اقرأ في هذا المقال
ما هو هجوم الفيضانات
فيضان (SYN) هو هجوم نصف مفتوح، ويعرف أيضاً على انه نوع من هجوم رفض الخدمة (DDoS) الذي يهدف إلى جعل الخادم غير متاح لحركة المرور المشروعة من خلال استهلاك جميع موارد الخادم المتاحة، وذلك من خلال إرسال حزم طلب الاتصال الأولي (SYN) بشكل متكرر، حيث يكون المهاجم قادرًا على التغلب على جميع المنافذ المتاحة على جهاز الخادم المستهدف، مما يتسبب في استجابة الجهاز المستهدف لحركة المرور المشروعة ببطء أو عدم الاستجابة على الإطلاق.
كيف يعمل هجوم الفيضان
تعمل هجمات فيضان (SYN) من خلال استغلال عملية المصافحة لاتصال (TCP)وهو بروتوكول التحكم بالنقل، حيث وانه في ظل الظروف العادية، يعرض اتصال (TCP) ثلاث عمليات متميزة من أجل إجراء اتصال:
- يرسل العميل حزمة (SYN) إلى الخادم لبدء الاتصال.
- ثم يستجيب الخادم لتلك الحزمة الأولية مع حزمة (ACK) وهو نوع من الإشارات النادرة التي يقوم الكمبيوتر بإرسالها لتبيين ان البيانات قد نقلت بشكل آمن، من أجل التعرف على الاتصال.
- الخطوة الأخيرة، يقوم العميل بإرجاع حزمة (ACK) للإقرار باستلام الحزمة من الخادم، ومن ثم بعد إكمال هذا التسلسل من إرسال واستقبال الحزم، يكون اتصال (TCP) مفتوحًا وقادرًا على إرسال البيانات واستلامها.
آلية عمل رفض الخدمة
- يرسل المهاجم حجمًا كبيرًا من حزم (SYN) إلى الخادم المستهدف، غالبًا بعناوين (IP) مخادعة.
- ثم يقوم الخادم بالاستجابة لكل طلب من طلبات الاتصال وترك منفذًا مفتوحًا جاهزًا لتلقي الاستجابة.
- بينما ينتظر الخادم حزمة (ACK) النهائية، والتي لا تصل أبدًا، يستمر المهاجم في إرسال المزيد من حزم (SYN)، يؤدي وصول كل حزمة SYN جديدة إلى قيام الخادم مؤقتًا بالحفاظ على اتصال منفذ جديد مفتوح لفترة معينة من الوقت، وبمجرد استخدام جميع المنافذ المتاحة، يتعذر على الخادم العمل بشكل طبيعي.
في الشبكات، عندما يترك الخادم الاتصال مفتوحًا ولكن الجهاز الموجود على الجانب الآخر من الاتصال غير مفتوح، يعتبر الاتصال نصف مفتوح، في هذا النوع من هجوم (DDoS)، يترك الخادم المستهدف باستمرار الاتصالات المفتوحة وينتظر انتهاء مهلة كل اتصال قبل أن تصبح المنافذ متاحة مرة أخرى، والنتيجة هي أن هذا النوع من الهجوم يمكن اعتباره هجوم نصف مفتوح.
طرق حدوث هجوم الفيضان
1. الهجوم المباشر
يُعرف فيضان (SYN) حيث لا يتم انتحال عنوان (IP) بالهجوم المباشر، في هذا الهجوم، لا يخفي المهاجم عنوان (IP) الخاص به على الإطلاق، وذلك نتيجة لاستخدام المهاجم لجهاز مصدر واحد بعنوان (IP) حقيقي وغير مزيف لإنشاء الهجوم، حيث يكون المهاجم عرضة بشكل كبير للاكتشاف والتخفيف، من أجل إنشاء حالة نصف مفتوحة على الجهاز المستهدف.
كما يمنع المتسلل أجهزته من الاستجابة لحزم (SYN-ACK) للخادم، يتم تحقيق ذلك غالبًا عن طريق جدار الحماية القواعد التي تمنع الحزم الصادرة بخلاف حزم (SYN) أو عن طريق تصفية أي حزم (SYN-ACK) واردة قبل وصولها إلى جهاز المستخدم الضار، من الناحية العملية، نادرًا ما يتم استخدام هذه الطريقة إن وجدت، حيث يكون التخفيف مباشرًا إلى حد ما، فقط يجب القيام بحظر عنوان (IP) لكل نظام ضار، إذا كان المهاجم يستخدم الروبوتات مثل (Mirai botnet) التي تهاجم أجهزة الانترنت، فلن يهتم بإخفاء عنوان (IP) الخاص بالجهاز المصاب.
2. الهجوم المخادع
يمكن للمستخدم الضار أيضًا انتحال عنوان (IP) على كل حزمة (SYN) يرسلونها من أجل منع جهود التخفيف وجعل اكتشاف هويتهم أكثر صعوبة، حيث انه في حين أنه قد يتم انتحال الحزم، فمن المحتمل أن يتم تتبع هذه الحزم إلى مصدرها، كما من الصعب القيام بهذا النوع من العمل التحري ولكنه ليس مستحيلًا، خاصة إذا كان مقدمو خدمة الإنترنت (ISPs) على استعداد للمساعدة.
3. الهجوم الموزع (DDoS)
إذا تم إنشاء هجوم باستخدام شبكة الروبوتات، فإن احتمال تتبع الهجوم إلى مصدره يكون منخفضًا، للحصول على مستوى إضافي من التشويش، قد يكون لدى المهاجم كل جهاز موزع ينتحل أيضًا عناوين (IP) التي يرسل منها الحزم، إذا كان المهاجم يستخدم شبكة الروبوتات مثل (Mirai botnet)، فلن يهتم بشكل عام بإخفاء عنوان (IP) الخاص بالجهاز المصاب.
باستخدام هجوم فيضان (SYN)، يمكن للممثل السيء محاولة إنشاء رفض للخدمة في جهاز أو خدمة مستهدفة بحركة مرور أقل بكثير من هجمات (DDoS) الأخرى، بدلاً من الهجمات الحجمية، التي تهدف إلى تشبع البنية التحتية للشبكة المحيطة بالهدف.
