الاستجابة لحادث حجب الخدمة

حالة استخدام

إذا تعرض موقع ويب لهجوم حجب خدمة مستمر فقد يكون من الضروري التصرف بسرعة لإعادة تشغيل الموقع وتفعيله. يصف مسار التعلّم هذا بعض الممارسات التي تسمح لمالكي الموقع التعافي من هجوم حجب الخدمة.

الأهداف

إذا تعرض موقع ويب لهجوم حجب خدمة مستمر فقد يكون من الضروري التصرف بسرعة لإعادة تشغيل الموقع وتفعيله. يصف مسار التعلّم هذا بعض الممارسات التي تسمح لمالكي الموقع التعافي من هجوم حجب الخدمة.

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على القيام بما يلي:

• تحديد نوع هجوم حجب الخدمة الذي يتعرض له موقع الويب
• تخفيف أو تحييد هجوم قيد التنفيذ

العرض

بالنسبة لبعض المواقع (على سبيل المثال، مواقع المقامرة) يمكن حتى لحجب الخدمة لفترة وجيزة أن يشكل تهديدًا لبقاء الموقع وعادة ما يكون للمهاجمين دوافع مالية وسيستخدمون حجب الخدمة كتهديد للابتزاز. بالنسبة للمواقع التي تركز على المجتمع المدني، عادة ما يكون نموذج التهديد مختلفًا تمامًا، وعادة ما يتم التحكم في الهجمات من قبل المنافسين السياسيين (غالبًا ما تكون جهات فاعلة في الدولة القومية أو تلك المرتبطة بها أو التي تدعمها)، وتندرج تحت فئتين:

• هجمات قصيرة (تدون ساعات أو أيام) تهدف إلى تخويف مالكي الموقع
• هجمات مستمرة مصممة لإسكات الموقع بشكل دائم

يستحيل في بداية الهجوم معرفة النوع الذي يتعرض له الموقع، لكن لحسن الحظ تكون الاستجابة الفنية والتشغيلية هي ذاتها. وتنقسم الاستجابة الأساسية إلى ثلاث خطوات:

1. تحديد نوع الهجوم الذي يتعرض له الموقع
2. التخفيف من هذا الهجوم (يجب أن يكون الموقع قيد التشغيل في هذه المرحلة)
3. تعزيز حماية الموقع بشكل استباقي ضد الهجمات المستقبلية

تحديد نوع الهجوم

بشكل عام، يُلحظ هجوم حجب الخدمة عندما يلاحظ المستخدمون أن الموقع يصبح غير متاحًا أو يكونه أدائه متدهورًا، وفي بعض الحالات قد تقوم أنظمة مراقبة الأداء للموقع بإخطار مالكي الموقع بشكل استباقي. على أي حال تتمثل الخطوة الأولى في تحديد سبب تعطل الموقع. لاحظ أن أداء الموقع المتدهور أو عدم توفر الموقع قد لا يكون بسبب هجوم، ولكن بسبب أعطال المعدات والتكوين الخاطئ وتغييرات الموقع غير المدروسة أو عندما يصبح شيء ما على الموقع أمرًا سريع الانتشار. عند التحقيق في تدهور الموقع، يجب أن تراعي أنواع هجمات حجب الخدمة وأعراضها:

• على مستوى الشبكة
  • حجمي: ستظهر أدوات تشخيص الشبكة مثل بينغ فقدان حزم كبير وأوقات إرسال ورد طويلة. إذا تمت استضافة موقع الويب في مزود خدمة الإنترنت أو خدمة استضافة الويب، فلن تكون المواقع الأخرى التي يستضيفها مزود خدمة الإنترنت/خدمة الاستضافة متاحة أيضًا.
  • مستندة إلى الثغرات: تميل أدوات تشخيص الشبكة إلى إظهار فقدان حزم كبير ولكنها غالبًا ما تظهر أوقات إرسال ورد طويلة. إذا تمت استضافة موقع الويب لدى مزود خدمة إنترنت/مزود استضافة، فستصبح المواقع الأخرى التي يستضيفها غير متاحة أيضًا.
• على مستوى البروتوكول
  • حجمي: عادةً ما تُظهر أدوات تشخيص الشبكة زيادة في فقدان الحزمة وأوقات الإرسال والرد. عادةً ما تستغرق طلبات المتصفح المرسلة إلى الموقع وقتًا طويلًا وعادةً ما تصل إلى نهاية فترات الانتظار. إذا تمت استضافة موقع الويب على مزود استضافة ويب، فمن المحتمل ألا تكون المواقع الأخرى المستضافة على نفس الخادم متاحة، في حين أن المواقع المستضافة على خوادم أخرى ستعمل عادةً. لاحظ أن هجمات حجب الخدمة على مستوى البروتوكول الحجمي ستصل إلى أي اختناق سواء كان ذلك في الشبكة أو الخادم. على سبيل المثال، سيؤثر الهجوم على مستوى البروتوكول ضد خادم قوي على شبكة ضعيفة على الشبكة أكثر من الخادم.
  • مستندة إلى الثغرات: عادةً ما تُظهر أدوات تشخيص الشبكة فقدان حزم كبير وأوقات إرسال ورد طويلة. قد تكون طلبات المتصفح إلى الموقع بطيئة للغاية، أو قد ترد بوجود خطأً بسرعة. إذا تمت استضافة موقع الويب على مزود استضافة ويب، فمن المحتمل ألا تكون المواقع الأخرى المستضافة على نفس الخادم متاحة، في حين أن المواقع المستضافة على خوادم أخرى ستعمل عادةً.
• على مستوى التطبيق
  • عادةً ما تُظهر أدوات تشخيص الشبكة فقدان حزمات عادية وأوقات إرسال ورد طويلة. وقد يعمل المحتوى الثابت الذي يقدمه الموقع بشكل طبيعي أو قد يتدهور أيضًا. إذا تمت استضافة موقع الويب على مزود استضافة ويب، فمن المحتمل ألا تكون المواقع الأخرى المستضافة على نفس الخادم متاحة، في حين أن المواقع المستضافة على خوادم أخرى ستعمل عادةً.

ستساعد معرفة نوع الهجوم الذي يحدث في توجيه استجابة مالكي الموقع، وفي حالة الاشتباه في أي نوع من الهجمات على مستوى الشبكة أو البروتوكول، من المهم التواصل مع مزود خدمة الإنترنت/مزود الاستضافة الخاص بالمواقع للمساعدة في تشخيص المشكلة. سيكون لديهم عادة إمكانية الوصول إلى أدوات تشخيص واستجابة أفضل للهجمات على مستوى الشبكة والبروتوكول.

لكن ينبغي التحذير من أن هجوم حجب الخدمة على موقع ويب عادة يكون بالضرورة هجومًا ضد مزود خدمة الإنترنت/مزود الاستضافة لهذا الموقع أيضًا، وبالأخص بالنسبة للهجمات على مستوى الشبكة، قد يتأثر مزود خدمة الإنترنت بنفس القدر الذي يتأثر به موقع الويب المستهدف. لهذا السبب،سيقوم مقدمو خدمات الإنترنت أو مقدمو خدمات الاستضافة في بعض الأحيان بإغلاق مواقع الويب التي تستهدفها هجمات حجب الخدمة, وذلك لحماية مقدم الخدمة نفسه. نأمل أن يوفر لك التعامل مبكرًا مع مزود خدمة الإنترنت/مزود الاستضافة في الموقع بعض إمكانيات التفاوض أو التنسيق إذا قرر مزود الخدمة إغلاق الموقع.

تخفيف التهديد

حسب نوع الهجوم وخدمة الاستضافة للموقع يمكن أن تختلف طرق التخفيف.

الهجمات المستندة إلى الثغرات

بالنسبة لاستغلال حجب الخدمة على مستوى الشبكة والبروتوكول، بشكل عام ستدعو الحاجة إلى تطبيق تحديث للبرمجيات، ولأجل التخفيف قصير الأجل قد يقوم مزود خدمة الإنترنت الخاص بالموقع بحظر مصادر حركة المرور الضارة حتى يكون من الممكن تطبيق تحديثات البرامج.

الهجمات الحجمية

بالنسبة للهجمات الحجمية على مستوى الشبكة والبروتوكول، تُنفذ الاستجابة بشكل عام على مستوى مزود خدمة الإنترنت، وعادةً ما يقوم مزود خدمة الإنترنت بتحليل حركة مرور الشبكة الواردة وتحديد مصادر حركة المرور الضارة. يقوم بعد ذلك بحظر تلك المصادر على مستوى الشبكة والعمل مع مزود خدمة الإنترنت الخاص بهم لحظر تلك المصادر أيضًا. في نهاية المطاف، يتمتع مقدمو خدمات الإنترنت الأوليين (التمهيديين) الذين يمنعون حركة المرور الضارة الكبيرة بحجم يكفي لتمكينهم بسهولة من التعامل مع مستوى حركة المرور الضارة التي يتم إنشاؤها، وبالتالي يتمكن مقدمو خدمات الإنترنت النهائيين (التنفيذيين) (والموقع المستهدف) من استئناف العمليات العادية.

الهجمات على مستوى التطبيق

بالنسبة لهجمات حجب الخدمة على مستوى التطبيق، يتعامل مالك الموقع بشكل عام مع التخفيف بدلًا من مزود خدمة الإنترنت أو مزود الاستضافة، وبشكل عام، سيرسل المهاجم كمية كبيرة من الطلبات غالبًا ما تكون ذات طبيعة غير عادية إلى نقطة نهاية محددة على الموقع. ستستهلك نقطة النهاية هذه (أي صفحة الويب) كمية هائلة من الموارد التي تؤدي إلى إبطاء الموقع أو تعطيله.

أفضل مكان لبدء البحث عن نقطة النهاية المستهدفة هو سجلات وصول خادم الويب، وإذا كان بإمكانك الاتصال بخادم الويب بطريقة مثل بروتوكول النقل الآمن (SSH)، حاول تنزيل (على سبيل المثال باستخدام برمجيات rsync أو SCP) بعض سجلات الوصول الحالية وبعض سجلات الوصول قبل بدء الهجوم. ابحث عن الصفحات التي تتعرض للهجمات بشكل أكثر تكرارًا أو الصفحات التي توفر الكثير من البيانات أو الصفحات التي تستغرق الكثير من الوقت لتنهي المعالجة، ولاحظ أن إعداد تسجيل الأحداث الجيد (كما هو موضح في القسم الفرعي 2) يمكن أن يجعل كل هذا أسهل بكثير.

إذا لم تتمكن من الوصول إلى السجلات ولكن يمكنك الوصول إلى نسخة تطوير الموقع فيمكنك محاولة العثور على نقطة النهاية المستهدفة بنفسك، واطلّع على الموقع وابحث عن الصفحات التي يمكن أن تستهلك الكثير من الموارد. تشمل الأمثلة الصفحات التي تقوم بإجراء استعلامات قاعدة بيانات معقدة، وقراءة الملفات من نظام الملفات، وتغيير حجم الصور، وتقديم طلبات إلى مواقع ويب أخرى، وما إلى ذلك. إن المناقشة الكاملة لهذا الأمر في خارج نطاق مسار التعلم هذا، ولكنها قد تتضمن نظرة على بعض الثغرات الأمنية المضمنة كجزء من مسار تعلم تقييم أمان الويب.

إذا تمكنت من العثور على نقطة النهاية المستهدفة المحتملة سواء عن طريق قراءة السجلات أو محاكاة المهاجم تتمثل الخطوة التالية في معرفة كيفية إحباط الهجوم، وأسرع طريقة هي استبدال تلك الصفحة على الموقع بصفحة ويب ثابتة. سيؤدي هذا إلى إيقاف الهجوم ولكنه سيؤدي إلى تعطيل جزء من الموقع. وكذلك إذا اعتمد الهجوم على شيء موجود على العديد من الصفحات أو جميعها على الموقع فقد يؤدي هذا الإصلاح إلى تعطيل الموقع.

سيكون الخيار الأفضل هو وضع قيود على نقطة النهاية المستهدفة لمنعها من استهلاك الكثير من الموارد. إذا كانت صفحة تُغير حجم الصور، حدد حدًا أقصى لحجم الصورة، وإذا كانت عملية بحث وكان المهاجم يستخدم استعلام بحث طويلًا ومعقدًا للغاية، ضع حدًا لطول الاستعلام. إذا كانت عملية بحث وأدخل المهاجم بحثًا يعرض الكثير والعديد من النتائج، غيّر الاستعلام ليكون ضمن نطاق اختيار فرعي يحد من عدد الصفوف قبل إجراء أي فرز وما إلى ذلك، ولكن قد يمكن لتغيير بسيط أن يجعل الهجوم غير فعال دون تغيير كيفية عمل الموقع للمستخدمين غير الخبيثين.

إذا تم إيقاف الموقع

إذا نجح هجوم حجب الخدمة في إيقاف موقع الويب (على سبيل المثال، يقوم مزود الاستضافة بإيقاف الموقع) فقد يكون من الممكن إعادة تشغيل الموقع بعدة طرق مختلفة. إذا كان لدى مالكي الموقع ممارسات تطوير ونشر جيدة (انظر القسم الفرعي 1 من مسار التعلّم هذا)، فقد يكون لديهم نسخة تطوير من الموقع جاهزة للنشر في مزود استضافة آخر، وإذا لم يكن الأمر كذلك فقد تتمكن أنت ومالكو الموقع من التفاوض مع مزود الاستضافة الحالي للموقع للوصول إلى خوادم الإنتاج ونسخ بيانات الموقع.

قد تكون أسهل خطوة تالية هي إنشاء نسخة ثابتة تمامًا من الموقع واستضافته على صفحات مثل غيت هب أو أمازون إس 3 أو مساحات تخزين غوغل السحابي (GCS) من منصة سحابة غوغل (GCP). لإنشاء نسخة ثابتة من الموقع من إصدار المطوّر، يمكنك استخدام أداة مثل HTTrack لتتبع ارتباطات موقع الويب وتنزيل لغة تمييز النص التشعبي. جميع خدمات استضافة المواقع الثابتة المذكورة أعلاه مجانية أو غير مكلفة (على الرغم من أنه قد تكون هناك تكلفة لبروتوكول أمان طبقة النقل)، وهي مقاومة حجب الخدمة ويمكن إعدادها في غضون دقائق. وعلى الرغم من أن وجود نسخة ثابتة من الموقع قد لا يكون مثاليًا إلا أنه قد يكون تدبيرًا مؤقتًا جيدًا.

التعافي من هجوم حجب الخدمة

بمجرد التخفيف من حدة الهجوم، يمكن لمالك الموقع العمل على التعافي الكامل، ويتضمن ذلك بشكل عام المرور بعمليات إعداد الموقع الموصوفة في القسمين الفرعيين 1 و2 من مسار التعلّم هذا. في كثير من الأحيان، بمجرد استهداف الموقع بهجوم حجب الخدمة من المرجح أن يواجه هجمات مماثلة مرة أخرى في المستقبل. على هذا النحو فإن التحضير الدقيق مهم جدًا وبالأخص إذا تم استخدام هجوم على مستوى التطبيق، لأنه من المستحسن أن تمر على الموقع وتعليماته البرمجية للعثور على أي جوانب يمكن أن تستهلك كمية كبيرة من الموارد وتعديلها للحد من الموارد التي يمكن أن تستهلكها. كما أن وجود طريقة سهلة لإنشاء نسخة ثابتة من الموقع وعملية تمرنّت عليها لتحويل الموقع إلى نمط الاستضافة الثابتة قد يكون مفيدًا للمواقع التي يتم استهدافها بشكل متكرر. موارد إضافية للقراءة توفر الموارد الإضافية التالية مزيدًا من المعلومات حول هجمات حجب الخدمة وتركز في الغالب على آليات الهجمات منخفضة المستوى:

• https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddos-attacks_508c.pdf
• https://learn.cisecurity.org/ms-isac-guide-to-ddos-attacks
• https://www.byos.io/blog/denial-of-service-attack-prevention

ُقدم هذا الموقع المصغّر لمحة عامة جيدة حول وضع خطة استجابة حجب الخدمة لموقع معين، وهو مورد رائع إذا استطعت التخطيط مسبقًا أو التشاور عند التعافي من هجوم:

• https://www.ncsc.gov.uk/collection/denial-service-dos-guidance-collection/a-minimal-denial-of-service-response-plan

اختبار مهارة

أسئلة اختيار من متعدد

تُشكل الهجمات الموزّعة لحجب الخدمة تهديدات كبيرة للبنية التحتية الرقمية الحديثة، بهدف تعطيل الخدمات من خلال إغراق أنظمة أو شبكات الهدف بتدفق حركة المرور. واستجابة لمثل هذه الهجمات، تُعد تدابير الاستجابة للحوادث ضرورية لتقليل الضرر وإعادة العمليات الطبيعية بسرعة وتتعمق هذه المجموعة من الأسئلة متعددة الخيارات في جوانب مختلفة من الهجمات الموزّعة لحجب الخدمة، بما في ذلك أنواعها وأهدافها واستراتيجيات التخفيف ومراحل الاستجابة للحوادث التي تنطوي عليها معالجة مثل هذه التهديدات. اختبر معلوماتك حول الهجمات الموزّعة لحجب الخدمة والاستجابة للحوادث من خلال الأسئلة التالية. إذا كان ذلك ممكنًا، ناقش إجاباتك على هذه الأسئلة مع زميل أو مرشد يساعد في التحقق من فهمك للموضوع بشكل صحيح.

1. أي مما يلي ليس نوعًا شائعًا من الهجمات الموزّعة لحجب الخدمة؟ أ) الفلود المتزامن SYN Flood ب) بينغ فلود Ping Flood ج) انتحال نظام أسماء المجالات DNS Spoofing د) فلود بروتوكول مخطط بيانات المستخدم UDP Flood

2. ما الهدف الرئيسي من الهجوم الموزّع لحجب الخدمة؟

   أ) سرقة البيانات الحساسة ب) الوصول غير المصرّح به إلى النظام ج) غمر نظام أو شبكة مستهدفة د) تشفير الملفات وطلب فدية

3. ما هي التقنية الشائعة الاستخدام للتخفيف من هجمات تضخيم نظام أسماء المجالات الموزّعة لحجب الخدمة؟

4. أ) تنفيذ تصفية الدخول لمنع حركة المرور باستخدام عناوين بروتوكول الإنترنت التي تمت سرقتها ب) استخدام تقييد المعدّل للتحكم في حجم حزم استجابة نظام أسماء المجالات التي تترك الخوادم موثوقة ج) نشر أنظمة منع التسلل لاكتشاف ومنع حركة المرور الضارة في محيط الشبكة د) إجراء عمليات فحص منتظمة للثغرات الأمنية لتحديد ثغرات خادم نظام اسم المجال وتصحيحها

5. ما هي مرحلة الاستجابة للحوادث التي تنطوي على تحديد طبيعة ونطاق الهجوم الموزّع لحجب الخدمة؟

6. أ) التحضير ب) الكشف والتحليل ج) الاحتواء والإزالة والتعافي د) نشاط ما بعد الحادث

7. ما الهدف الأساسي خلال مرحلة احتواء الاستجابة لحوادث الهجمات الموزّعة لحجب الخدمة؟

8. أ) إيقاف تشغيل النظام بالكامل ب) القضاء على وصول المهاجم ج) تحديد نقاط الضعف للهجمات المستقبلية د) استعادة الخدمات المتضررة في حين منع الضرر الإضافي

9. في سياق الاستجابة للحوادث، ما الذي تتضمنه مرحلة “الإزالة” فيما يتعلق بالهجمات الموزّعة لحجب الخدمة؟

10. أ) استعادة البيانات من النسخ الاحتياطية ب) التحقيق في أصل الهجوم ج) تنفيذ حلول طويلة الأجل لمنع هجمات مماثلة د) إعادة تشغيل الأنظمة المتأثرة

11. ما الإجراء الذي يتم تنفيذه عادةً خلال مرحلة التعافي من الاستجابة للحوادث بعد الهجمات الموزّعة لحجب الخدمة؟

12. أ) إجراء تحليل ما بعد الحادثة ب) تطبيق تصحيحات الأمان على الأنظمة المعرضة للخطر ج) تحديد نواقل الهجوم الجديدة د) بدء الإجراءات القانونية ضد المهاجم

13. كيف يمكن لشبكات توصيل المحتوى المساعدة في حماية مواقع الويب من هجمات حجب الخدمة؟

14. أ) عن طريق تشفير كامل حركة المرور الواردة لمنع الهجمات ب) عن طريق حجب كامل حركة المرور الواردة المشبوهة مباشرة ج) من خلال توزيع محتوى الموقع عبر خوادم ومراكز بيانات متعددة د) عن طريق زيادة قوة المعالجة لدى الموقع

إجابات صحيحة:

1. ج) انتحال نظام أسماء المجالات؛
2. ج) غمر نظام أو شبكة مستهدفة؛
3. ب) استخدام تقييد المعدّل لضبط حجم حزم استجابة نظام أسماء المجالات التي تترك الخوادم موثوقة؛
4. ب) الكشف والتحليل؛
5. د) استعادة الخدمات المتضررة مع الوقاية من الضرر الإضافي؛
6. ج) تنفيذ حلول طويلة الأجل للوقاية من هجمات مماثلة؛
7. ب) تطبيق تصحيحات الأمان على الأنظمة المعرضة للخطر؛
8. ج) من خلال توزيع محتوى الموقع عبر خوادم ومراكز بيانات متعددة

موارد التعلّم