FortinetFortinet NSE 4

آموزش مقابله با حملات DoS بر روی فایروال FortiGate

What is a Denial of Service (DoS) Attack

آموزش مقابله با حملات DoS بر روی فایروال FortiGate | در این آموزش میخوایم به یکی از ویژگی های کاربردی فورتی گیت بپردازیم که مقابله با حملات DoS می باشد.

حمله ی DOS

DOS مخفف عبارت Denial of service به معنای منع سرویس توزیع شده است. این حمله به این صورت است که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر،باعث استفاده بیش از حد از منابع آن مثل پردازنده سرور،بانک اطلاعاتی،پهنای باند و … می شود به صورتی که سرورمجازی یا اختصاصی میزبان سایت کند و کم‌سرعت شده و به دلیل حجم بالای پردازش سیستم دچار وقفه و اختلال و یا حتی قطعی کامل شده و از دسترس خارج می شود.هدف از این حمله سرقت اطلاعات و به دست آوردن پسورد و تخریب سیستم ها نیست بلکه در این نوع حمله مهاجم قصد دارد یک سرور یا سیستمی را برای مدتی خارج از دسترسی کاربران معتبر به سرویس های وب‌ درآورد.

آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate

به بیان ساده تر می توان گفت DOS یعنی سرازیر کردن تقاضا های زیاد به یک سرور و استفاده‌ی بیش از حد از منابع (پردازنده،پایگاه داده،پهنای باند،حافظه و …) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده و یا از دسترس خارج شود.

تفاوت بین حمله‌ی DOS و DDOS

Diagram of a DDoS attack. Note how multiple computers are attacking a single computer
Diagram of a DDoS attack. Note how multiple computers are attacking a single computer

DOS مخفف “Denial Of Service” و DDOS مخفف “Distributed Denial Of Service” می باشد. در این حملات مهاجم مانع از دسترسی کاربران معتبر به سرویس های وب می شود.در هر دو این حملات سرور هدف از ادامه ی فعالیت باز می‌ماند اما تفاوتی که وجود دارد این است که در حمله‌ی DOS مهاجم برنامه را از یک کامپیوتر اجرا نموده ،درحالی که در حمله DDOS برنامه مهاجم از چندین سیستم یا سیستم هایی که در حیطه‌ی یک شبکه گسترش یافته اند اجرا می‌شود.در DDOS مهاجم از کامپیوتر های دیگر نیز جهت حمله استفاده می‌کند.

در حمله ی DDOS به سرورمجازی و یا سروراختصاصی سه نفر درگیر اند:

  • اتکر :حمله کننده فردی است که حمله را انجام می‌دهد
  • قربانی : قربانی سیستم مورد حمله واقع شده است
  • کمک کننده: شخص یا کامپیوتر یا سرور مجازی است که حمله کننده از آن برای حمله استفاده می‌کند

حملات DOS و DDOS چگونه عمل می‌کنند؟

در DOS مهاجم توسط یک برنامه درخواست‌های متعددی به سرور هدف می‌فرستد تا بوسیله ی آن دسترسی وب سرور به شبکه را مختل کند.این کار باعث می شود سایر کاربران معتبر نتوانند به وب سایت دسترسی پیدا کنند.در این زمان درصورتی که شما سعی در بارگزاری وب سایت داشته باشید با پیغام خطای Network Timeout مواجه خواهید شد.

انواع مختلف حملات DDOS

  • حملات ترافیکی : در این نوع حمله DDOS حجم عظیمی از درخواست های UDP  ،TCP و ICPM به سمت سیستم هدف ارسال می‌شود.در این میان برخی درخواست ها گم می‌شوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته می‌شوند.
  • حملات پهنای باند : در این نوع حمله DDOS سیستم های زامبی حجم زیادی از اطلاعات بدون استفاده را به منظور اشغال پهنای باند سیستم قربانی به آن ارسال می‌کند.درنتیجه هدف کاملا از کار می‌افتد و دسترسی آن به تمامی منابع قطع می‌شود.

آموزش مقابله با حملات DoS بر روی فایروال فورتی گیت

قبل از هر چیزی برای این که ویژگی DOS را در فورتی گیت فعال کنید باید وارد System > Feature Visibility شوید و سپس DoS Policy را فعال کنید.

آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate

حالا از قسمت Policy & Objects وارد IPv4 DoS Policy شده و یک پالیسی جدید ایجاد می کنیم، در این قسمت شما باید در قسمت

فورتی هم لایه سه L3 Anomalies و هم لایه چهار L4 Anomalies از حملات جلوگیری می کند.

حملاتی که در لایه سه L3 Anomalies پشتیبانی می کند موارد زیر است:

  1. ip_src_session
  2. ip_dst_session

حملاتی که در لایه چهار L4 Anomalies پشتیبانی می کند موارد زیر است:

  1. tcp_syn_flood
  2. tcp_port_scan
  3. tcp_src_session
  4. tcp_dst_session
  5. udp_flood
  6. udp_scan
  7. udp_src_session
  8. udp_dst_session
  9. icmp_flood
  10. icmp_sweep
  11. icmp_src_session
  12. icmp_dst_session
  13. sctp_flood
  14. sctp_scan
  15. sctp_src_session
  16. sctp_dst_session

شما می توانید اکشن های خاصی را بر روی آنها انجام دهید ولی پیشنهاد می شود برای این که در محیط های واقعی به بهترین Threshold برسید برای چند روز شبکه خود را به صورت دقیق Monitor کنید.

آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate

در صورتی که مورد اتک قرار بگیرید می توانید از بخش Anomaly  و Quarantine شبکه را مانیتور کنید، در صورتی که Quarantine برای شما غیرفعال بود می توانید از قسمت add Monitor  آن را فعال کنید و به داشبورد خود اضافه کنید.

آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate
آموزش مقابله با حملات DoS بر روی فایروال FortiGate
Shares:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *