اختلال سرویس بر اثر حملات DDoS؛ راهکارهای خنثیسازی ترافیک مخرب در لایه شبکه
- تکنیک RTBH (سیاهچاله راه دور): شما میتوانید ترافیک ورودی به یک IP خاص را در سطح روترهای ISP قطع کنید. این کار جلوی اشباع پهنای باند کل دیتاسنتر را میگیرد.
- فیلترینگ جراحی با BGP Flowspec: قوانین فایروال را مستقیماً به جدول مسیریابی تزریق کنید. با این روش، ترافیک مخرب را بر اساس پورت یا پروتکل مسدود میکنید، بدون اینکه ترافیک سالم قطع شود.
- معماری Anycast: یک آدرس IP را از چندین نقطه جغرافیایی اعلام کنید. این معماری بار حملات عظیم را در سراسر جهان پخش میکند و جلوی تمرکز ترافیک روی یک سرور را میگیرد.
- مراکز پاکسازی (Scrubbing Centers): ترافیک آلوده را به سمت کلاسترهای ابری بفرستید تا آن را بشویند! سپس دادههای سالم را از طریق تونلهای امن به دیتاسنتر خود برگردانید.
اوج ساعات کاری یا یک کمپین فروش بزرگ را تصور کنید. ناگهان تمام داشبوردهای مانیتورینگ قرمز میشوند. پینگتایم به شدت بالا میرود و سرورها از دسترس خارج میشوند. پهنای باند ۱۰ گیگابیتی سازمان شما در چند ثانیه کاملاً پر میشود. در این لحظه دلهرهآور، شما قربانی یک حمله DDoS (تکذیب سرویس توزیعشده) شدهاید. هکرها با ارتش باتنتهای خود، سیلی از ترافیک زباله را به سمت زیرساخت شما سرازیر میکنند. هدف آنها فلج کردن کسبوکار شماست. خسارت این حمله فقط قطع شدن سایت نیست؛ شما اعتماد مشتریان، رتبه سئو و درآمد فروش خود را نیز از دست میدهید.
بسیاری از مدیران فکر میکنند خرید فایروالهای گرانقیمت لبه شبکه، آنها را در برابر این طوفان ایمن میکند. اما واقعیت تلخ چیز دیگری است. حملات حجمی (Volumetric) در لایه شبکه (لایههای ۳ و ۴)، پهنای باند فیزیکی یا حافظه فایروال را پر میکنند. این اتفاق قبل از آن میافتد که فایروال اصلاً فرصت پردازش بستهها را پیدا کند! در نتیجه، تجهیزات دفاعی شما Crash میکنند. برای مهار این هیولا، باید خط دفاعی را از لبه دیتاسنتر به لایههای بالاتر (Routing) ببرید. در این مقاله از رسانه تجهیزات شبکه و دیتاسنتر، استراتژیهای پیشرفته مهندسی را برای خنثیسازی ترافیک مخرب بررسی میکنیم.
کالبدشکافی حملات؛ از SYN Flood تا طوفانهای تقویتی
برای دفاع در برابر هر سیستم تهاجمی، ابتدا باید مکانیزم آن را بشناسیم. حملات DDoS در لایههای شبکه و انتقال معمولاً در دو دسته اصلی قرار میگیرند:
۱. حملات اشباع منابع (Protocol Attacks)
حمله SYN Flood آشناترین نمونه در این دسته است. در فرآیند دستدادن سهمرحلهای TCP، کاربر یک بسته SYN میفرستد. سرور با SYN-ACK پاسخ میدهد و بخشی از حافظه خود را باز نگه میدارد. سرور منتظر میماند تا کاربر بسته نهایی ACK را بفرستد. در حمله SYN Flood، هکر میلیونها بسته SYN با آدرسهای IP جعلی ارسال میکند. او هرگز پاسخ نهایی را نمیدهد. در نتیجه، حافظه سرور یا فایروال به سرعت پر میشود و دستگاه دیگر نمیتواند به کاربران واقعی پاسخ دهد.
۲. حملات تقویتی و انعکاسی (Amplification Attacks)
این حملات کابوس شبکههای امروزی هستند. هکرها آنها را بر بستر پروتکل UDP (که مکانیسم تایید ارتباط ندارد) اجرا میکنند. هکر یک درخواست کوچک (مثلاً ۶۴ بایت) به یک سرور آسیبپذیر در اینترنت (مثل سرورهای DNS یا NTP) میفرستد. اما او آدرس مبدأ را به آدرس IP سرور شما جعل (Spoof) میکند. سرور آسیبپذیر، پاسخی بسیار بزرگتر (گاهی تا ۵۰ هزار برابر سایز درخواست اولیه) را به سمت سرور شما شلیک میکند! با این روش، هکری که فقط ۱ گیگابیت پهنای باند دارد، یک طوفان ۵۰ گیگابیتی روی سرور شما میسازد.
تکنیک RTBH؛ قطع عضو برای نجات بیمار!
وقتی یک حمله عظیم ۲۰۰ گیگابیتی لینک اصلی دیتاسنتر شما را پر میکند، فیلتر کردن آن روی روتر شرکت بیفایده است. چرا؟ چون ترافیک از قبل وارد لوله (Pipe) اینترنت شما شده است. در این حالت باید از تأمینکننده اینترنت (ISP) کمک بگیرید. سریعترین راهکار دفاعی، RTBH (سیاهچاله راهدور) است.
در این روش، شما از طریق یک نشست BGP به روترهای ISP پیام میدهید: «هر ترافیکی که به سمت IP سرور من میآید را در لبه شبکه خودت دور بریز (Drop کن)».
نقطه ضعف این روش چیست؟ RTBH یک راهکار خشن است. وقتی IP خود را در سیاهچاله میاندازید، ترافیک کاربران سالم را هم قطع میکنید. در واقع، شما با دست خودتان کار هکر را تکمیل کرده و سرور را آفلاین میکنید! اما مزیت بزرگ آن این است که جلوی فروپاشی کل دیتاسنتر (و سایر سرورهای مهم شما) را میگیرد.
فیلترینگ با BGP Flowspec؛ جراحی دقیق در لایه مسیریابی
استاندارد BGP Flowspec برای رفع محدودیتهای روش RTBH به میدان آمد. این تکنولوژی به مدیران شبکه اجازه میدهد قوانین فیلترینگ بسیار دقیقی بسازند. سپس این قوانین را از طریق پروتکل BGP به روترهای بالادستی (ISP) تزریق کنند.
فرض کنید سرور شما تحت حمله UDP Reflection روی پورت ۵۳ (DNS) قرار گرفته است. با Flowspec شما یک قانون میسازید: «هر بسته UDP که پورت مبدأ آن ۵۳ و سایزش بین ۱۰۰۰ تا ۱۵۰۰ بایت است را Drop کن. اما اجازه بده ترافیک وب روی پورت 443 عبور کند». روترهای ISP این قانون را به فایروال سختافزاری خود اضافه میکنند. حالا ترافیک کثیف قبل از رسیدن به دیتاسنتر شما نابود میشود، در حالی که سرویسهای وب شما به کار خود ادامه میدهند.
معماری Anycast؛ جذب شوک حمله با توزیع جهانی بار
در دنیای فیزیکی، اگر یک سیلاب عظیم به سمت یک سد سرازیر شود، سد میشکند. اما اگر همین سیلاب را به دهها رودخانه کوچک تقسیم کنید، به راحتی آن را مدیریت میکنید. معماری Anycast (انیکست) دقیقاً با همین منطق کار میکند.
در شبکههای سنتی، یک آدرس IP فقط به یک سرور فیزیکی اشاره میکند. اما در معماری Anycast، شما یک IP واحد را از دهها دیتاسنتر مختلف در سراسر جهان اعلام میکنید. وقتی هکر باتنتهای خود را برای حمله فعال میکند، ترافیک حمله روی یک سرور متمرکز نمیشود. شبکه اینترنت بر اساس نزدیکترین مسیر مسیریابی، این ترافیک را بین تمام دیتاسنترهای شما پخش میکند. در نتیجه، یک حمله وحشتناک ۱ ترابایتی، به ۵۰ حمله کوچک ۲۰ گیگابیتی روی ۵۰ سرور مختلف تجزیه میشود. دفع چنین حملاتی برای تجهیزات لبه شبکه بسیار آسان است.
مراکز پاکسازی ترافیک؛ ماشین لباسشویی دیتاسنتر
کاملترین و بینقصترین راهکار برای سازمانهای حساس (بانکها و اپراتورها)، استفاده از مراکز پاکسازی ابری (Scrubbing Centers) است. سرویسهایی مانند Cloudflare Magic Transit دقیقاً همین کار را انجام میدهند.
مکانیسم عملکرد این معماری بسیار هوشمندانه است:
- در حالت عادی، ترافیک مستقیم وارد دیتاسنتر شما میشود.
- سیستمهای مانیتورینگ حمله DDoS را تشخیص میدهند. فوراً یک پیام BGP به روترهای جهانی ارسال میکنند.
- کل ترافیک اینترنتِ شما تغییر مسیر میدهد و وارد دیتاسنترهای عظیم شرکت امنیتی (Scrubbing Center) میشود.
- تجهیزات تخصصی در آنجا، بستههای مخرب را در مقیاس ترابیت بر ثانیه فیلتر میکنند (ترافیک را میشویند).
- در نهایت، ترافیک سالم از طریق یک تونل امن (مثل GRE یا IPsec) به دیتاسنتر شما برمیگردد. کاربران واقعی بدون اینکه متوجه حمله شوند، سرویس میگیرند.
جدول مقایسهای: راهکارهای مقابله با DDoS در یک نگاه
تفاوت استراتژیهای خنثیسازی ترافیک مخرب را از نظر عملکرد و هزینه در جدول زیر مقایسه کردهایم:
| تکنولوژی دفاعی | مکانیزم عملکرد | دقت فیلترینگ (Granularity) | تاثیر بر کاربران واقعی | هزینه پیادهسازی |
|---|---|---|---|---|
| RTBH (سیاهچاله) | حذف کل ترافیک ورودی به IP خاص در سطح ISP | بسیار پایین (همه چیز را قطع میکند) | قطع کامل سرویس (Downtime 100%) | تقریباً رایگان (مبتنی بر BGP) |
| BGP Flowspec | تزریق قوانین فایروال به روترهای بالادستی | بالا (بر اساس پورت، پروتکل و سایز بسته) | سرویس برای کاربران واقعی باز میماند | متوسط (نیاز به پشتیبانی ISP) |
| Anycast Routing | توزیع فیزیکی ترافیک در سراسر شبکه جهانی | متوسط (فیلترینگ محلی در نودها) | بدون تاثیر منفی (بهبود سرعت) | بالا (نیاز به دیتاسنترهای متعدد) |
| Scrubbing Centers | تغییر مسیر، شستشوی ترافیک و بازگشت از تونل | بسیار بالا (تحلیل رفتاری هوشمند) | بدون قطعی (پایداری کامل سرویس) | بسیار بالا (آبونمان ماهیانه) |
تحلیل اختصاصی آلفاتک: چرا فایروالها زانو میزنند؟
کارشناسان زیرساخت در آلفاتک همواره با این سوال مدیران روبرو میشوند: «ما فایروال نسل بعدی (NGFW) نصب کردهایم، چرا باز هم سایت با حمله DDoS قطع میشود؟» پاسخ به تفاوت لایههای شبکه برمیگردد. فایروالها برای هر بسته اطلاعاتی، یک جدول نشست (Session Table) در حافظه RAM خود میسازند. در حملاتی مثل SYN Flood، هکر میلیونها ارتباط ناقص ایجاد میکند. این کار RAM فایروال را در چند ثانیه پر میکند و فایروال برای جلوگیری از سوختن پردازنده، خود را قفل (Hang) میکند! مقابله با حملات حجمی اصلاً وظیفه فایروال لبه نیست. شما باید این حملات را در لایه روترهای Core (با Flowspec) یا توسط تجهیزات سختافزاری اختصاصی Anti-DDoS دفع کنید. در معماری شبکههای مدرن، تنها راهکار قطعی استفاده از دفاع ترکیبی است؛ یعنی تجهیزات محلی برای دفع حملات لایه اپلیکیشن، در کنار مراکز پاکسازی ابری برای مهار حملات لایه شبکه.
