كشفت شركة آربور نتوركس، وهي ذراع أمن المعلومات لشركة نتسكوت NETSCOUT (NASDAQ: NTCT) اليوم، عن البيانات التي جمعتها عن هجمات حجب الخدمة (DDoS) على المستوى العالمي خلال الأشهر الستة الأولى من العام 2016، وأظهرت تلك البيانات تصاعدًا مستمرًا في حجم وتواتر تلك الهجمات.
وتعتمد شركة آربور في جمع البيانات على نظام «أطلس» (ATLAS ™)، وهو محصلة شراكة تعاونية مع أكثر من 330 عميل لمزودي خدمة الإنترنت على مستوى العالم، وتستمح تلك الشراكة لآربور بالحصول على معلومات حركة مرور البيانات في شبكاتهم بدون الإفصاح عن هوياتهم، بهدف رسم صورة شاملة لحركة مرور البيانات والتهديدات على المستوى العالمي. وبهذا يتمكن نظام أطلس من تقديم بيانات عن خريطة الهجمات الرقمية، وهي تمثيل مرئي لحركة مرور الهجمات العالمية ترسمها آربور بالتعاون مع «أفكار جوجل» (Google Ideas). وتعتمد العديد من التقارير الأخرى التي تصدرها شركات عالمية مرموقة على بيانات نظام أطلس، ومن أحدثها «تقرير مؤشر فيجوال نتوركنج» من شركة سيسكو، وتقرير حوادث اختراق البيانات من شركة فيرزون.
نشاط هجمات حجب الخدمة على الصعيد العالمي
ما زالت هجمات حجب الخدمة النوع الأكثر استخدامًا من الهجمات في أوساط قراصنة الحواسيب، ويرجع ذلك إلى سهولة الحصول على الأدوات المجانية والخدمات الزهيدة عبر الإنترنت والتي تسمح لأي شخص أن يشن الهجوم إذا كانت لديه الدوافع والاتصال بشبكة الإنترنت، وأدى ذلك إلى ارتفاع في وتيرة الهجمات وحجمها وتعقيدها خلال الأعوام الأخيرة.
وسجل نظام أطلس 124000 حادثة هجوم أسبوعياً في المتوسط على مدى 18 شهرًا الماضية، كما ارتفعت قيمة ذروة حجم الهجوم 73% بالمقارنة مع عام 2015، لتصل إلى 579 جيجابت في الثانية، كما تم رصد 274 هجمة في النصف الأول من عام 2016 بحجم يزيد عن 100 جيجابت في الثانية مقارنة مع 223 هجمة مماثلة في العام 2015، و 46 هجمة في النصف الأول من عام 2016 بحجم يزيد عن 200 جيجابت في الثانية، مقارنة مع 16 هجمة مماثلة في عام 2015، وقد جاءت الولايات المتحدة الأمريكية وفرنسا وبريطانيا البلدان التي تعرضت لأكبر عدد من الهجمات التي يزيد حجم كل منها عن 10 جيجابت في الثانية.
ومثلما أوضح فريق البحث والهندسة الأمنية في آربور(ASERT) في الآونة الأخيرة، أن هجمات حجب الخدمة الكبيرة لا تتطلب استخدام تقنيات تضخيم الإنعكاس، فمثلًا، استخدم القراصنة روبوت تقنية الأشياء «ليزاردستريسر» (LizardStresser)، لشن هجمات بأحجام كبيرة تصل إلى 400 جيجابت في الثانية مستهدفين مواقع الألعاب في جميع أنحاء العالم، والمؤسسات المالية البرازيلية، ومزودي خدمات الإنترنت، والمؤسسات الحكومية. ووفقًا لفريق البحث والهندسة الأمنية في آربور، فإن حزم بيانات تلك الهجمات لا تظهر وكأنها تأتي من عناوين زائفة، ولم يستخدم فيها أي من بروتوكولات التضخيم المستندة إلى بروتوكول UDP، مثل NTP أو SNMP.
مشكلة القيم المتوسطة
يمثل هجوم حجب خدمة بحجم جيجابت واحد في الثانية هجومًا كافياً لإخراج معظم الشركات تماماً عن الشبكة العالمية، فقد بلغ متوسط حجم الهجمات في النصف الأول من عام 2016 قيمة 986 ميجابت في الثانية، أي بزيادة قدرها 30% عن عام 2015، ومن المتوقع أن يصل متوسط حجم الهجمات إلى 1.15 جيجابت في الثانية بحلول نهاية عام 2016.
وقال دارين آنستي، رئيس تقنيات الأمن في آربور نتوركس: "تظهر البيانات التي كشفنا عنها اليوم الحاجة إلى استخدام حلول هجينة، أو متعددة الطبقات للدفاع عن شركتك أمام هجمات حجب الخدمة، فالهجمات ذات السعة العالية لا يمكن صدها إلا بالإعتماد على السحابة، بعيدًا عن الهدف المقصود. لكن على الرغم من النمو الهائل في حجم ذروة الهجمات فإن 80% من جميع الهجمات ما زالت بحجم يقل عن جيجابت واحد في الثانية، و90% منها لا يستمر أكثر من ساعة واحدة، فيما يقدم حلنا للحماية في موقع العميل الاستجابة السريعة المطلوبة لحدوث الهجمات، وهو الأساس لصد الهجمات «الصغيرة والبطيئة» على مستوى طبقة التطبيقات، فضلًا عن قدرته على صد الهجمات التي تحدث على مستوى الدولة وتستهدف البنية التحتية، مثل الجدران النارية، وشركات تزويد خدمة الإنترنت."
زمن الانعكاس
التضخيم المنعكس هو تقنية تسمح لأحد المهاجمين بتضخيم حجم حركة المرور التي يولدها، وفي الوقت ذاته إخفاء المصادر الأصلية لحركة مرور الهجوم. ونتيجة لذلك، فإن أغلب الهجمات الكبيرة التي حدثت في الفترة الأخيرة خلال النصف الأول من عام 2016، استفادت من هذه التقنية باستخدام خوادم أسماء النطاقات (DNS)، وبروتوكول زمن الشبكة(NTP)، وبروتوكول توليد الحروف (Chargen)، وبروتوكول اكتشاف الخدمة البسيط (SSDP).
