الهجوم الموزَّع لحجب الخدمة: ماذا يعني؟ ما هي أنواعه؟ وما السّبل الكفيلة بالوقاية منه؟

الهجوم الموزّع لحجب الخدمة (DDoS) هو من الجرائم الإلكترونية التي يعمد القراصنة من خلالها إلى إغراق خادمٍ أو خدمةٍ أو شبكةٍ معلوماتية ما بطلباتٍ مزيّفة لمنع المستخدمين من الوصول إلى موقع الويب والحصول على خدماته. الأمر أشبه بخلق “زحمة مرورية خانقة”: حيث يزدحم الطريق الرئيسي بالسيارات التي يرسلها القراصنة لاعتراض المركبات العادية القادمة من الطريق الفرعي ومنعهم من ولوج الطريق الرئيسي.

يتسبّب الهجوم الموزّع لحجب الخدمة (DDoS) في تعطيل الأداء الطبيعي للخادم أو موقع الويب المستهدف. فهو يستنزف موارد الحوسبة التابعة للموقع المستهدف ويتسبّب في إبطائه أو عدم استجابته أو يجعله غير متاحٍ تمامًا أمام المستخدمين الطبيعيين. ولكن، كيف تعمل آلية هذا الهجوم بالضبط؟

تتميّز الهجمات الموزَّعة لحجب الخدمة بفاعليتها الكبيرة كونها تستخدم مجموعاتٍ متعدّدة من الحواسيب أو الأجهزة الأخرى. حيث يقوم المهاجم بتشكيل شبكةٍ عبر إصابة الأجهزة بالبرمجيات الخبيثة وتحويلها إلى بوتات (يُطلق عليها أيضًا مصطلح “زومبي”)، ثمّ يقوم بعدئذ بتوجيهها عن بعد دفعةً واحدة صوب عنوان بروتوكول إنترنت (IP) محدّد، وهو ما قد يتسبّب في تعطّل الخدمة.

الهجمات الموزَّعة لحجب الخدمة قد تستغرق أكثر من 24 ساعة، وتتميّز بصعوبة تعقّبها. كما قد يتمّ استخدام حاسوبك الخاصّ كحجر شطرنج وجعله جزءًا من جيش البوتات (الذي يُعرف أيضًا بـ “شبكات الزومبي”) التي تستجيب سرًّا لأوامر خبيثة، دون أن تنتبه أنت لذلك —تتلخّص العلامات الوحيدة التي تدلّ على إصابة جهازك خلال الهجوم في انخفاض أدائه بشكل طفيف أو ارتفاع حرارته. تنطلق حركة المرور التي تهاجم الهدف من أجهزة شرعية (ولكنّها مصابة في واقع الأمر)، ممّا يزيد من صعوبة التمييز بين حركة المرور الحقيقية ونظيرتها الخبيثة. وعلى سبيل المقارنة، يُسبّب هجوم الحجب الدائم للخدمة (PDoS) ضررًا مباشرًا على معدّات الأجهزة، وهو ما يضفي سهولةً أكبر على مهمّة رصده.

يمكن أن يستهدف الهجوم الموزّع لحجب الخدمة عنصرًا محددًا من عناصر الاتّصال بالشبكة أو مجموعةً مختلفة من العناصر الأخرى. فكلّ اتّصال يتمّ إجراؤه على شبكة الإنترنت يمرّ عبر طبقات نموذج الربط البيني للأنظمة المفتوحة (OSI). تُشَنّ معظم الهجمات الموزَّعة لحجب الخدمة على مستوى الطبقات الثلاث التالية:

• طبقة الشبكة (الطبقة 3). تشمل الهجمات على هذه الطبقة هجمات السنافر (Smurf Attacks)، وعمليات إغراق بينج/بروتوكول رسائل التحكم بالإنترنت (ICMP/Ping)، وعمليات تجزئة بروتوكول رسائل التحكم بالإنترنت/بروتوكول الإنترنت (IP/ICMP).
• طبقة النقل (الطبقة 4). تشمل هذه الهجمات إغراق عملية مزامنة رقم التسلسل (SYN)، وإغراق بروتوكول مخطّط المستخدم (UDP)، واستنزاف اتّصال بروتوكول التحكم بالإرسال (TCP).
• طبقة التطبيق (الطبقة 7). غالبًا ما تأخذ شكل هجماتٍ مشفّرة باستخدام بروتوكول نقل النصّ الفائق (HTTP).

يتسبّب هجوم حجب الخدمة (DoS) في إغراق الخادم بحركة المرور ويجعل موقع الويب غير متاح أمام مستخدمي الإنترنت. هجوم حجب الخدمة هو هجوم نظام واحد على نظام واحد يستخدم نظامًا واحدًا لاستهداف خدمة معيّنة؛ بينما تستخدم الهجمات الموزّعة لحجب الخدمة حواسيب وأنظمة متعدّدة لاختراق هدفها.

وفي حين أنّ الغرض من كِليْ الهجوميْن هو واحد، إلّا أنّ الهجمات الموزّعة لحجب الخدمة تكون أقوى وأخطر بكثير!

كلما تمكّنت من رصد الهجوم الموزّع لحجب الخدمة (DDoS) في وقت مبكّر، كلّما تعزّزت فرصك في تعطيله. إليك فيما يلي أهمّ الدلائل التي تشير إلى وقوع هجومٍ موزّع لحجب الخدمة:

• بطء الخدمة أو عدم توفّرها. عادةً ما تكون هذه أوّل علامة تدلّ على وقوع هجومٍ موزَّع لحجب الخدمة (DDoS). إذا استعرضت لك صفحة الموقع الذي تزوره هذه الرسالة: خطأ في بوابة 502 غير صالحة، فقد تدلّ على إصابة الموقع بهجوم موزّع لحجب الخدمة قيد التنفيذ. ومع ذلك، يمكن لعدّة مشكلات أخرى أن تتسبّب في بطء الأداء أيضًا، وبالتالي لا يمكننا الاعتماد فقط على هذا العامل لتحديد نوع الهجوم.
• كمّية كبيرة من حركة المرور قادمة من عنوان بروتوكول إنترنت (IP) واحد. يمكنك التحقّق من حركة المرور باستخدام أدوات التحليل الخاصّ بها.
• زياداتٌ غير طبيعية في حركة تدفّق البيانات في ساعات عشوائية من اليوم.
• زيادة مفاجئة وغير مبرَّرة في الطلبات على صفحة أو نقطة نهاية معيّنة.

هناك عدّة أنواع من الهجمات الموزَّعة لحجب الخدمة، والتي تتباين فيما بينها من حيث مستوى التعقيد والمدّة الزمنية التي تستغرقها وقدرتها على التطور.

يحدث هذا النوع من الهجمات، والذي يُعرَف أيضًا بهجمات إغراق مزامنة رقم التسلسل (SYN)، عندما لا يكتمل اتّصال بروتوكول التحكم بالإرسال ثلاثي الطرق بين المضيف والخادم بشكلٍ مطلق. في هذا الهجوم يتم ربط الاتّصال، لكنّ القراصنة يتركون الخادم معلقًا والمنافذ مفتوحة. ما يعني أن الخادم لا يمكنه تلقي أيّ طلبات أخرى. يستمر القراصنة في إغراق الخادم بمزيد من عمليات ربط الاتّصال، مما يؤدّي في النهاية إلى تعطّله.

الهجمات الحجمية هي النوع الأكثر شيوعًا بين أنواع الهجمات الموزّعة لحجب الخدمة. فهي ببساطة تستهلك كل النطاق الترددي المتاح بين الهدف وشبكة الإنترنت. وعادةً ما يتمّ ذلك باستخدام شبكة بوتات يتمّ توجيهها صوب هدف محدّد.

ومن الأمثلة الكثيرة حول الهجمات الحجمية قيام القراصنة بانتحال عنوان بروتوكول الإنترنت الخاصّ بالضحيّة وإرسال طلبات متعدّدة إلى دي إن إس مفتوح (خادم نظام أسماء النطاقات = DNS). ويجري تنظيم الهجوم حيث عندما يستجيب خادم الدي إن إس، يقوم بإرسال بياناتٍ أكثر إلى الضحيّة ممّا يمكنه تحمّله.

يتمّ تقسيم حركة المرور المرسَلة عبر الإنترنت إلى حزم بيانات. تنتقل هذه الحزم ويتم إعادة تجميعها بطرق مختلفة اعتمادًا على ما إذا كان بروتوكول الإرسال المستخدَم في الهجوم هو بروتوكول التحكم بالإرسال (TCP) أو بروتوكول مخطّط المستخدم (UDP). يرسل هجوم التفكيك حزم بيانات مزيّفة تقوم بتشويه حركة تدفّق البيانات وبالتالي إرهاق الخادم.

إنّ استغلال “عددٍ كبير جدًا من الحزم” يُعدّ مثالاً واضحًا على وقوع هجوم التفكيك. فهو يقوم بإغراق الشبكة بعدد مفرط من الحزم غير المكتملة والمفكّكة.

كما يشير إليه اسمها، تستهدف هجمات طبقة التطبيق (أو الطبقة 7) فئة التطبيقات دون غيرها – حيث يقوم الخادم على مستوى هذه الطبقة بإنشاء صفحات ويب ويستجيب لطلبات بروتوكول الـ HTTP. هذا الهجوم يُوحي إلى الخادم بأنّ شخصًا ما يضغط على زرّ التحديث على نفس الصفحة عدّة مرات. ستبدو وكأنّها حركة مرور طبيعية إلى أن يتمّ إغراق الخادم وتتضح ملامح الهجوم بعد فوات الأوان. تُعتبر هذه الهجمات أقل تكلفة وأكثر صعوبة للرصد مقارنةً بهجمات طبقة الشبكة.

تضخيم الهجمات الموزَّعة لحجب الخدمة هو إجراءٌ هجومي يستهدف من خلاله مجرمو الإنترنت بشكل خاصّ مكامن الضعف الأمني على مستوى خوادم نظام أسماء النطاقات (DNS). حيث يقومون بتحويل الطلبات الصغيرة إلى طلبات ضخمة (ومن هنا جاء مصطلح “التضخيم”)، وهو ما يؤدّي بطبيعة الحال إلى خنق النطاق التردّدي للضحيّة وإيقاف عمل الخادم المستهدف بشكل فوري. هناك نوعان من هجمات التضخيم: عكس نظام أسماء النطاقات (DNS) وعكس بروتوكول مولّد الرّموز (CharGEN).

تتلخّص وظيفة الدي إن إس في البحث عن عنوان بروتوكول الإنترنت المرتبط باسم النطاق الذي كتبته في شريط البحث. إنه دفتر عناوين الإنترنت. يحدث هجوم عكس نظام أسماء النطاقات عندما يقوم أحد القراصنة بنسخ عنوان بروتوكول الإنترنت الخاصّ بالضحية وإرسال طلبات إلى خادم نظام أسماء النطاقات، طالبًا منه ردودًا كثيرة. وقد تم اكتشاف أن الردود يتم تضخيمها بمقدار 70 ضِعفًا مقارنةً بحجمها الطبيعي، ممّا يُرهق الضحية المستهدفة بشكلٍ فوري.

وفقًا لمعايير الإنترنت، بروتوكول مولّد الرموز (CharGEN) هو بروتوكول قديم تم إنشاؤه سنة 1983 لأغراض تتعلّق بإجراء الاختبارات وإيجاد الأخطاء وتصحيحها. لكن ولسوء الحظ، لا تزال العديد من الطابعات أو آلات النسخ المتّصلة بالإنترنت تستخدم هذا البروتوكول، ممّا يسمح للقراصنة باستغلال العديد من الثغرات القديمة التي تشوب هذا البروتوكول. يقوم القراصنة بإرسال عددٍ كبير من حزم البيانات الصغيرة تحت ستار عنوان بروتوكول الإنترنت الخاصّ بالضحية إلى أيّ جهاز يعمل ببروتوكول مولّد الرموز. ثم يقوم هذا الأخير بإغراق نظام الضحية باستجابات بروتوكول بيانات المستخدم (UDP)، وبالتالي إغراق الخادم المستهدف ودفعه إلى إعادة التشغيل أو التوقّف تمامًا عن العمل.

توازيًا مع التقدّم المستمر الذي تشهده التكنولوجيا؛ بما في ذلك تطوير الأنظمة الأمنية بشكلٍ سنوي، تتطور أيضًا الأدوات المستخدمة لاختراقها. فلو أجرينا مقارنةً بسيطةً بين قوّة هجومٍ سيبراني وقع في تسعينيات القرن المنصرم وبين المعيار الحديث للهجمات الموزّعة لحجب الخدمة: فإن الفارق سيكون صاعقًا.

سنجد بأنّ متوسّط ​​الطلبات في الهجوم الموزّع لحجب الخدمة في حقبة التسعينيات بالكاد تجاوز 150 طلبًا في الثانية. لو قارنّا هذا الرقم بأكبر حملةٍ ناجحة للهجوم الموزّع لحجب الخدمة تم رصدها في الآونة الأخيرة، ألا وهو هجوم GitHub سنة 2018، يمكننا أن نلاحظ بأنّ 1.35 تيرابايت من حركة المرور في الثانية تمّ إلقاؤها على الموقع. وقد أدّى هذا الهجوم إلى شلّ الموقع مؤقتًا رغم أنّ الهجوم لم يستمرّ سوى 8 دقائق فقط!

يشنّ مجرمو الإنترنت هذا النوع من الهجمات لأسبابٍ متعدّدة نذكر من أبرزها:

• الاختراق والقرصنة. يستخدم المُخترقون الهجمات الموزّعة لحجب الخدمة (DDoS) لتعطيل مواقع الويب والخدمات التي يتفقون مع أصحابها. على سبيل المثال، يمكنهم استهداف مواقع الويب الحكومية أو نظيرتها التابعة لشخصيات عامّة ومنظمات إجرامية أو إرهابية، ودون أن ننسى الشركات والمؤسّسات الخدماتية، وغيرها من الكيانات المختلفة. غالبًا ما يستخدم المخترقون هذه الهجمات لنشر الرسائل وزيادة الوعي.
• الابتزاز. يستخدم قراصنة الإنترنت أيضًا الهجمات الموزّعة لحجب الخدمة بغرض ابتزاز ضحاياهم. فقد يطلبون المال مقابل إيقاف الهجوم أو عدم تنفيذه.
• التخريب العمدي. يمكن للقراصنة شنّ الهجمات الموزّعة لحجب الخدمة للتسلية فقط أو لإحباط الآخرين وإزعاجهم. كما يمكن لمن يُعرَفون بـ “المبرمجين الأطفال” شنّ مثل تلك الهجمات بسهولة باستخدام أدواتٍ جاهزة أو مصنوعة مسبقًا.
• المنافسة قد تكون سببًا آخر للهجمات الموزّعة لحجب الخدمة. يمكن لشركة منافسة أو فردٍ ما أن يعطّل موقع الويب أو منصّة تقديم الخدمات التابعة لمنافسه، فيُلحق به خسائر مؤقتة في الأرباح، أو يقوم بتشويه سمعة المنافس أو إثارة استياء عملائه.
• الحروب السيبرانية. تُعتبر الهجمات الموزعة لحجب الخدمة سلاحًا فتّاكًا يمكن استخدامه في الحروب السيبرانية. تستخدم الجهات الفاعلة في مجال الدفاع القومي من التهديدات الهجمات الموزّعة لحجب الخدمة على نطاق واسع لتعطيل البنى التحتية الحيوية للدوّل المعادية. كما يمكن للحكومات أيضًا استخدام مثل هذه الهجمات لتكميم أصوات المعارضة، وعادةً ما تكون الهجمات الموزّعة لحجب الخدمة المدعومة حكوميًا منظمةً بشكل جيّد ويصعب إخمادها.

تمّ إحصاء عدد كبير جدًا من هذه الهجمات تمّ شنها خلال السنوات القليلة الماضية على الشركات، وهي متفاوتة من حيث الشدّة والأضرار التي سبّبتها. إليكم فيما يلي قائمةً بثلاث هجمات موزّعة لحجب الخدمة ألحقت أضرارًا جسيمةً بضحاياها:

شنّ مجرمو الإنترنت أكبر هجوم موزّع لحجب الخدمة في سنة 2017 استهدفوا من خلاله شركة جوجل. حيث قاموا بإغراق 180 ألف خادم ويب يُرسل ردوده إلى موقع جوجل. بلغ حجم الهجوم السيبراني معدّل 2.54 تيرابايت في الثانية. ومع الأخذ بعين الاعتبار أن الهجوم الموزّع لحجب الخدمة النموذجي يُقاس عادةً بالجيجابايت في الثانية (Gigabits per second)، فإنّ الهجوم الذي يُقدَّر حجم حركة المرور فيه بوحدة تيرابايت في الثانية (Terabits per second) هو أكبر بألف مرّة من سابقه وله قدرة كبيرة على إغراق حتى أقوى المواقع الخدماتية على شبكة الإنترنت. هذا وقد أشارت بعض التقارير إلى أنّ الحكومة الصينية هي المسؤولة عن شنّ ذاك الهجوم.

تعرّضت مواقع أمازون الإلكترونية لهجوم موزّع ضخم لحجب الخدمة في عام 2020. حيث استهدف هذا الهجوم عميلاً مجهول الهوية، ويُعتبر أحد أكثر الهجمات الموزعة لحجب الخدمة شراسةً في التاريخ. فباستخدام خوادم تابعة لجهات خارجية، تمكّن المهاجمون من تضخيم كمّية البيانات المرسلة إلى عنوان بروتوكول إنترنت واحد بمقدار بلغ 70 مرّة. بينما قُدّر حجم الهجوم بـ 2.3 تيرابايت في الثانية.

أبلغت شركة كلاود فلير عن تعرّضها لهجومٍ موزّع لحجب الخدمة بلغ معدّله 15.3 مليون طلب في الثانية، وقد استهدف هذا الهجوم بحسب الشركة عميلًا يدير منصّةً للعملات المشفرة، كما أعلنت عن نجاحها في تخفيف حدّته. استخدم مجرمو الإنترنت في هذا الهجوم شبكة بوتات تضمّ نحو 6 آلاف جهاز موزّعين عبر 112 دولة، هذا بالإضافة إلى اتّصال بروتوكول (HTTPS) آمن ومشفر لشنّ الهجوم.

يُعتبر الهجوم الموزّع لحجب الخدمة (DDoS) غير قانوني في العديد من دول العالم. ​​ففي الولايات المتحدة مثلًا، يمكن اعتبار الهجوم الموزّع لحجب الخدمة جريمةً فيدراليةً تُعرّض فاعلها لعقوباتٍ مختلفة قد تزجّ به خلف قضبان السجن. هذا ويتمّ اعتقال القائمين على شنّ الهجمات الموزّعة لحجب الخدمة في معظم الدول الأوروبية، بينما تُسلَّط عقوبة السجن لمدّة تصل إلى 10 سنوات كاملة في المملكة المتحدة.

تعقّب الهجمات الموزَّعة لحجب الخدمة يبقى أمرًا مستعصيًا لأنّ معظمها يكون موزعًا على مئات؛ بل وآلاف الأجهزة المختلفة. كما أن أولئك الذين يشنّون مثل هذه الهجمات يبذلون قصارى جهدهم للحيلولة دون تقفّي أثرهم.

وفي سياقٍ مختلف، يمكن رصد الهجمات الموزّعة لحجب الخدمة عند حدوثها باستخدام أدوات معيّنة تُستعمل في الأمن السيبراني لتحليل حركة مرور البيانات، ولكن عادةً ما يتمّ ذلك بعد فوات الأوان حيث تغدو مهمّة إيقافها من سابع المستحيلات. أمّا إذا نظرنا إلى النصف المملوء من الكأس، فيمكننا الاستفادة من هذه التجربة المريرة عبر تحليل البيانات وإجراء التغييرات المناسبة على مستوى أنظمة الأمن السيبراني لتفادي حدوثها مستقبلًا.

إليكم فيما يلي بعض التدابير الاحترازية التي قد تفيدكم في الوقاية من الهجمات الموزّعة لحجب الخدمة:

• استخدام أدوات منع الهجمات الموزعّة لحجب الخدمة التابعة لجهات خارجية. يمكن أن تساعدك خدمات الجهات الخارجية المختلفة في التخفيف من مخاطر الهجمات الموزّعة لحجب الخدمة. ما عليك سوى التأكد من استعمال خدمات آمنة وموثوقة. ولكن، هذا لا يعني أنّ استخدامها سيضمن لك سلامتك بشكل كامل.
• بصفتك المؤسساتية، يمكنك تطوير استراتيجية وقائية من الهجمات الموزعة لحجب الخدمة بالتعاون مع مزوّد خدمة الإنترنت الخاصّ بك. بعبارة أخرى، يمكنك إبرام شراكة مع مزوّد خدمة الإنترنت الخاصّ بك للحصول على نطاق تردّدي نقيّ. إذ باستطاعة مزوّدي خدمة الإنترنت عادةً اكتشاف الحزم الخبيثة قبل وصولها إلى جهازك، وهو ما سيساهم بطبيعة الحال في تقليص حجم المخاطر.
• راقب حركة مرور بياناتك باستخدام أدوات مراقبة حركة المرور وتحقّق من عدم وجود أنماط غريبة.
• احرص على إجراء فحوصات أمنية بصورة منتظمة. واظب على إجراء تقييمٍ لسلامة شبكاتك بانتظام وفكِّر في استخدام أدوات متخصّصة في الهجوم الموزّع لحجب الخدمة وذلك للمساهمة في تشديد الحراسة على أنظمتك وإيجاد الثغرات الأمنية.

عادةً ما يستخدم القراصنة الهجوم الموزّع لحجب الخدمة (DDoS) لابتزاز المطوّرين والناشرين أو لإلحاق أضرارٍ جسيمة بسمعة شركة ما، أو التأثير بشكل سلبي على رقم المبيعات لشركةٍ ما أو شخصٍ أو منصّة معينة. ومع ذلك، يمكن أن يتأثر أيضًا المستخدمون الأفراد، على غرار ممارسي الألعاب عبر الإنترنت. إذ قد يحاول خصمك في اللعب شنّ هجومٍ موزّع لحجب الخدمة عنك قصد تعطيل لعبك، وهو ما لا يشكّل خطرًا أمنيًا في حد ذاته ولكنه قد يُحبط معنوياتك بشكلٍ كبير – خصوصًا إذا كنت تخوض منافسةً يحظى الفائزون فيها بجوائز مالية معتبرة.

تعمل هجمات حجب الخدمة (DoS) ونظيرتها الموزّعة لحجب الخدمة (DDoS) على استهداف الخوادم، لذا، لن يكون باستطاعتك الحيلولة دون وقوع الهجوم على خادم باستخدام شبكة الـ VPN. ولكن الأمر يختلف في الألعاب القائمة على مبدأ الندّ للندّ (P2P)، فعندما تتصل مباشرة مع لاعبين آخرين، يمكن لخصمك البحث عن عنوان بروتوكول الإنترنت (IP) الخاصّ بك واستخدامه لشنّ هجوم لحجب الخدمة أو هجوم موزّع لحجب الخدمة عليك. لحسن الحظّ، يمكنك منعهم من القيام بذلك باستخدام شبكة افتراضية خاصّة (VPN) للألعاب بما أنّها ستقوم بإخفاء عنوان IP الأصلي الخاصّ بك. فما دام الأشخاص السيئون يجهلون عنوان IP الحقيقي الخاصّ بك — فهم ببساطة لن يتمكنوا من شنّ هجوم لحجب الخدمة أو هجوم موزّع لحجب الخدمة عليك. تجدر الإشارة أيضًا إلى أنّ الهجوم الموزّع لحجب الخدمة يستهدف خادم VPN، الذي يحظى باحتياطاتٍ أمنية مشدّدة تَحُول دون وقوعه فريسةً سائغةً بين أنياب مجرمي الإنترنت الذين يشنّون الهجمات الموزّعة لحجب الخدمة.