کاربرد تجهیزات FortiDDoS برای جلوگیری از حملات DDoS – قسمت اول
حملات Distributed Denial of Service یا به اختصار DDoS دائما در حال تغییر بوده و همچنان به عنوان یکی از بزرگترین تهدیدها برای امنیت IT قلمداد میشوند و حتی در مواقعی، باعثِ از کار انداختن سرویسهای آنلاین مهم و حیاتی میگردند. لازم به ذکر است مشکلی تا این حد پویا و گسترده، که در عین حال به چند تکنولوژی خاص مرتبط گردد، تا کنون وجود نداشته است. یک فهرست طولانی و تقریبا نامحدود از ابزارها وجود دارد که هکرها و مجرمان سایبری با کمک آن میتوانند مانع دسترسی کاربران به شبکه گردند. حملات پیچیدهی DDoS، سرویسهای موجود در برنامههای کاربردی لایه ۷ را هدف قرار میدهد که شناسایی آنها به دلیل اندازه بسیار کوچک آن از طریق روشهای امنیتی قدیمی و مبتنی بر ISP، تقریبا غیرممکن است.
برای مبارزه با این تهدیدات باید راهکاری ارائه شود که به اندازه خود آنها پویا و گسترده باشد. Applianceهای FortiDDoS که به منظور کاهش حملات DDoS توسط Fortinet معرفی شده، با استفاده از روشهای شناسایی حملهی مبتنی بر رفتار و پردازشگرهایی که به طور کامل مبتنی بر ASIC میباشند، به ارائه پیشرفتهترین و سریعترین روش برای کاهش این نوع حملات در بازار امروز میپردازند.
رویکردی برتر و متفاوت جهت کاهش حملات DDoS
تنها Fortinet این قابلیت را داراست که از یک رویکرد ASIC صد در صدی برای محصولاتِ DDoS استفاده نماید، بدون اینکه سربار و ریسکهای CPU و یا سیستم ترکیبی CPU/ASIC رخ دهد. پردازشگر تراکنشهای FortiASIC-TP2 میتواند هر دو عملکرد شناسایی و کاهش حملاتِ DDoS را میسر سازد. این پردازشگر علاوه بر مدیریت انواع ترافیک در لایههای ۳، ۴ و ۷، میتواند عملکرد شناسایی و کاهش تهدیدات را تسریع نموده و کمترین میزان تاخیر (Latency) را در صنعت ایجاد نماید.
FortiDDos، در مقایسه با سایر رقبا از یک روش صد در صد اکتشافی و مبتنی بر رفتار برای شناسایی تهدیدات استفاده مینماید که انجام آن عمدتا متکی بر فرآیند انطباق با Signature میباشد. این تکنولوژی به جای استفاده از یک Signature از پیش تعریف شده جهت شناسایی الگوی تهدیدات، مبنایی را برای عملکرد نرمال ایجاد نموده و سپس ترافیک مربوط به آن را مانیتور مینماید. با شروع حمله، FortiDDoS آن را به عنوان اختلال و ناهنجاری در نظر گرفته و بلافاصله برای کاهش تاثیر آن وارد عمل میشود. کاربران با استفاده از این تکنولوژی در مقابل حملات شناخته شده و شناخته نشدهی Zero-Day، بدون اینکه نیازی برای به روزرسانی فایل یک Signature وجود داشته باشد، محافظت میگردند.
همچنین این تکنولوژی به نحوی متفاوت از سایر راهکارها میتواند فرآیند کاهش حملات را مدیریت نماید. وقتی حمله شروع میشود، سایر Applianceهای موجود نیز برای کاهش حملات DDoS آغاز به کار نموده و فرآیند مسدودسازی شروع میشود و این حالت تا پایان تهدید باقی خواهد ماند. در صورت انطباق اشتباه یک رویداد با یک Signature وضعیت False Positive ایجاد شده که منجر به توقف تمامی ترافیکها میشود که در نتیجه آن نیاز به مداخله پدید میآید. FortiDDoS از طریق مانیتور نمودن ترافیک نرمال و پس از آن یک سیستم امتیازبندی Reputation Penalty، از رویکرد دقیقتری برای برآورد IPهای مناسب و سایر موارد مشکلساز استفاده میکند.
این تکنولوژی، IPهای مشکلساز را مسدود نموده و سپس در مدت زمان تعریف شده توسط کاربر که به صورت پیش فرض هر ۱۵ ثانیه یکبار میباشد، این حملات را مجددا ارزیابی مینماید. در صورتی که IP مشکلساز همچنان در هر یک از این دورههای ارزیابی مجدد به عنوان تهدید تلقی شود، امتیاز آن در سیستم Reputation Penalty افزایش یافته و در صورت وارد کردن آسیب به Threshold تعریف شده توسط کاربر، در نهایت وارد Black List میشود.
تنظیمات و مدیریت آسان FortiDDoS
FortiDDoS به صورت پیش فرض فعالیت خود را آغاز نموده و در همین شرایط ابزار یادگیری خودکار آن به ایجاد مبنایی برای الگوهای ترافیک برنامه میپردازد. صرف نظر از وضعیت Threshold که به صورت پیشفرض یا تعریفشده میباشد، این تکنولوژی به صورت خودکار از کاربر در برابر حملات DDoS دفاع میکند و در زمان مورد نیاز تیمهای امنیتی برای پیکربندی، تنظیم پروفایل، آنالیز گزارشات یا انتظار برای بهروزرسانیهای Signature صرفهجویی مینماید.
داشبوردها و فرآیندهای گزارشگیری Real-Time مورد استفاده به ارائه ابزاری برای کاربران میپردازد که جهت بازنگری حملات و تهدیدات علیه سرویسهای خود بدان نیاز دارند. همچنین کاربران میتوانند گزارشات را مطابق با نیاز خود ارائه نمایند یا آنها را طوری برنامهریزی کنند که بر اساس یک مبنای مشخص و منظم ارائه شود. داشبوردها این امکان را برای کاربران فراهم مینماید تا روند حملات را در یک ترکیب ساده و قابل کاربرد مشاهده و درک نمایند. در هر یک از شرایط گزارشگیری از وضعیت کلی یا آنالیز دقیق حملات به صورت Granular، این تکنولوژی به ارائه اطلاعات جامع در مورد حملات در سطح سرویس و پاسخهایی برای کاهش رویدادهای خاص یا رویدادها در طول زمان میپردازد.
مکانیسمهای دفاعی قابل انعطاف
FortiDDoS به محافظت از کاربر در برابر تمامی حملات DDoS شامل Bulk Volumetric ،Layer 7 Application و حملات SSL/HTTPS میپردازد. در واقع این تکنولوژی، محافظت در برابر کلیه حملات از ابتدایی تا پیشرفتهترین حالتها را در برمیگیرد.
حملات Bulk Volumetric
این نوع حملات، اولین نوع حمله محسوب شده و امروزه نیز به عنوان یک تهدید جدی قلمداد میشوند. در حالی که ISPها ممکن است از حملات سادهای از این دست پیشگیری کنند اما این حملات به طور فزایندهای برای پوشش روشهای حمله پیچیدهتر در سطح اپلیکیشن به کار میروند. سادهترین روش برای مقابله با این نوع تهدیدات آن است که تا زمان متوقف شدن حملات، تمامی ترافیکها مسدود شود. سیستم امتیازبندی FortiDDoS IP Reputation به ترافیکهای بدون مشکل اجازه فعالیت میدهد در حالیکه IPهای مشکل ساز را محدود میکند. این فرآیند نه تنها محافظت مورد نیاز را برای کاربران فراهم مینماید، بلکه تاثیر False Positive حاصل از توقف ترافیکهای بدون مشکل Client را نیز به حداقل میرساند.
حملات مربوط به لایه Application
این نوع حملات به عنوان یک منبع رو به رشد از حملات DDoS به شمار رفته و تلاش میکنند تا آسیبپذیریهای موجود در یک سرویس را Exploit نمایند تا منابعی که آن را غیرقابل دسترس مینمایند، متوقف سازد. معمولا این نوع حملات در بخش حملات Bulk Volumetric قرار میگیرند اما بهرحال ممکن است به صورت جداگانه نیز رخ دهند. از آنجاییکه این نوع حملات به پهنای باند بسیار کمتری برای ایجاد قطعی در سرویس نیاز دارند، شناسایی آنها دشوارتر بوده و معمولا مستقیما از ISP به شبکه وارد میشوند. تمام حملات کوچک و بزرگی که لایه ۷ را هدف قرار میدهند، موجب بروز تغییراتی در سطح سرویس میشوند که از طریق موتور تحلیل رفتار FortiDDoS شناسایی شده و کاهش مییابد.
حملات مبتنی بر SSL
در این نوع حملات از روشهای رمزگذاری مبتنی بر SSL استفاده میشود تا محتوای Packetهای حمله را پنهان نماید؛ به علاوه اینکه استفاده از روشهای رمزگذاری به معنای کمتر بودن منابع در دسترس میباشد که نیاز به متوقف نمودن آنها وجود دارد. اغلب راهکارهای مبتنی بر Signature برای ایجاد انطباق با پروفایل حملات شناخته شده، مستلزم رمزگشایی ترافیک میباشند. با کمک یک سیستم رفتاری مانند FortiDDoS میتوان این حملات را بدون نیاز به رمزگشایی شناسایی نمود زیرا این حملات باعث بروز تغییرات رفتاری میگردد. این تغییرات را میتوان با رفتار نرمال سیستم مقایسه نمود و به درکی از منابع موجود دست یافت. وقتی منابع مربوطه در معرض تهدید قرار میگیرند، FortiDDoS با محدود نمودن درست و به موقع به حملات پاسخ میدهد.
حملات مبتنی بر DNS در واقع سرورهای معتبر (Authoritative) وRecursive DNS را هدف قرار میدهد. سازمانهای دارنده سرورهای DNS در معرض خطر حملات DDoS میباشند؛ بدین ترتیب که با Exploit نمودن نقاط ضعف موجود در سرورهای DNS برای مدیریت درخواستها و ترافیک، این منابع را هدف قرار میدهد. FortiDDoS تنها پلتفرم موجود برای کاهش حملات DDoS میباشد که تمامی ترافیکهای مربوط به DNSرا بررسی نموده و آنها را در مقابل تمام انواع حملات DDoS محافظت مینماید. این حملات با وارد شدن به سرورهای DNS از مجموعه پاسخهای DNS به درخواستها، مجموعه NXdomain Queryها و اختلالات DNS Header استفاده مینمایند. Advanced DNS Protection در اکثر مدلهای FortiDDoS در دسترس میباشد.
در قسمت دوم (پایانی) از این سری مقالات به بررسی سایر کاربردهای تجهیز FortiDDoS می پردازیم.
ــــــــــــــــــــــــــــــــــ
