في 19 مارس 2024، كشف فريق بحثي بقيادة البروفيسور دكتور كريستيان روسو في مركز CISPA Helmholtz لأمن المعلومات في ألمانيا عن تهديد أمني كبيراستغل هذا التهديد ثغرة أمنية واسعة الانتشار في خدمات طبقة التطبيقات التي تستخدم بروتوكول بيانات المستخدم (UDP). تم تتبعه من خلال المعرف CVE-2024-2169، شكلت هذه الثغرة الأمنية خطرًا خطيرًا على استقرار وأمن العديد من الأنظمة.
تفاصيل هجوم DoS الحلقي
وقد شمل متجه الهجوم، كما ذكر الباحثون بالتفصيل، التلاعب بمخططات بيانات UDP لإنشاء حلقة دائمة بين الخوادم المعرضة للخطر. من خلال تصميم حمولة محددة، يمكن للمهاجمين استفزاز استجابة خطأ من خادم معرض للخطر، مما يدفعه إلى إرسال رسالة فشل إلى خادم معرض آخر. سيستمر هذا التبادل إلى أجل غير مسمى، مما يُثقل كاهل الأنظمة المعنية. والأهم من ذلك، أن طبيعة اتصال UDP سمحت باستمرار هذه الحلقة، دون أن تتأثر بمحدد عدد قفزات IP Time-to-Live (TTL).
لتنفيذ هذا الهجوم، احتاج المُعتدي إلى تحديد نظام إضافي واحد على الأقل مُعرَّض للاختراق يُشغِّل نفس الخدمة التي يُشغِّلها الهدف. بتزييف عنوان IP المصدر للطلب الأولي، يُمكن للمُهاجم خداع الضحية للرد على خادم مُعرَّض للاختراق آخر، وبالتالي بدء الحلقة. يُمكن تضخيم هذه العملية بإنشاء حلقات مُتعددة بين أنظمة مُعرَّضة للاختراق مُختلفة، مما قد يُؤدي إلى تأثير مُتتالي قادر على زيادة تحميل الهدف.
شملت الخدمات المتأثرة مجموعة واسعة من البروتوكولات المنتشرة على نطاق واسع، بما في ذلك DNS, المبسط, NTP, صدى, شارجنو QOTDأثرت ثغرة NTP بشكل رئيسي على الأنظمة التي تستخدم إصدارات قديمة من ntpd تعود إلى ما قبل عام 2010. بالإضافة إلى ذلك، وُجد أن البروتوكولات القديمة مثل Echo وChargen وQOTD وTime وDaytime وActive Users معرضة للخطر بطبيعتها. وبينما كان بروتوكولا TFTP وDNS لا يزالان قيد التحقيق، أكد الباحثون على ضرورة الحصول على مزيد من المعلومات من مشغلي الأنظمة المعرضة للخطر لفهم مدى ثغراتها بشكل كامل.
وكانت آثار هذه الثغرة مثيرة للقلق بسبب الطبيعة عديمة الجنسية لـ UDP، مما جعل الخدمات المشروعة عرضة للإساءة هجمات DDoS ذات التضخيم الحجميمع إضافة هجمات الحرمان من الخدمة المتكررة، ازدادت احتمالية التعطيل والضرر بشكل ملحوظ. وقدّر الباحثون أن ما يقارب 300,000 ألف مضيف للإنترنت كانوا عرضة للخطر لتكرار هجمات الحرمان من الخدمة.
أنظمة معرضة لهجمات DoS الحلقية
أصبح اكتشاف الأنظمة الضعيفة أمرًا ضروريًا للتخفيف من خطر هذه الثغرة. الباحثون في CISPA تم تطوير أداة للمسح لتحديد الأنظمة المعرضة لهجمات الحمولات التي اكتشفوها. أتاحت هذه الأداة وسيلة لتقييم ومعالجة نقاط الضعف، خاصةً لخدمات مثل DNS وTFTP وNTP، والتي تم تحديد حمولات الهجوم الخاصة بها في simple_verify.py نص بايثون.
حماية DoS الحلقية
وتتضمن التوصيات تقليل التعرض للخدمات المستندة إلى UDP، وضمان تصحيح الأخطاء الأمنية في الوقت المناسب، وتنفيذ تدابير حماية قوية ضد إساءة الاستخدام والأنشطة الشاذة.
تنفيذ حماية DDoS الحلول ، مثل RELIANOID مطلوب من IPDS الحفاظ على خدماتنا آمنة:
دفاع هجين ضد هجمات الحرمان من الخدمة الموزعةاجمع بين الحماية المحلية والسحابية للدفاع ضد هجمات الحرمان من الخدمة الموزعة (DDoS) في الوقت الفعلي. تعالج هذه الاستراتيجية الهجمات واسعة النطاق وتمنع تشبع الشبكة.
كشف الشذوذ السلوكي:استخدام أنظمة الكشف المتقدمة لتحديد سلوكيات الشبكة غير المعتادة وحظرها بسرعة مع السماح لحركة المرور المشروعة بالتدفق دون انقطاع.
إنشاء التوقيع السريع:إنشاء توقيعات أمنية في الوقت الفعلي للدفاع على الفور ضد التهديدات غير المعروفة وهجمات اليوم صفر، مما يعزز أمان الشبكة بشكل عام.
تخطيط الاستجابة لحالات الطوارئ المتعلقة بالأمن السيبراني:إنشاء فريق متخصص مجهز للتعامل مع حالات الطوارئ المتعلقة بالأمن السيبراني، وخاصة تلك المتعلقة بانتهاكات أمن إنترنت الأشياء (IoT).
استخبارات الجهات الفاعلة في التهديد:استخدام تحليل شامل للبيانات لتحديد التهديدات التي يشكلها المهاجمون المعروفون وتخفيفها بشكل استباقي، وتعزيز قدرة الشبكة على الصمود في مواجهة مخاطر الأمن السيبراني المتطورة.
RELIANOID ADC ضد هجمات DoS الحلقية
RELIANOID ADC تقدم حلولاً فعّالة تساعد في حماية الأنظمة والحد من هجمات رفض الخدمة (DoS) المتكررة. إحدى الطرق الرئيسية لتحقيق ذلك هي فحص حركة البيانات وإمكانات التصفية الذكية. RELIANOID موازن التحميل ووحدة التحكم في تسليم التطبيقات يستطيع نظام ADC تحليل أنماط حركة المرور الواردة، واكتشاف أي شذوذ يُشير إلى هجوم حرمان من الخدمة (DoS) متكرر. من خلال تحديد حركة المرور الضارة وحظرها، تمنع هذه الأنظمة استمرارية هذه الحلقة بين الخوادم المعرضة للخطر.
بالإضافة إلى ذلك، RELIANOID غالبًا ما تتضمن تقنية التحويل التناظري إلى الرقمي (ADC) ميزات مثل تحديد السرعة وتقييد الاتصال. تساعد هذه الميزات في منع تفاقم هجمات الحرمان من الخدمة الحلقية عن طريق تحديد معدل معالجة الطلبات أو إنشاء الاتصالات. ومن خلال فرض قيود على حجم حركة المرور أو وتيرة الطلبات من مصادر فردية، RELIANOID يمكن لحلول LB التخفيف من تأثير هجمات الحرمان من الخدمة المتكررة وضمان استقرار الأنظمة وتوافرها.
وعلاوة على ذلك، RELIANOID تدعم المنتجات عادةً آليات تحكم دقيقة في الوصول والمصادقة. من خلال تطبيق سياسات وصول صارمة والتحقق من شرعية الطلبات الواردة، يمكن لهذه الحلول منع حركة المرور غير المصرح بها بفعالية والتي تحاول استغلال الثغرات الأمنية وشن هجمات حجب الخدمة المتكررة. بالإضافة إلى ذلك، توفر ميزات التسجيل والإبلاغ المتقدمة RELIANOID تتيح المنصات للمسؤولين مراقبة نشاط الشبكة عن كثب، مما يسهل الكشف المبكر والاستجابة للتهديدات المحتملة، بما في ذلك هجمات الحرمان من الخدمة.
وبشكل عام، RELIANOID توفر مجموعة ADC الشاملة لحلول موازنة التحميل وتسليم التطبيقات للمؤسسات الوسائل اللازمة لتحسين وضع الأمن السيبراني لديها والدفاع ضد هجمات DoS الحلقية من خلال الاستفادة من تحليل حركة المرور الذكي والحد من المعدل والتحكم في الوصول وقدرات التسجيل القوية. تواصل مع خبراء الأمن لدينا.
مدونات ذات صلة
