس دهی آنها شده بود خبر داد:

این حملات دیگر بخش جدایی ناپذیری از زندگی آنلاین کسب و کار های اینترنتی، سایت های فروشگاهی و بانک ها و خدمات پرداخت ها شده است و در هر زمان و مکان ممکن است اتفاق بی افتد.

در اواخر اکتبر سال 2017 بلاکچین اصلی Bitcoin Gold توسط یک حمله گسترده DDoS از دسترس خارج شد. این حمله با قدرتی حدود 10 میلیون رکوئست در دقیقه انجام شد.

در ماه می صرافی Poloniex از دسترس خارج شد که موجب نارضایتی کاربران این سایت شد که نمی توانستند اقدام به خرید و فروش نمایند. هر چند اطلاعاتی به سرقت نرفته است اما این اقدام به اندازه کافی برای کاربران این سایت ترسناک بود!

با این حال فناوری بلاکچین می تواند راه حلی برای مقابله با حملات DDoS باشد که تمرکز میزبان سرویس دهنده را از بین می برد، که یکی از پر حاشیه ترین های آن اخبار غیر رسمی مبنی بر استفاده تلگرام از فناوری بلاکچین در آینده نزدیک می باشد.

معرفی حمله TCP SYN ACK Flood

ddos-force-attack

در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.

به خواندن ادامه دهید

معرفی حمله SYN Flood

حملات SYN flood یکی از شایع ترین حملات DDoS در لایه 4 شبکه مدل OSI که مثل حمله ACK و دیگر حملات TCP مبتنی بر یک اتصال TCP است که یک اتصال TCP طبق مطالب گذشته دارای سه مرحله است:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. تمامی سرور ها دارای محدودیت در کانکشن های باز می باشند که این محدودیت می تواند به دلایلی همچون محدودیت های سخت افزاری و یا پیکربندی تنظیمات سرور باشد.

در یک حمله SYN flood که اکثرا با آی پی های جعلی انجام می شود مرحله اول اتصال انجام می شود؛ یعنی درخواست SYN ارسال می شود ولی مرحله دوم اتصال انجام نمی شود و سرور در انتظار تکمیل ارتباط می ماند و به نوعی کانکشن نیمه باز می ماند، اگر میزان کانکشن های نیمه باز افزایش یابد محدودیت کانکشن ها تمام می شود و هیچ جای خالی برای ایحاد یک کانکشن جدید بین سرور و کاربران واقعی آنها نمی ماند و به اصطلاح سرور DOWN می شود.

در مثال زیر پکت های ارسالی به سرور فرضی با آی پی 10.100.101.102 را مشاهده می کند که تحت حمله SYN flood  قرار گرفته است:

به خواندن ادامه دهید

معرفی حمله SNMP

باگ های سرویس های DNS همواره محبوب ترین راه برای ایجاد حملات DDoS عظیم برای مهاجمان بوده است؛به مرور زمان باگ های سرویس دهندگان DNS  پتچ شدند و راه های سو استفاده از آن مسدود شده اند؛ به طوی که به هر درخواست ناشناخته پاسخ ندهند.

NTP یکی از روش های محبوب بود که به وسیله آن حملات بزرگی در تاریخ اینترنت به وقوع پیوست که به مرور زمان آنها پتچ شدند و راه های سو استفاده از آنها بسته شد؛ اگر چه حملات NTP هنوز نیز مورد استفاده قرار میگیرد اما مثل سابق نیست و نمی تواند حملاتی به قدرت و بزرگی سابق را ایجاد نماید اما جدیدا با خطر جدیدی مواجه هستیم به نام SNMP که از روش تقویت شده (amplification) برای ایجاد حملات استفاده می کنند.

SNMP چیست؟

SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.

درخواست های SNMP بر روی پورت 161 و با پروتکل UDP ارسال و دریافت می شوند.

SNMP به عنوان یک روشDDOS

به خواندن ادامه دهید