پیشگیری از حملات DDOS مبتنی بر DOTS

آرمین رضائی‌مهر؛ کارشناس شبکه و امنیت اطلاعات بانک سرمایه / امروزه حملات DOS در حال افزایش بوده و به چالش‌های پیچیده امنیتی برای سازمان‌های بزرگ (Enterprise) و کوچک (Soho) تبدیل شده است.

اگرچه حملات DOS یک پدیده جدید نیست! لیکن متدها و منابع موجود برای انجام و پنهان‌سازی چنین حملاتی به‌طور چشمگیری پیشرفت نموده و شامل حملات (Disributed DDoS) و اخیراً حملات (DRDoS) است که به‌سادگی نمی‌توان با مکانیزم‌ها و راه‌حل‌های امنیتی سنتی نسبت به مقاوم‌سازی تجهیزات در قلمرو زیرساخت در راستای ممانعت از حملات مذکور اقدام نمود.

تجهیزات پیشرفته Cloud-based جهت حفاظت از سامانه‌های بانکی که به‌عنوان یک سرویس در Edge شبکه Design می‌شوند، می‌توانند به‌منظور کاهش حملات مبتنی بر DDoS در هر مقیاس از طریق پروتکل‌هایی نظیر UDP، ICMP و همچنین SYN/ACK، مقاوم‌سازی DNS و حملات در سطح لایه 7 مورداستفاده قرار گیرند.

Cloudflare یکی از بزرگ‌ترین DDoS Protection ها در جهان بوده که با استفاده از فناوری Anycast نسبت به کاهش حملات با نرخ Gbps 400 مقابله نموده است و با ارسال کل ترافیک از طریق سرویس‌دهنده باعث می‌شود ترافیک به‌صورت امن‌تر به مقصد هدایت (Route) و درصورتی‌که شبکه موردحمله واقع شود مطابق با طراحی صورت پذیرفته تغییر Routing به سمت Provider دیگر Advertise گردد.

این مقاله به‌صورت خلاصه با استناد به سند Draft-ietf-dots-use-cases- 05 با معرفی DOTS که یک راه‌حل پویا جهت واکنش مناسب به حملات مبتنی بر DDoS است تهیه و گردآوری شده است.

در حال حاضر راه‌کارهای کاهش حملات distributed denial-of-service – DDoS عمدتاً بر اساس و مبنای ارتباطات انحصاری و اختصاصی هستند که چنین طرح‌هایی باعث می‌شود پیکربندی، مدیریت و فعال‌سازی این فرآیند به‌صورت دستی و اغلب زمان‌بر باشد.

علاوه بر این، هماهنگی چندین DDoS mitigation solutions به‌طور هم‌زمان در لایه‌های دفاعی از سازمان در مقابل حملات DDoS به‌شدت پیچیدگی عملیاتی را افزایش می‌دهد و اغلب نتایج منجر به کاهش اثربخشی مطلوب در مقابله با حملات DDoS می‌شود.

DOTS برای ایجاد یک سیگنالینگ استاندارد بانام DDoS Open Threat Signaling در تلاش است تا نسبت به ارائه راه‌حل‌ها و Patterns های کاهش حملات اقدام نماید. هدف اصلی DOTS مواجه با حملات DDoS است.

در ذیل یکی از سناریوهای ارائه‌شده جهت مواجه با حملات DDoS تحت پوشش DOTS را بررسی می‌کنیم:

سناریو Inter – domain use case

Enterprise with an upstream transit provider DDoS mitigation Service

در این سناریو یک شبکه در سطح Enterprise با میزبانی وب خود، (سرورهای وب، سرورهای DNS، پلتفرم سرویس VOIP) دارای یک سیستم کاهش حملات DDoS؛ بانام DMS است که به‌منظور محافظت از سرورها، برنامه‌های کاربردی و منابع شبکه طراحی و در شبکه Deploy شده است.

DMS به‌گونه‌ای پیکربندی‌شده که اگر ترافیک با حجم بیش‌ازحد، مثلاً 50% از upstream internet دریافت شود، درخواست به DDoS mitigation جهت کمک به کاهش دسترسی را ارسال نماید.

قبل از هرگونه ارتباطی بین عوامل و اجزای DOTS نیز Credntials Security برقرار می‌شود تا صرفاً اشخاص مجاز بتوانند اقدامات کاهش‌دهنده را انجام دهند. با استفاده از DOTS مدیریت، کاهش DDoS بین DMS سازمانی و Provider ها انجام می‌شود.

هنگامی‌که DMS یک حمله ورودی DDoS را شناسایی می‌کند؛ منابع بلافاصله شروع به مقابله با این حمله می‌کند. در طی این حمله، حجم ترافیک ورودی در آستانه threshold 50% است؛ کلاینت DMS DOTS سیگنال به سمت سرور DOTS ارسال می‌کند و upstream provider برای پیشگیری از کاهش DDoS اقدام می‌کند. سرور DOTS به سمت کلاینت DOTS سیگنال کاهش دسترسی در شبکه را ارسال می‌کند.

در طول حمله؛ DOTS سرور در انتقال سیگنال در سطح شبکه به سمت Provider و کلاینت DOTS به‌منظور ارائه اطلاعات مربوطه به وضعیت مقابله در راستای کاهش ترافیک حمله DDoS عمل می‌کند. اطلاعات توسط سرور DOTS جمع‌آوری می‌شود، هنگامی‌که حمله DDoS به پایان رسید؛ سرور DOTS به سمت کلاینت DMS DOTS در سازمان پیغام (Signal) ارسال فروکش نمودن حمله را اطلاع می‌دهد.

همچنین این فرآیند و ارسال سیگنال ممکن است انجام نشود اما زمانی که وضعیت شبکه پایدار (Stable) گردید، کلیه رخدادها و مدت‌زمان انجام حمله و سایر پارامترهای موردنیاز مشخص و قابل‌دسترسی است.

پس‌ازآن DMS سازمان درخواست خدمات کاهش DDoS را به upstream provider جهت خاتمه فرآیند ارسال می‌کند. خاتمه درخواست (Request termination) به ازای هر upstream DOTS تکرار خواهد شد و سرورها از طریق لینک‌های که تحت حمله DDoS قرار داشتند قابل‌دسترسی خواهد بود.