راهکارهایی برای مقابله با سیلابی از داده‌ها

چگونه می‌توانیم چنین حملاتی را شناسایی و مکانیسم‌های دفاعی را مستقر کنیم؟          
تیم‌های امنیتی برای آنکه فعالیت‌های درون‌شبکه‌ای را به‌شکل دقیقی مورد نظارت قرار دهند، از راهکارهای متنوعی می‌توانند استفاده کنند. یکی از بهترین و شناخته شده‌ترین این راهکارها نمونه‌گیری جریان (Flow Sampling) ترافیک شبکه است. همه مسیریاب‌ها از فناوری فوق تحت نام‌هایی همچون NetFlow، IPFIX یا sFlow پشتیبانی می‌کنند. در روش فوق، مسیریاب از بسته‌های ترافیک شبکه نمونه‌گیری و در ادامه دیتاگرامی را آماده می‌کند. این دیتاگرام مشتمل بر اطلاعاتی درباره بسته‌ها است. از مزایای فناوری فوق می‌توان به در دسترس بودن، سادگی، گسترش‌پذیری بالا و همچنین مشاهده روند ترافیک شبکه اشاره کرد. اما به این نکته توجه داشته باشید که برای بررسی عمیق امنیت یک شبکه نمی‌توانید تنها به نمونه‌های ارائه شده از سوی این فناوری بسنده کنید. به‌دلیل اینکه ممکن است حجم بالایی از اطلاعات را از دست بدهید. در این روش تنها یک بسته از هزاران بسته را ممکن است دریافت کنید و در نتیجه کل ترافیک شبکه از دید شما پنهان خواهد ماند.

راهکار دیگری که در اختیار شما قرار دارد، یک ابزار تحلیل جریان داده‌ها است. یک ابزار تحلیل جریان داده‌ها باید این توانایی را داشته باشد تا الگوی رفتاری داده‌ها را در یک بازه زمانی بلندمدت مورد بررسی قرار داده تا به‌درستی موارد مشکوک و غیرعادی را شناسایی کرده و هشدارهای مثبت کاذب را تولید نکند. بسیاری از سازمان‌ها برای ممانعت از بروز حملات DDoS از ابزارها یا دستگاه‌های تحلیل‌گر جریان داده‌ها استفاده می‌کنند. زمانی که این دستگاه‌ها موفق شدند رفتارهای مشکوک یک هکر را شناسایی کنند، ترافیک سامانه قربانی را به‌سمت دستگاهی موسوم به دستگاه خنثی‌‌ساز هدایت کرده و در ادامه فرمان‌های بعدی برای رویارویی با حمله را به مرحله اجرا درمی‌آورند. این تکنیک به‌منظور جمع‌آوری ترافیک شبکه، تحلیل و ارائه یک مدل واکنشی در زمان رویارویی با هرگونه ترافیک مشکوک و غیرمتعارفی و هدایت ترافیک به مسیر از پیش تعیین شده مناسب خواهد بود. در نتیجه امکان بهره‌مندی از حداکثر پهنای باند امکان‌پذیر خواهد بود. اما به‌کارگیری این تکنیک برای کسب و کارها با یک ریسک بزرگ همراه است، زیرا ممکن است زمان متوسط برای خنثی‌سازی یک حمله را به چند دقیقه افزایش دهند.

اما برای شناسایی دقیق و خنثی‌سازی این گونه تهدیدات در کمترین زمان ممکن راهکار قدرتمند دیگری نیز در اختیار سازمان‌ها قرار دارد. سازمان‌ها می‌توانند از دستگاه‌های خنثی‌ساز حمله منع سرویس انکار شده که عملکرد بالایی دارند داخل مسیرهای ترافیک داده شبکه استفاده کنند. این دستگاه‌ها قادر هستند به‌صورت بی‌درنگ یک حمله منع سرویس را شناسایی و آن را خنثی کنند. استقرار درون‌شبکه‌ای این قابلیت را در اختیار یک سازمان قرار می‌دهد تا تمام ترافیک واردشونده (نامتقارن) و همچنین ترافیک خروجی (متقارن) را به‌طور مستمر و دائم مورد پردازش قرار دهد. این حرف به‌معنای آن است که دستگاه‌های فوق در زمان رویارویی با هرگونه فعالیت مشکوکی قادرند یک واکنش بی‌درنگ را در کمتر از یک ثانیه از خود نشان دهند. همچنین، به این نکته توجه داشته باشید که راهکار فوق گسترش‌پذیر بوده و قادر است در حمله چندبرداری نیز با عملکرد بالایی از یک شبکه دفاع کند. سازمان‌ها همچنین می‌توانند از تکنیک آینه بسته‌های داده‌ای (Mirrored Data Packets) که جزئیات کاملی را به‌منظور تحلیل ترافیک در اختیار کارشناسان قرار می‌دهد استفاده کنند. این تکنیک نیز به‌خوبی قادر است هرگونه ناهنجاری در ترافیک شبکه را که ممکن است از نقاط ورودی شبکه شکل گرفته باشند، تشخیص دهد. البته به این نکته دقت کنید که به‌کارگیری راه حل آینه‌ای گستر‌ش‌پذیر در یک شبکه ممکن است با چالش‌هایی همراه باشد. اما از این تکنیک در ارتباط با مرکز خنثی‌سازی حملات و تحلیل‌های کارآمد می‌توان استفاده کرد.

معیارهای عملکردی را به‌دقت مورد توجه قرار دهید                                                              
پهنای باند برای اکثر مردم معیار بسیار مهمی به شمار می‌رود. کاربران زمانی که تصمیم می‌گیرند برای خانه خود یک ارتباط اینترنتی را خریداری کنند، در ابتدای کار به پهنای باند توجه می‌کنند. در شرایطی که پهنای باند عامل مهمی به شمار می‌رود، اما این جزئیات هستند که همواره از اهمیت بالایی برخوردار هستند. اکثر قریب به اتفاق تجهیزات شبکه درنهایت بسته‌های داده‌ای غیرهم‌اندازه را مورد پردازش قرار می‌دهند. بسته‌های کوچک پهنای باند کمتری مصرف می‌کنند، اما در مقابل بسته‌های بزرگ‌تر به پهنای باند بیشتری نیاز دارند. هکرها این توانایی را دارند از طریق ارسال بسته‌های کوچک و با نرخ سرعت بالا کل زیرساخت یک شبکه و به‌ویژه ساز و کارهای امنیتی سنتی همچون دیوارهای آتش یا سامانه‌های تشخیص نفوذ را تحت تأثیر قرار دهند. سامانه‌های امنیتی سنتی به‌واسطه ساز و کار خاص خود در برابر حملاتی همچون حملات سیلابی که حالت مشخصی ندارند و از سرعت بالایی برخوردارند آسیب‌پذیر هستند. گزارشی که در سال 2014 میلادی از سوی شرکت ورایزن منتشر شد نشان داد نرخ حملات بسته در ثانیه (Packet-Per-Second) نسبت به نمونه مشابه سال قبل 4.5 برابر افزایش رشد داشته است. سال گذشته میلادی نیز سایت کارشناسان امنیتی کربس با یک حمله منع سرویس انکار شده به بزرگی 660 گیگابیت بر ثانیه درنوردیده شد.

اطمینان حاصل کنید از گسترش‌پذیری خوبی بهره می‌برید                                                          
درست به همان شکل که حملات منع سرویس انکار شده و به‌ویژه حملات حجمی با نرخ‌های بالایی از PPS (بسته در ثانیه) به درون شبکه‌ها وارد می‌شوند، شما نیز باید از راه حل‌های خنثی‌سازی با توان پردازشی بالا استفاده کنید. یکی از اقدامات راهگشا در این زمینه متعادل کردن قدرت تحلیل داده‌های عبوری در شبکه است. فناوری‌های نظارتی امروزی در زمان نظارت بر جریان داده‌ها از گسترش‌پذیری خوبی برخوردار هستند. رویکردی که امروزه هکرها به‌وفور از آن استفاده می‌کنند، حملات چندبرداری است. یک حمله چندبرداری به‌معنای آن است که یک هکر به‌طور هم‌زمان از تکنیک‌های متعددی برای حمله به یک زیرساخت استفاده می‌کند.
بر همین اساس ضروری است مدیران بخش امنیت به فرآیند اعتبارسنجی عملکرد راهکارهای امنیت شبکه بیش از پیش توجه کنند. پیاده‌سازی یک حمله ابتدایی و ساده همچون سیلاب SYN در صورتی که از راهکار خنثی‌ساز حمله در سطح سخت‌افزار استفاده نشده باشد، این پتانسیل را دارد تا به پردازنده‌های مرکزی فشار زیادی وارد کند. در صورتی که یک حمله لایه کاربردی همچون سیلاب HTTP GET به‌سمت سامانه‌ای گسیل شود، این توانایی را دارد تا همه منابع پردازشی را مورد استفاده قرار دهد و باعث شود عملکرد سامانه کاملاً محدود شده یا به‌طور کامل قفل شود. این جمله را به‌خاطر بسپارید که سیلاب داده‌ای درست همانند سیلی است که به‌سمت خانه‌ها روانه می‌شود. هرچه زودتر از وقوع آن اطلاع پیدا کنید، در سریع‌ترین زمان ممکن قادر خواهید بود تمهیدات لازم را به مرحله اجرا درآورید.