فهم هجمات DDoS: دليل لمسؤولي WordPress
نشرت: 2019-10-10رفض الخدمة الموزع (DDoS) هو نوع من هجمات رفض الخدمة (DoS) حيث يأتي الهجوم من مضيفين متعددين على عكس مضيف واحد ، مما يجعل من الصعب جدًا منعهم. كما هو الحال مع أي هجوم DoS ، فإن الهدف هو جعل الهدف غير متاح عن طريق التحميل الزائد عليه بطريقة ما.
بشكل عام ، يستلزم هجوم DDoS عددًا من أجهزة الكمبيوتر أو برامج الروبوت. أثناء الهجوم ، يرسل كل جهاز كمبيوتر بشكل ضار طلبات لزيادة التحميل على الهدف. الأهداف النموذجية هي خوادم الويب ومواقع الويب ، بما في ذلك مواقع WordPress. نتيجة لذلك ، يتعذر على المستخدمين الوصول إلى موقع الويب أو الخدمة. يحدث هذا بسبب إجبار الخادم على استخدام موارده للتعامل مع هذه الطلبات حصريًا.
من المهم لمشرفي WordPress فهم هجمات DDoS والاستعداد لها. يمكن أن تحدث في أي وقت. في هذه المقالة سوف نستكشف DDoS بشكل متعمق ونزودك ببعض النصائح للمساعدة في الحفاظ على موقع WordPress الخاص بك محميًا.
DDoS هو هجوم يهدف إلى التعطيل وليس الاختراق
من المهم أن نفهم أن هجوم DDoS ليس اختراقًا خبيثًا لـ WordPress بالمعنى التقليدي. يشير القرصنة إلى وصول مستخدم غير مصرح به إلى خادم أو موقع ويب لا ينبغي أن يكون لديه.
أحد الأمثلة على الاختراق التقليدي هو عندما يستغل المهاجم ثغرة أمنية في الكود ، أو عندما يستخدم متشمم حزمة لسرقة كلمات مرور WordPress. بمجرد حصول المتسلل على بيانات الاعتماد ، يمكنه سرقة البيانات أو التحكم في موقع الويب.
يخدم DDoS غرضًا مختلفًا ولا يتطلب وصولًا مميزًا. يهدف DDoS ببساطة إلى تعطيل العمليات العادية للهدف. مع الاختراقات التقليدية ، قد يرغب المهاجم في المرور دون أن يلاحظه أحد لفترة من الوقت. باستخدام DDoS ، إذا نجح المهاجم ، فستعرف على الفور تقريبًا.
أنواع مختلفة من هجمات رفض الخدمة الموزعة
DDoS ليس مجرد نوع واحد من الهجمات. هناك العديد من المتغيرات المختلفة وكلها تعمل بشكل مختلف قليلاً تحت الغطاء. ضمن فئة DDoS ، هناك العديد من الفئات الفرعية التي يمكن تصنيف الهجمات إليها. المدرجة أدناه هي الأكثر شيوعًا.
هجمات DDoS الحجمية
تعتبر هجمات DDoS الحجمية واضحة من الناحية الفنية: يغمر المهاجمون الهدف بطلبات لزيادة سعة النطاق الترددي. هذه الهجمات لا تستهدف WordPress مباشرة. بدلاً من ذلك ، يستهدفون نظام التشغيل الأساسي وخادم الويب. ومع ذلك ، فإن هذه الهجمات وثيقة الصلة بمواقع WordPress. إذا نجح المهاجمون ، فلن يعرض موقع WordPress الخاص بك صفحات للزوار الشرعيين خلال مدة الهجوم.
تتضمن هجمات DDoS المحددة التي تندرج ضمن هذه الفئة ما يلي:
- تضخيم NTP
- الفيضانات UDP
هجمات DDoS لطبقة التطبيقات
تركز هجمات DDoS لطبقة التطبيقات على الطبقة 7 ، طبقة التطبيق. هذا يعني أنهم يركزون على خادم الويب Apache أو NGINX وموقع WordPress الخاص بك. تحصل هجمات الطبقة 7 على المزيد من الضجة مقابل ربحها عندما يتعلق الأمر بالضرر الذي يحدث بالنسبة للنطاق الترددي الذي تم إنفاقه.
لفهم سبب ذلك ، دعنا نتعرف على مثال لهجوم DDoS على واجهة برمجة تطبيقات WordPress REST. يبدأ الهجوم بطلب HTTP ، مثل HTTP GET أو HTTP POST من أحد الأجهزة المضيفة. يستخدم طلب HTTP هذا قدرًا ضئيلًا نسبيًا من الموارد على المضيف. ومع ذلك ، على الخادم الهدف قد يطلق عدة عمليات. على سبيل المثال ، يجب على الخادم التحقق من بيانات الاعتماد ، والقراءة من قاعدة البيانات ، وإعادة صفحة الويب.
في هذه الحالة ، لدينا تباين كبير بين النطاق الترددي الذي استخدمه المهاجم والموارد التي استهلكها الخادم. عادة ما يتم استغلال هذا التفاوت أثناء الهجوم. تتضمن هجمات DDoS المحددة التي تندرج ضمن هذه الفئة ما يلي:
- فيضانات HTTP
- هجمات البريد البطيء
هجمات DDoS القائمة على البروتوكول
تتبع هجمات DDoS المستندة إلى البروتوكول نفس نموذج موارد العادم مثل هجمات DDoS الأخرى. ومع ذلك ، فهم يركزون بشكل عام على الشبكة وطبقات النقل ، بدلاً من الخدمة أو التطبيق.
تحاول هذه الهجمات رفض الخدمة عن طريق استهداف أجهزة مثل جدران الحماية أو مكدس TCP / IP الأساسي الذي يعمل على الخادم الخاص بك. إنهم يستغلون نقاط الضعف في كيفية معالجة مكدس شبكة الخادم لحزم الشبكة ، أو كيفية عمل اتصال TCP. تتضمن أمثلة هجمات DDoS القائمة على البروتوكول ما يلي:
- الفيضانات سين
- بينغ الموت
هجمات DDoS متعددة المتجهات
كما قد تتوقع ، لا يقيد المهاجمون أنفسهم بنوع واحد فقط من الهجوم. أصبح من الشائع بشكل متزايد أن تتخذ هجمات DDoS نهجًا متعدد النواقل. هجمات DDoS متعددة المتجهات هي فقط ما تتوقعه: هجمات DDoS التي تستخدم تقنيات متعددة لضرب هدف في وضع عدم الاتصال.
فهم الانعكاس والتضخيم في DDoS
المصطلحان اللذان يظهران بشكل متكرر مع هجمات DDoS هما الانعكاس والتضخيم. كلتا هاتين التقنيتين يستخدمهما المهاجمون لجعل هجمات DDoS أكثر فعالية.
الانعكاس هو تقنية يرسل فيها المهاجم طلبًا بعنوان IP مخادع إلى خادم طرف ثالث. عنوان IP المخادع هو عنوان الهدف. خلال هذا النوع من الهجمات عادةً ما يستخدم المهاجمون مجموعة متنوعة من بروتوكولات UDP. إليك كيف يعمل:
- يرسل المهاجم طلب UDP بعنوان IP مخادع ، لنقل عنوان IP الخاص بموقع WordPress الخاص بك إلى عدد كبير من الخوادم تسمى العاكسات.
- يتلقى العاكسون الطلب ويردون جميعًا على عنوان IP الخاص بموقع WordPress في نفس الوقت.
- تغمر الاستجابات العاكسات موقع WordPress الخاص بك ، مما قد يؤدي إلى زيادة التحميل عليه وجعله غير متاح.
يعمل التضخيم بشكل مشابه للانعكاس. على الرغم من أنها تتطلب نطاقًا تردديًا وموارد أقل ، لأن الطلبات المرسلة إلى العاكسات أصغر بكثير من الردود التي ترسلها العاكسات إلى الهدف. إنه يعمل بشكل مشابه لما رأيناه مع هجمات رفض الخدمة الموزعة بطبقة التطبيق.
دور الروبوتات في هجمات DDoS
هل تساءلت يومًا من أين يحصل المهاجمون على الموارد اللازمة لتنسيق الهجمات؟
الجواب هو botnets. الروبوتات عبارة عن شبكة أو أجهزة تم اختراقها بواسطة البرامج الضارة. قد يكون هذا جهاز كمبيوتر أو خادم أو شبكة أو جهاز ذكي. تمكن البرامج الضارة المهاجمين من التحكم عن بعد في كل مضيف تم اختراقه.
عند استخدامها مع DDoS ، تقوم الروبوتات بتنفيذ هجوم رفض الخدمة المنسق ضد مضيف هدف معين أو مجموعة من المضيفين. باختصار: تتيح شبكات الروبوت للمهاجمين الاستفادة من الموارد الموجودة على أجهزة الكمبيوتر المصابة لتنفيذ الهجمات. على سبيل المثال ، كان هذا هو الحال عندما تم استخدام أكثر من 20000 موقع WordPress لتنفيذ هجمات DDoS ضد مواقع WordPress الأخرى في عام 2018 (اقرأ المزيد) ..
الدافع وراء هجمات رفض الخدمة الموزعة
"لماذا ينفذ الأشخاص هجمات DDoS؟" هو سؤال جيد يجب طرحه في هذه المرحلة. لقد راجعنا سبب استهداف مخترق ضار لموقع WordPress الخاص بك في الماضي ، ولكن واحدة فقط من هذه النقاط تنطبق بالفعل على DDoS: hactivism. إذا لم يوافق شخص ما على وجهة نظرك ، فقد يرغب في إسكات صوتك. يوفر DDoS وسيلة للقيام بذلك.
بالنظر إلى الأحداث السابقة ، فإن الحرب الإلكترونية على مستوى الدولة أو الهجمات الصناعية ذات الدوافع التجارية هي دوافع محتملة أيضًا لـ DDoS. ومن الشائع أيضًا وجود المهاجمين المؤذيين والمراهقين الذين يلهون ويستخدمون DDoS لإحداث بعض الفوضى.
بالطبع ، أحد أكبر الدوافع هو المال. قد يطلب المهاجمون فدية للتوقف عن مهاجمة موقع WordPress الخاص بك. من الممكن أن يستفيدوا تجاريًا إذا كان موقعك معطلاً. بأخذ هذه الخطوة إلى الأمام ، كانت هناك خدمات DDoS للتأجير!
أمثلة من العالم الحقيقي للرفض الموزع للخدمة
ما مدى خطورة هجمات رفض الخدمة الموزعة؟ دعنا نلقي نظرة على بعض هجمات DDoS الشهيرة في السنوات القليلة الماضية.
GitHub (مرتين!): عانت GitHub من هجوم رفض الخدمة الهائل في عام 1015. يبدو أن الهجمات كانت تستهدف مشروعين لمكافحة الرقابة على المنصة. أثرت الهجمات على أداء GitHub وتوفره لعدد من الأيام.
ثم في عام 2018 ، كان GitHub مرة أخرى هدفًا لهجوم DDoS. هذه المرة استخدم المهاجمون هجومًا يعتمد على ذاكرة التخزين المؤقت. لقد استفادوا من طرق التضخيم والانعكاس. على الرغم من حجم الهجوم ، إلا أن المهاجمين أسقطوا GitHub لمدة 10 دقائق فقط.
دولة إستونيا: شهد شهر أبريل / نيسان 2007 أول هجوم إلكتروني معروف ضد أمة بأكملها. بعد وقت قصير من قرار الحكومة الإستونية نقل تمثال الجندي البرونزي من وسط تالين إلى مقبرة عسكرية ، وقعت أعمال شغب ونهب. في الوقت نفسه ، شن المهاجمون عددًا من هجمات رفض الخدمة الموزعة التي استمرت لأسابيع. لقد أثروا على الخدمات المصرفية عبر الإنترنت ووسائل الإعلام والخدمات الحكومية في البلاد.
Dyn DNS: في الحادي والعشرين من أكتوبر عام 2016 ، تعرض Dyn لهجوم DDoS واسع النطاق. بسبب الهجوم ، لم تتمكن خدمات Dyn DNS من حل استفسارات المستخدم. نتيجة لذلك ، لم تكن الآلاف من مواقع الويب ذات الزيارات العالية ، بما في ذلك Airbnb و Amazon.com و CNN و Twitter و HBO و VISA متاحة. تم تنسيق الهجوم من خلال عدد كبير من أجهزة إنترنت الأشياء ، بما في ذلك كاميرات الويب وأجهزة مراقبة الأطفال.
نصائح ووردبريس للحماية من هجمات DDoS
بصفتك مسؤول WordPress فرديًا ، ليس لديك الموارد والبنية التحتية لصد هجوم DDoS. على الرغم من أن العديد من مضيفي الويب في WordPress يقدمون نوعًا من التخفيف من هجمات DDoS. لذا اسأل عنها عند اختيار مزود استضافة لموقع WordPress الخاص بك. يمكنك أيضًا استخدام جدار حماية تطبيق الويب / WordPress (WAF) وشبكة توصيل المحتوى (CDN) . لقد قمنا بدمج WAFs و CDN في إدخال واحد حيث يوجد مزودون ، مثل Sucuri ، يوفرونهما في حل واحد.
عند استخدام WAF أو CDN ، يتم توجيه حركة المرور أولاً وتصفيتها بواسطة الخدمة قبل الوصول إلى موقع الويب الخاص بك. يمكن أن يؤدي هذا الإعداد إلى إيقاف العديد من الهجمات عند الحد مع الحد من ضرر الآخرين. تقدم بعض شبكات CDN مزايا تتيح الكشف عن هجمات DDoS والاستجابة لها. نظرًا لأنه يمكنهم الاستفادة من وفورات الحجم في السحابة ، يمكن لشبكات CDN و WAF عبر الإنترنت إلغاء تحميل الهجمات. يعيدون توجيههم إلى الشبكات التي لديها الكثير من النطاق الترددي والأدوات المناسبة للتعامل معها.
ردع المتسللين وهجمات DDoS
ومع ذلك ، كما رأينا مع WordPress BruteForce Botnet ، هناك العديد من أفضل الممارسات الأمنية التي يمكنك تنفيذها على موقع WordPress الخاص بك حتى لا يجذب انتباه المهاجمين وربما هجمات DDoS:
- حافظ على تحديث موقع WordPress الخاص بك: الحفاظ على نواة WordPress والمكونات الإضافية والسمات وجميع البرامج الأخرى التي تستخدمها محدثة يقلل من خطر استخدام ثغرة أمنية معروفة ضدك. يؤدي الحفاظ على موقعك محدثًا أيضًا إلى تقليل فرص أن يصبح جزءًا من شبكة الروبوتات.
- استخدم ماسحًا ضوئيًا للتحقق من نقاط الضعف: بعض هجمات DoS تستغل مشكلات مثل Slowloris. يمكن الكشف عن هذا وغيره من الثغرات الأمنية بواسطة ماسحات الثغرات الأمنية. لذلك عند فحص موقع الويب الخاص بك وخادم الويب ، غالبًا ما تحدد نقاط الضعف التي قد تستغلها هجمات DDoS. هناك مجموعة متنوعة من الماسحات الضوئية التي يمكنك استخدامها. نحن نستخدم WPScan Security Scanner غير المتطفلة لمسؤولي WordPress.
- راجع السجلات لتحسين الأمان وتحديد المشكلات: يمكن أن تساعد سجلات تدقيق WordPress والسجلات الأخرى في تحديد السلوك الضار مبكرًا. من خلال السجلات ، يمكنك تحديد المشكلات التي قد تكون ناجمة عن هجمات DDoS ، مثل رموز خطأ HTTP المحددة. تسمح لك السجلات أيضًا بالبحث عن مصدر الهجوم وتحليله. هناك العديد من ملفات السجل التي يمكن لمسؤولي WordPress استخدامها لإدارة وتأمين موقع الويب الخاص بهم بشكل أفضل.
- تقوية مصادقة المستخدم: قد تكون هذه هي أفضل ممارسة أخيرة ، لكنها لا تقل أهمية عن غيرها. نفِّذ سياسات كلمات مرور WordPress قوية لضمان استخدام مستخدمي موقع الويب الخاص بك كلمات مرور قوية. علاوة على ذلك ، قم بتثبيت مكون إضافي للمصادقة ذات العاملين وتنفيذ السياسات لجعل المصادقة الثنائية إلزامية.