ديف بيسيتيلو، بالنيابة عن فريق أمان ICANN
تمثل هجمات DDoS مشكلات خطيرة. ففي حين أن دور ICANN في الحد من هذه التهديدات محدود، يعرض فريق الأمن وجهات النظر هذه لرفع مستوى الوعي كيفية الإبلاغ عن هجمات DDoS
تزايدت هجمات حجب الخدمة الموزعة من حيث الحجم، والشدة وعدد مرات حدوثها. والنطاق الواسع لمحفزات هذا النوع من الهجمات – سياسي (القرصنة الإلكترونية السياسية)، أو جنائي (الإكراه)، أو اجتماعي (الإضرار) – يجعل كل تاجر أو مؤسسة ذات تواجد على الإنترنت هدفًا محتملاً. الطبيعة المشتركة للبنية التحتية للإنترنت – سواء الاستضافة، أو DNS، أو عرض النطاق – تضع العديد من رجال الأعمال أو المؤسسات تحت خطر الأضرار العرضية أيضًا. فإذا ما وجدت أن موقعك أو مؤسستك تتعرض لهجوم، فمن المهم الإبلاغ عن هذه الهجمات بسرعة إلى الجهات المنوط بها مساعدتك في الحد من، وإنقاذ واستعادة الخدمة العادية.
أنا أتعرض لهجوم. ماذا عساي أفعل؟ بمن عساي أتصل؟
يمكن لأي خدمة إنترنت، سواء ويب، أو DNS، أو صون إنترنت، أو بريد – أن يصبح هدفًا لهجمات DDoS . إذا كانت مؤسستك تستخدم موفر استضافة لخدمة تعرضت لهجوم، يجب الاتصال أولا بموفر خدمة الاستضافة. وإذا كانت مؤسستك تستضيف الشبكة أو خدمة الإنترنت المعرضة للهجوم، يرجى أولاً اتخاذ تدابير لاحتواء أو الحد من الهجوم. بعد ذلك، اتصل بموفر الخدمة الذي يوفر وصول الإنترنت لشبكتك. حيث يقوم موفرو خدمة الاستضافة وموفري خدمة الإنترنت بنشر جهات اتصال الطوارئ على مواقع الويب الخاصة بهم والعديد منهم يحتوي على أرقام اتصال عامة على الأقل على الفاتورة. فإذا كان لديك رقم اتصال عام فقط، فأوضح أنك تعرضت لهجوم واطلب من وكيل العناية بالعملاء تصعيد (إرسال) اتصالك إلى فريق العمليات الذي يتمتع بالقدرة والصلاحية للتحري.
أيدي المساعدة
قد ينشأ مرور البيانات المرتبط بهجمات DDoS أحادية بسبب مئات أو آلاف مصادر الهجمات (كمبيوتر أو خوادم مشبوهة في الغالب). وفي العديد من الحالات، يتوجب على موفر خدمة الاستضافة أو موفر الوصول للإنترنت التصرف بالنيابة عنك (وللمصلحة الشخصية). وسوف يقوم بالاتصال بموفري “التدفق الأعلى” وموفري خدمة الإنترنت الذين يوجهون مرور البيانات من مصادر هجوم DDoS لإشعار هؤلاء المشغلين بطبيعة الهجوم ومصادره المرجحة. وسوف يقوم هؤلاء المشغلون بالتحري وفي الغالب برفض المسارات أو اتخذا تدابير أخرى لإخماد أو رفض مرور البيانات بالقرب من المصدر.
وإذا تعذر عليك العثور على جهات اتصال، أو إذا لم تستجب جهات الاتصال التي عثرت عليها، فجرب الاتصال بقسم حوادث الكمبيوتر، أو فريق الرد على حوادث الأمن (CERT/CIRT/CSIRT)، أو فريق المقدم المعتمد (TI). وسوف تقوم مؤسسات CERT/CIRT (يمكنك العثور على قائمة وطنية هنا) أو فريق TI بالتحري عن الهجوم، والإخطار بالمعلومات ومشاركتها مع موفري خدمات الاستضافة وموفري خدمة الإنترنت التي يجري استخدام مواردها في إجراء الهجوم، والعمل مع سائر الأطراف المتضررة لتنسيق جهود التخفيف الفعالة من الهجوم.
هل يتوجب علي الاتصال بهيئة إنفاذ القانون؟
اتصل بهيئة إنفاذ القانون الوطنية التابعة لك إذا رأيت بأن هناك جريمة ترتكب، على سبيل المثال، يتوجب عليك الاتصال بهيئة إنفاذ القانون إذا تلقت مؤسستك تهديدًا قبل الهجوم، أو تلقت طلبًا للحصول على المال في مقابل عدم التعرض للهجوم، أو إذا رأيت أن البنية التحتية الأساسية أو تنفيذ خدمة أساسية (مثل طوارئ 911) تحت التهديد.
اتصل بهيئة إنفاذ القانون للإبلاغ عن جريمة، وليس للحد من هجوم.. وتعد هجمات DDoS تصرفات إجرامية في العديد من الدول والمناطق. فمن خلال تقديم تقرير، فإنك توفر أنت وضحايا آخرون معلومات قيمة قد تكون وثيقة الصلة بأي عمليات تحري تالية أو مقاضاة للمهاجمين.
توفير استخبارات جيدة
في أحد المستويات التشغيلية، يتوجب عليك أنت أو موفر خدمة الاستضافة أو موفر خدمة الإنترنت جمع قدر كبير من المعلومات ذات الصلة بالهجوم قدر الإمكان. يوصي منتدى أمانة سلامة العمليات بجمع معلومات من النوع التالي:
- توفير أكبر قدر من المعلومات، وتحديد بداية الهجوم، ونهاية الهجوم، وما إذا كانت الهجمات مكررة أم لا، وما إذا كانت هناك أنماط قابلة للملاحظة أو دوائر للهجمات.
- مشاركة أية وجهات نظر أو شكوك قد تكون لديك فيما يتعلق بطبيعة الهجوم. هل يبدو أن له صلة بأي حدث سياسي جغرافي؟ هل تلقيت مراسلات تهديد قبل أو أثناء الهجوم، وإذا كان الأمر كذلك، ماذا كانت طبيعة الهجوم؟
- توفير معلومات تفصيلية عن مرور البيانات بما في ذلك: نوع مرور البيانات (ICMP، DNS، TCP، UDP، تطبيق)، عناوين IP المصدر والهدف وأرقام المنافذ، ومعدل الحزم، وحجم الحزم، وعرض النطاق المستهلك من مرور الهجمات.
- وصف أي سمات لمرور بيانات أو حزمة فريدة تلاحظها. هل يستهدف الهجوم مضيف ظاهري أو مجال محدد؟ ما الذي لاحظته من عناوين بروتوكول التطبيق؟ هل لاحظت أية أنماط غير عادية لإعدادات الإشارات في البروتوكولات الأساسية (TCP، UDP، ICMP، IP)؟
- حدد أي التغييرات التي تلاحظها في الهجوم على مدار الوقت (أي على أحجام الحزم، عناوين IP الفريد لكل فترة، البروتوكولات، إلخ). فقد تكون هذه بمثابة إشارات بأن المهاجم يرد على جهود الحد من الهجمات التي قمت أنت أو غيرك بتنفيذها.
- قم بتوفير تقييم للتأثير، على سبيل المثال، اشرح ما إذا كنت تدير الهجوم باستخدام الحد من الهجوم والمساعدة، أو أن الخدمات أو الأداء الذي تقوم به متأثر {باعتدال، بشدة}، أو أن الخدمات الخاصة بك قد قطعت بالكامل.
هل انتظرت حتى أصبحت ضحية
إذا لم تكن قد قمت بالفعل بإعداد خطة للرد على هجوم DDoS، فيرجى التفكير في القيام بذلك. يعرض المقال الاستعداد لهجمات DDoS (الحتمية) قائمة فحص بجهات الاتصال، والمعلومات وإستراتيجيات الحد من الهجمات. وفيما يلي بعض الموارد المفيدة للحصول على فهم أفضل لأنواع هجمات DDoS المختلفة، وآليات الحد من المخاطر وكيف يمكن لمؤسستك المساعدة في تقليل المخاطر الإجمالية لهذه الهجمات:
- SAC004، تأمين الحافة
- SAC008، هجمات رفض DNS الموزعة (DDoS) [PDF، 963 كيلوبايت]
- BCP 38، فلترة الدخول إلى الشبكة
- BCP 140، منع استخدم خوادم الأسماء المتكررة في الهجمات المعاكسة
- حماية العالم من شبكتك YOUR
- الحد من هجمات حجب الخدمة الموزعة
- التهديد المقلق لهجمات تكبير DNS DDoS
- القيام بمزيد من الإجراءات لمنع هجمات DDoS
- أفضل ممارسات جدار الحماية – فلترة مرور الخروج
- (هجمات/أدوات) حجب الخدمة الموزعة