راستش این دفعه نتوانستم جلوی خودم را بگیرم تا این مطلب را ننویسم!
فکرش را بکنید، روز جمعه، زمانی که در حال استراحت هستی، یک کلاه صورتی کوچولو از اینکه در شرکت نیستی، قصد سوء استفاده دارد و کتابچه های آموزش هک یا نرم افزار injection خودش را باز می کند و به یکی از صفحات سایتی که یک تیم توسعه ماه ها برایش زحمت کشیده، حمله می کند.
نمی دانم اسمش را بگذارم DDOS یا D SQL Injection، خب اولی یک حمله شناخته شده برای محروم سازی از سرویس می باشد که البته کم و بیش هم مثل سرطان می ماند و دنیای IT هنوز هم که هنوز است با وجود پیشرفت چشمگیر هوش مصنوعی و پیشرفته تر شدن IDS ها و IPS، با آن درگیر است.
اما دومی یک عبارت من در آوردی هست که همین الان که این مطلب را می نویسم، به ذهنم خطور کرد! در حمله های SQL Injection هدف مهاجم دسترسی به بانک اطلاعاتی از طریق تزریق کدهای مخرب به بخشی از سایت می باشد که تمهیدات لازم در آن قسمت برای جلوگیری از نفوذ صورت نگرفته است. اما اینکه من حرف D را که مخفف Distributed می باشد را به آن اضافه کردم بدان دلیل بود که گاهی هکر ها در سایت ما مجبور می شوند، از حمله های توزیع شده با آدرس IP های متفاوت استفاده کنند.
خب سناریو به این صورت می باشد:
– هکر وارد یک صفحه به ظاهر آسیب پذیر در سایت آداک فن آوری مانیا می شود.
– اولین تست حمله خود را انجام می دهد.
– در همین اولین تست، حمله توسط سیستم پدافند سایت تشخیص داده می شود.
– آدرس آی.پی مهاجم بلاک می شود.
– هکر هنگامی که می خواهد مجدداً وارد سایت شود، با عبارتی مبنی بر عدم دسترسی اش به سایت مواجه می شود.
– بدن مهاجم شروع به تولید آدرنالین می کند.
– شروع به مطالعه درباره راه های جایگزین می کند.
– به این نتیجه می رسد که ما در مقابله با حملات توزیع شده ناکام می باشیم.
– از روش های برای نیل به این مقصد شوم استفاده می کند.
– پدافند سایت با تمامی IP های مهاجم مقابله می کند.
– جنگ تمام می شود!
واقعیت این است که برای ما حمله های توزیع شده یا غیر توزیع شده، تفاوتی ندارد، برای سیستم ما کد مخرب یک کد مخرب است و این کد قبل از اینکه اجرا شود تشخیص داده می شود، یعنی حتی اگر ما هکر را بلاک هم نکنیم باز هم کاری از پیش نمی برد، در واقع اینکه مهاجم را بلاک می کنیم، تنها یک اقدام تنبیهی است و تأثیری بر امنیت سایت ندارد. به عبارت دیگر ما پهنای باندمان را اختیار افراد مخرب نمی گذاریم و ترجیح می دهیم این پهنای باند را تنها بازدیدکنندگان واقعی استفاده کنند.
اینکه ما تصور می کنیم که این حملات توسط هکرهای تازه به دوران رسیده انجام می شود به این دلیل است که نیک می دانیم هکر های خبره و با تجربه از روش ها و کدهایی که در سیستم گزارش گیری سایت ما ثبت می شود، استفاده نمی کنند. در واقع وقتی یک حمله به سایت ما صورت می گیرد، در فاصله بین ورود کد مخرب و بلاک شدن IP مهاجم، کدی هم که باعث بلاک شده هکر شده است در سیستم گزارش گیری ما ثبت می شود و خب گاهاً وقتی این کدها را که گاه توسط دستان خود مهاجم و گاه توسط نرم افزاری مثل هویج تولید شده است، می بینیم، خنده مان می گیرد. در واقع اکثر کدها خیلی مبتدیانه می باشند.
تیر خلاص!
در واقع با توجه به توضیحات بالا باید بگوییم که زمانی که ما خوابیم و آقای هکر محترم در حال اقدام به خرابکاری در سایت می باشد، هیچ جای نگرانی نیست، زیرا علاوه بر استفاده از تجهیزات امنیتی نظیر سایبروم و سیستم های تشخیص نفوذ نظیر آنچه بیان شد، مدیر سایت هم لحظه به لحظه در جریان سلامت سایت می باشد و به محض وقوع حمله از طریق SMS در جریان اقدامات مخرب شخص یا اشخاصی که در حال خرابکاری می باشند، قرار می گیرد.
خب ما گاهاً در این اینجور موارد حتی به خودمان زحمت نمی دهیم تا همان لحظه لاگ های سایت را چک کنیم، زیرا که دریافت پیامکی مثلاً با مضمون «آی.پی xxx.xxx.xxx.xxx بدلیل اقدامات مخرب محروم شد» بدین معنا می باشد، که کلیه اقدامات بصورت خودکار انجام شده است و دیگر نیازی به دخالت مستقیم نیست. اما گاهی که احساس می کنیم حمله به صورت توزیع شده می باشد، از طریق کدهای رمزنگاری شده پیامکی از یکسری اصول نگهداری استفاده می کنیم که در واقع آن هم یک اقدام مازاد بر نیاز می باشد و در حقیقت استفاده از آن ها هم ضرورتی ندارد، چرا که همانطور که گفتیم برای سیستم تشخصی نفوذ ما یک آی.پی و چند آی.پی فرقی ندارد.