آموزش مقابله با حملات DoS بر روی فایروال FortiGate
What is a Denial of Service (DoS) Attack
آموزش مقابله با حملات DoS بر روی فایروال FortiGate | در این آموزش میخوایم به یکی از ویژگی های کاربردی فورتی گیت بپردازیم که مقابله با حملات DoS می باشد.
حمله ی DOS
DOS مخفف عبارت Denial of service به معنای منع سرویس توزیع شده است. این حمله به این صورت است که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر،باعث استفاده بیش از حد از منابع آن مثل پردازنده سرور،بانک اطلاعاتی،پهنای باند و … می شود به صورتی که سرورمجازی یا اختصاصی میزبان سایت کند و کمسرعت شده و به دلیل حجم بالای پردازش سیستم دچار وقفه و اختلال و یا حتی قطعی کامل شده و از دسترس خارج می شود.هدف از این حمله سرقت اطلاعات و به دست آوردن پسورد و تخریب سیستم ها نیست بلکه در این نوع حمله مهاجم قصد دارد یک سرور یا سیستمی را برای مدتی خارج از دسترسی کاربران معتبر به سرویس های وب درآورد.
به بیان ساده تر می توان گفت DOS یعنی سرازیر کردن تقاضا های زیاد به یک سرور و استفادهی بیش از حد از منابع (پردازنده،پایگاه داده،پهنای باند،حافظه و …) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده و یا از دسترس خارج شود.
تفاوت بین حملهی DOS و DDOS
DOS مخفف “Denial Of Service” و DDOS مخفف “Distributed Denial Of Service” می باشد. در این حملات مهاجم مانع از دسترسی کاربران معتبر به سرویس های وب می شود.در هر دو این حملات سرور هدف از ادامه ی فعالیت باز میماند اما تفاوتی که وجود دارد این است که در حملهی DOS مهاجم برنامه را از یک کامپیوتر اجرا نموده ،درحالی که در حمله DDOS برنامه مهاجم از چندین سیستم یا سیستم هایی که در حیطهی یک شبکه گسترش یافته اند اجرا میشود.در DDOS مهاجم از کامپیوتر های دیگر نیز جهت حمله استفاده میکند.
در حمله ی DDOS به سرورمجازی و یا سروراختصاصی سه نفر درگیر اند:
- اتکر :حمله کننده فردی است که حمله را انجام میدهد
- قربانی : قربانی سیستم مورد حمله واقع شده است
- کمک کننده: شخص یا کامپیوتر یا سرور مجازی است که حمله کننده از آن برای حمله استفاده میکند
حملات DOS و DDOS چگونه عمل میکنند؟
در DOS مهاجم توسط یک برنامه درخواستهای متعددی به سرور هدف میفرستد تا بوسیله ی آن دسترسی وب سرور به شبکه را مختل کند.این کار باعث می شود سایر کاربران معتبر نتوانند به وب سایت دسترسی پیدا کنند.در این زمان درصورتی که شما سعی در بارگزاری وب سایت داشته باشید با پیغام خطای Network Timeout مواجه خواهید شد.
انواع مختلف حملات DDOS
- حملات ترافیکی : در این نوع حمله DDOS حجم عظیمی از درخواست های UDP ،TCP و ICPM به سمت سیستم هدف ارسال میشود.در این میان برخی درخواست ها گم میشوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته میشوند.
- حملات پهنای باند : در این نوع حمله DDOS سیستم های زامبی حجم زیادی از اطلاعات بدون استفاده را به منظور اشغال پهنای باند سیستم قربانی به آن ارسال میکند.درنتیجه هدف کاملا از کار میافتد و دسترسی آن به تمامی منابع قطع میشود.
آموزش مقابله با حملات DoS بر روی فایروال فورتی گیت
قبل از هر چیزی برای این که ویژگی DOS را در فورتی گیت فعال کنید باید وارد System > Feature Visibility شوید و سپس DoS Policy را فعال کنید.
حالا از قسمت Policy & Objects وارد IPv4 DoS Policy شده و یک پالیسی جدید ایجاد می کنیم، در این قسمت شما باید در قسمت
فورتی هم لایه سه L3 Anomalies و هم لایه چهار L4 Anomalies از حملات جلوگیری می کند.
حملاتی که در لایه سه L3 Anomalies پشتیبانی می کند موارد زیر است:
- ip_src_session
- ip_dst_session
حملاتی که در لایه چهار L4 Anomalies پشتیبانی می کند موارد زیر است:
- tcp_syn_flood
- tcp_port_scan
- tcp_src_session
- tcp_dst_session
- udp_flood
- udp_scan
- udp_src_session
- udp_dst_session
- icmp_flood
- icmp_sweep
- icmp_src_session
- icmp_dst_session
- sctp_flood
- sctp_scan
- sctp_src_session
- sctp_dst_session
شما می توانید اکشن های خاصی را بر روی آنها انجام دهید ولی پیشنهاد می شود برای این که در محیط های واقعی به بهترین Threshold برسید برای چند روز شبکه خود را به صورت دقیق Monitor کنید.
در صورتی که مورد اتک قرار بگیرید می توانید از بخش Anomaly و Quarantine شبکه را مانیتور کنید، در صورتی که Quarantine برای شما غیرفعال بود می توانید از قسمت add Monitor آن را فعال کنید و به داشبورد خود اضافه کنید.