حملات Reflection Amplification چیست و چگونه عمل میکند؟
ابتدا ضروری است که به تعریف حملات Reflection و Amplification به صورت مجزا بپردازیم.
حمله Reflection زمانی رخ میدهد که مهاجم آدرس IP هدف خود را جعل میکند و درخواستی برای اطلاعات ارسال میکند که این کار عمدتا از طریق User Datagram Protocol (UDP) یا در برخی موارد از طریق Transmission Control Protocol (TCP) انجام میشود.
سپس سرور به این درخواست پاسخ میدهد و پاسخ را به آدرس IP هدف ارسال میکند. به دلیل این «انعکاس» -استفاده از پروتکل یکسان در هر دو جهت- به این حملات «انعکاس» گفته میشود. هر سروری که دارای سرویسهای مبتنی بر UDP یا TCP است میتواند توسط یک انعکاسگر مورد هدف قرار بگیرد. حملات Reflection Amplification
حملات Amplification موجب ایجاد حجم بالایی از بستهها میشوند که به منظور وارد کردن بار سنگین به وبسایت هدف بدون خبردار شدن واسطهها مورد استفاده قرار میگیرند. این حمله زمانی رخ میدهد که یک سرویس آسیبپذیر وقتی که مهاجم درخواستش را ارسال میکند، پاسخ های بیش از حد برای او ارسال میکند.
به درخواست مهاجم معمولا “Trigger Packet” گفته میشود. با استفاده از ابزارهایی که به سادگی قابل دسترسی هستند، مهاجم میتواند هزاران درخواست این چنینی را به سرویس آسیبپذیر ارسال کند و پاسخ هایی که بسیار بزرگتر از درخواست اصلی هستند را موجب شود و در نتیجه باعث افزایش اندازه و پهنای باند اختصاص یافته به هدف شود.
این نوع از حملات DDoS باعث وارد شدن بار سنگین به هدف شده و میتواند موجب اختلال یا از کار افتادن سیستمها و سرویسها شود. شناخته شدهترین نوع این حملاتِ مبتنی بر میلیونها درخواست، DNS ، NTP، SNMP، SSDS و دیگر سرویسهای مبتنی بر UDP/TCP است. حملات Reflection Amplification حملات Reflection Amplification
نشانههای حملات Reflection Amplification چیست؟
شناسایی این حملات نسبتا آسان است. چرا که معمولا شامل یک حمله با حجمی بزرگ هستند. ویژگی اصلی این حملات ارسال سیل قابل توجهی از بستهها با پورت منبع یکسان به یک هدف یکسان است.
توجه به این نکته اهمیت دارد که بستههای ورودی ندرتاً دارای شماره پورت مقصد یکسان هستند و به همین دلیل شماره پورت یکسان بستهها نشانهای بسیار خوب از وقوع یک حمله است. مهاجمین معمولا از چندین سرویس آسیبپذیر همزمان استفاده خواهند کرد و با ترکیب آنها حملات بسیار بزرگ ایجاد خواهند کرد.
چرا حملات Reflection Amplification خطرناک هستند؟
علت خطرناک بودن حملات Reflection Amplification این است که سرورهای استفاده شده برای این نوع حملات ممکن است سرورهای عادی باشند که هیچ نشانهای از اختلال در آنها نباشد و به همین دلیل جلوگیری از آنها دشوار میشود.
علت گرایش مهاجمین به انجام حملات Reflection Amplification این است که نیازی به ابزارهای پیچیده برای اجرای چنین حملاتی نیست. این حملات نیاز به کمترین تلاش برای ایجاد حملات حجمی بزرگ با بهره گرفتن از تعداد کمی بات یا یک سرور قدرتمند دارند.
سازمانها چگونه میتوانند از حملات Reflection Amplification جلوگیری و آنها را مرتفع کنند؟
دفاع اصلی در برابر این حملات مسدود کردن بستههای دارای منبع جعلی است. به دلیل اینکه این حملات از منابع مجاز و با بهرهگیری از سرویسهای مورد اعتمادی همچون DNS و NTP انجام میشوند، تفکیک کردن و تشخیص دادن بار کاری کاربری واقعی و ترافیک انعکاسی که توسط مهاجمین ایجاد شده است دشوار است.
از سوی دیگر، وقتی سرویسی تحت حمله قرار میگیرد، ممکن است به دلیل کندی سرویس، ترافیک کاربری واقعی مجبور شود برای ارسال پاسخ چندین بار تلاش کند و در نتیجه ممکن است تلاشهای مجدد به عنوان یک حمله DDoS شناسایی شوند.
سازمانها میتوانند برای مرتفع کردن حملات Reflection Amplification از روشهای زیر بهره گیرند:
- یک استراتژی معمول برای مرتفع کردن DDoS کنترل ترافیک درخواستی از مبدا است که میتواند بر روی مقصد یا منبع اعمال شود تا از اعمال فشار زیاد بر سیستمها جلوگیری شود.
کنترل ترافیک مقصد ممکن است اثر منفی بر روی ترافیک عادی و مجاز وارد کند و به همین دلیل بهتر است از این روش استفاده نشود. اما کنترل ترافیک منبع کارآمدتر است. این روش براساس تخطی از یک سیاست دسترسی از پیش تعیین شده، محدودیتی برای منابع ایجاد میکند.
- مسدود کردن پورتهایی که مورد نیاز نیستند میتواند آسیبپذیری نسبت به حملات را کاهش دهد. اما این روش نمیتواند از حملاتی که بر روی پورتهای دارای ترافیک عادی و ترافیک خرابکارانه صورت میگیرند، جلوگیری کند.
- فیلتر کردن امضای ترافیک (Traffic signature filters) میتواند روشی برای شناسایی ساختارهای تکراری و در نتیجه تشخیص حمله باشد. نقطه ضعف این روش فیلترینگ اثر آن بر روی عملکرد است. بررسی کردن هر بسته میتواند بر روی سیستم دفاعی بار زیادی را وارد کند.
- سرویسهای هوشمند تهدیدات میتوانند به سازمانها در شناسایی سرورهای آسیبپذیر کمک کنند و به آنها امکان مسدود کردن آدرسهای IP این سرورهای آسیبپذیر را بدهند. این روش پیشگیرانه میتواند دقت بیشتری در رفع خطر حملات داشته باشد. حملات Reflection Amplification
![مقایسه فورتیگیت 200G و فورتیگیت 200F [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2025/03/FG-200F-Vs-FG-200G-240x144.png)
![آموزش Automation Backup در فورتی گیت [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2025/02/Automation-Backup-in-FortiGate-240x144.png)
![آموزش پیکربندی تانل GRE بین فورتی گیت و میکروتیک [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2024/12/پیکربندی-تانل-GRE-بین-فورتی-گیت-و-میکروتیک-240x144.png)
![چطور تنظیمات فورتی گیت را به مدل جدید منتقل کنیم؟ [ستاک فناوری ویرا]](https://www.setakit.com/wp-content/uploads/2024/10/fortigate-firewall-migration-240x144.png)