حمله‌ی منع سرویس توزیع‌شده با شدت ۶۵۰ گیگابیت بر ثانیه توسط بات‌نت Leet

درست قبل از کریسمس، شرکت Imperva بر روی شبکه‌ی خود یک حمله‌ی عظیم منع سرویس توزیع‌شده را شناسایی کرد که شدت آن به ۶۵۰ گیگابیت بر ثانیه می‌رسید و در نوع خود بی‌نظیر بود. تاکنون حمله‌ای با این شدت ثبت نشده است. به گزارش Imperva این حمله توسط بات‌نتی با نام Leet در تاریخ ۱ دی ماه انجام شده و شبکه‌ی این شرکت را تحت تأثیر قرار داده است.

هرچند در حال حاضر نمی‌توان انتساب دقیقی برای دستگاه‌های مهاجم انجام دارد ولی این‌طور به نظر می‌رسد که شبیه به بات‌نت Mirai، این بات‌نت نیز از هزاران دستگاه اینترنت اشیاء آلوده تشکیل شده است.

محققان امنیتی شرکت Imperva در گفتگویی عنوان کردند: «به دلیل جعل آدرس IP، شناسایی دستگاه‌های استفاده شده در این حمله بسیار سخت است. با این حال ما سرنخ‌های قابل توجهی را در بار داده‌‌ی بسته‌ها کشف کردیم. بررسی‌های انجام شده بر روی بار داده نشان داد که این حمله توسط دستگاه‌های لینوکس انجام شده است. به عنوان مثال در برخی از این دستگاه‌ها پوشه‌ی proc/ مشاهده شده که مربوط به سامانه‌های یونیکس است.»

در تحلیل و بررسی‌های انجام شده، این شرکت گفت که مهاجمان نمی‌توانستند اهدافی که پشت پروکسی این شرکت قرار داشت را مکان‌یابی کنند و به همین دلیل سرویس‌های مبتنی بر ابر این شرکت را هدف قرار دادند.
این حمله در دو موج مشاهده شد. در دور اول حمله که ۲۰ دقیقه طول کشید، شدت حمله به ۴۰۰ گیگابیت بر ثانیه می‌رسید. این حمله در رسیدن به اهداف خود شکست خورد. در دور دوم حملات، بات‌نت قوی‌تر شده و شدت حمله به ۶۵۰ گیگابیت بر ثانیه رسید و در هر ثانیه نزدیک به ۱۵۰ میلیون بسته به سمت شبکه‌ی این شرکت گسیل می‌شد. دور دوم حمله ۱۷ دقیقه به طول انجامید و این حمله نیز با شکست مواجه شد.

بدلیل جعل آدرس IP شناسایی منطقه‌ی جغرافیایی دستگاه‌های مهاجم غیرممکن است ولی محققان این شرکت بار داده‌ی بسته‌های دریافتی را مورد تحلیل و بررسی قرار دادند. اگرچه این حمله از نظر اندازه مشابه حمله‌ی Mirai است ولی کاملاً مشخص است که بات‌نت دیگری عامل این حمله بوده است.

نام بات‌نت Leet نیز از یک امضا در داخل بسته‌های دریافتی گرفته شده است. در این حمله از دو نوع متفاوت بار داده در بسته‌ها استفاده شده است. در نوع اول بسته‌های SYN با اندازه‌ی معمولی ۴۴ تا ۶۰ بایت ارسال شده است. در نوع دوم بسته‌های SYN با اندازه‌ی غیرعادی ۷۹۹ تا ۹۳۶ بایت مشاهده شده است. محتوای بسته‌های بزرگ از دستگاه آلوده برداشته شده و درهم شده است. در نتیجه حجم انبوهی از بار داده‌ی مبهم و تصادفی به سمت شبکه ارسال شده که می‌تواند هرگونه تشخیص مبتنی بر امضاء را دور بزند.

این شرکت اشاره کرده که بات‌نت Leet در حال رقابت با Mirai بر سر اندازه‌ی بات‌نت است و در آینده شاید شاهد رخدادهای بدتری باشیم. باتوجه به تعداد زیاد دستگاه‌های ناامن اینترنت اشیاء به احتمال زیاد حملات شدیدتری رخ خواهد داد.
محقق امنیتی از شرکت F-Secure گفت: «سازمان‌ها باید آمادگی مقابله و کاهش اثرات حمله‌ی منع سرویس توزیع‌شده را داشته باشند و با یک سامانه‌ی پشتیبان بتوانند سرویس‌دهی خود را از سر بگیرند. به‌طور کلی نمی‌توان از حملات منع سرویس توزیع‌شده جلوگیری کرد ولی باید آماده بود و مدت زمان قطعی ناشی از این حمله را کاهش داد. مهاجمان همواره اهداف ضعیف را که آمادگی مقابله با این نوع از حملات را ندارند، انتخاب می‌کنند.»

در طولانی مدت باید راه‌حلی برای بات‌نت‌های اینترنت اشیاء تنظیم شود. دولت‌ها به دلیل محدود شدن نوآوری‌ها از تنظیم چنین مقرراتی می‌ترسند ولی این تنها راه‌حل ممکن است. چندین سال است که محققان امنیتی در خصوص امنیت دستگاه‌های اینترنت اشیاء هشدار می‌دهند ولی سازندگان این تجهیزات به آن توجهی نکرده و برای بدست آوردن سهم بازار، همچنان محصولات ناامن را روانه‌ی بازار می‌کنند.

این مقررات و تنظیمات در حوزه‌های دیگر مانند سلامت و مهندسی وجود دارد. اینکه شرکت‌های سازنده‌ی تجهیزات اینترنت اشیاء را مسئول ناامنی تجهیزات بدانیم گامی بسیار سخت است. استفاده از گواهی‌نامه‌های امنیتی نیز ممکن است کمک‌کننده باشد ولی به‌ هر حال کافی نیست. اما ممکن است چند جریمه‌ی سنگین برای سازندگان ناامن باعث شود سایر تولیدکنندگان به امنیت تجهیزات خود بیشتر توجه کنند.
در کوتاه‌ مدت خیلی نمی‌توان امیدوار بود که امنیت دستگاه‌های اینترنت اشیاء و تجهیزات شبکه بهبود یابد ولی ارائه‌دهندگان سرویس اینترنت می‌توانند گروه‌های امنیتی خود را برای داشتن شبکه‌ای امن، تقویت کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap