DDoS Attack क्या है? DDoS Attack कैसे काम करता है?

DDoS Attack क्या है? DDoS Attack कैसे काम करता है?

(What is DDoS in Hindi) DDoS का Full form Distributed denial-of-service है। Distributed denial-of-service (DDoS) Attack किसी लक्षित सर्वर, सेवा या नेटवर्क के सामान्य ट्रैफ़िक को बाधित करने का एक दुर्भावनापूर्ण प्रयास है, जो इंटरनेट ट्रैफ़िक की बाढ़ से लक्ष्य या इसके आस-पास के बुनियादी ढांचे को नष्ट या नुकशान कर देता है।

DDoS हमले ट्रैफ़िक के स्रोतों के रूप में कई समझौता किए गए कंप्यूटर सिस्टम का उपयोग करके प्रभावशीलता प्राप्त करते हैं। एक्सप्लॉइट मशीनों में कंप्यूटर और अन्य नेटवर्क संसाधन जैसे IoT डिवाइस शामिल हो सकते हैं ।

DDoS attack राजमार्ग पर चलने वाले अप्रत्याशित ट्रैफिक जाम की तरह है, जो नियमित यातायात को उसके गंतव्य तक पहुंचने से रोकता है।

DDoS Attack कैसे काम करता है?
DDoS हमले इंटरनेट से जुड़ी मशीनों के नेटवर्क के साथ किए जाते हैं।

इन नेटवर्कों में कंप्यूटर और अन्य उपकरण (जैसे IoT डिवाइस) होते हैं , जो मैलवेयर से संक्रमित होते हैं , जिससे उन्हें किसी हमलावर द्वारा दूर से नियंत्रित किया जा सकता है। इन व्यक्तिगत उपकरणों को बॉट्स के रूप में जाना जाता है और बॉट्स के एक समूह को बॉटनेट कहा जाता है ।

एक बार बॉटनेट स्थापित हो जाने के बाद, हमलावर प्रत्येक बॉट को दूरस्थ निर्देश भेजकर हमले को निर्देशित करने में सक्षम होता है।

जब किसी पीड़ित के सर्वर या नेटवर्क को बॉटनेट द्वारा लक्षित किया जाता है, तो प्रत्येक बॉट लक्ष्य के आईपी पते के लिए अनुरोध भेजता है , जिससे संभवतः सर्वर या नेटवर्क अभिभूत हो जाता है, जिसके परिणामस्वरूप सामान्य ट्रैफ़िक को नकार दिया जाता है। प्रत्येक बॉट एक वैध इंटरनेट उपकरण है, इसलिए हमले के ट्रैफ़िक को सामान्य ट्रैफ़िक से अलग करना मुश्किल हो सकता है।

Also Read: Bot क्या है और Bots कैसे काम करते हैं?

DDoS Attack की पहचान कैसे करें?
DDoS हमले का सबसे स्पष्ट लक्षण एक ऐसी साइट या सेवा है जो अचानक धीमी या अनुपलब्ध हो जाती है। लेकिन कई कारणों से ट्रैफ़िक में इस तरह के एक वैध स्पाइक बना सकते हैं आमतौर पर आगे की जांच की आवश्यकता होती है। ट्रैफ़िक एनालिटिक्स टूल आपको DDoS हमले के इन कुछ संकेत संकेतों को दिखाने में मदद कर सकते हैं:

  • एक ही IP address या IP range से उत्पन्न होने वाली संदिग्ध मात्रा में ट्रैफ़िक
  • उन उपयोगकर्ताओं से ट्रैफ़िक की बाढ़, जो एकल व्यवहार प्रोफ़ाइल साझा करते हैं, जैसे डिवाइस प्रकार, जियोलोकेशन, या वेब ब्राउज़र संस्करण
  • किसी एकल पृष्ठ या समापन बिंदु के अनुरोध में एक अस्पष्टीकृत वृद्धि
  • विषम ट्रैफ़िक पैटर्न जैसे कि दिन के विषम समय में स्पाइक्स या ऐसे पैटर्न जो अप्राकृतिक प्रतीत होते हैं 
  • DDoS हमले के अन्य, अधिक विशिष्ट संकेत हैं जो हमले के प्रकार के आधार पर भिन्न हो सकते हैं।

DDoS Attacks के कुछ सामान्य प्रकार क्या हैं?
विभिन्न प्रकार के DDoS हमले नेटवर्क कनेक्शन के अलग-अलग घटकों को लक्षित करते हैं। यह समझने के लिए कि विभिन्न DDoS कैसे काम करते हैं, यह जानना आवश्यक है कि नेटवर्क कनेक्शन कैसे बनाया जाता है।

इंटरनेट पर एक नेटवर्क कनेक्शन कई अलग-अलग घटकों या "परतों" से बना है। जमीन से ऊपर घर बनाने की तरह, मॉडल में प्रत्येक परत का एक अलग उद्देश्य है। OSI मॉडल, 7 अलग परतों में नेटवर्क कनेक्टिविटी का वर्णन किया जाता वैचारिक ढांचे है।

जबकि लगभग सभी DDoS हमलों में ट्रैफ़िक के साथ लक्ष्य डिवाइस या नेटवर्क को ओवरलोड करना शामिल है, हमलों को तीन श्रेणियों में विभाजित किया जा सकता है। एक हमलावर एक या अधिक अलग-अलग हमले वैक्टर का उपयोग कर सकता है या लक्ष्य द्वारा उठाए गए उपायों के जवाब में हमला करने वाले वैक्टर का उपयोग कर सकता है।

Application Layer Attacks (आवेदन परत हमले):
कभी-कभी एक परत 7 DDoS हमले (OSI मॉडल की 7 वीं परत) के रूप में संदर्भित किया जाता है , इन हमलों का लक्ष्य एक इनकार सेवा बनाने के लिए लक्ष्य के संसाधनों को समाप्त करना है।

हमले उस परत को लक्षित करते हैं जहां वेब पेज सर्वर पर उत्पन्न होते हैं और HTTP अनुरोधों के जवाब में वितरित किए जाते हैं। क्लाइंट की ओर से निष्पादित करने के लिए एक एकल HTTP अनुरोध कम्प्यूटेशनल रूप से सस्ता है, लेकिन इसका जवाब देने के लिए लक्ष्य सर्वर के लिए महंगा हो सकता है, क्योंकि सर्वर अक्सर कई फाइलें लोड करता है और वेब पेज बनाने के लिए डेटाबेस क्वेरी चलाता है।

लेयर 7 के हमलों के खिलाफ बचाव करना मुश्किल है, क्योंकि यह वैध यातायात से दुर्भावनापूर्ण ट्रैफ़िक को अलग करना मुश्किल हो सकता है।

HTTP Flood 
यह हमला एक ही बार में कई अलग-अलग कंप्यूटरों पर वेब ब्राउजर में रिफ्रेश दबाने के समान है - बड़ी संख्या में HTTP अनुरोधों से सर्वर में बाढ़ आ जाती है, जिसके परिणामस्वरूप सेवा से इनकार किया जाता है।

इस प्रकार का हमला साधारण से जटिल तक होता है।

सरल कार्यान्वयन एक ही IP पते, रेफ़रर्स और उपयोगकर्ता एजेंटों पर हमला करने की एक ही श्रेणी के साथ एक URL तक पहुँच सकते हैं। जटिल संस्करण बड़ी संख्या में हमलावर IP पते का उपयोग कर सकते हैं और यादृच्छिक रेफरल और उपयोगकर्ता एजेंटों का उपयोग करके यादृच्छिक URL को लक्षित कर सकते हैं।

Protocol Attack (प्रोटोकॉल हमला)
प्रोटोकॉल हमले, सर्वर पर संसाधनों और / या फायरवॉल और लोड बैलेन्सर जैसे नेटवर्क उपकरणों के संसाधनों द्वारा एक सेवा व्यवधान का कारण बनता है । प्रोटोकॉल हमले प्रोटोकॉल स्टैक की परत 3 और परत 4 में कमजोरियों का उपयोग करते हैं।

SYN Flood 
एक SYN फ्लड स्टोर के सामने से अनुरोध प्राप्त करने वाले एक आपूर्ति कमरे में एक कार्यकर्ता के अनुरूप है।

कार्यकर्ता एक अनुरोध और पैकेज प्राप्त करता है, और पैकेज को सामने लाने से पहले पुष्टि की प्रतीक्षा करता है। कार्यकर्ता तब तक बिना पुष्टि के कई और पैकेज अनुरोध प्राप्त कर लेता है जब तक कि वे और अधिक पैकेज नहीं ले सकते, अभिभूत हो जाते हैं, और अनुरोध अनुत्तरित होने लगते हैं।

यह हमला TCP Handshake (टीसीपी हैंडशेक) - संचार के अनुक्रम का उपयोग करता है जिसके द्वारा दो कंप्यूटर एक नेटवर्क कनेक्शन शुरू करते हैं - लक्ष्य को बड़ी संख्या में टीसीपी "इनिशियल कनेक्शन रिक्वेस्ट" SYN पैकेट को स्पूफ किए गए स्रोत आईपी पते के साथ भेजते हैं ।

लक्ष्य मशीन कनेक्शन अनुरोध का जवाब देती है और फिर हैंडशेक में अंतिम चरण की प्रतीक्षा करती है, जो कभी नहीं होता है, प्रक्रिया में लक्ष्य के संसाधनों को समाप्त कर देता है।

Volumetric Attacks (वॉल्यूमेट्रिक हमले)
हमलों की यह श्रेणी लक्ष्य और बड़े इंटरनेट के बीच सभी उपलब्ध बैंडविड्थ का उपभोग करके भीड़ बनाने का प्रयास करती है। बड़ी मात्रा में डेटा को प्रवर्धन के रूप में या बड़े पैमाने पर ट्रैफ़िक बनाने के अन्य साधनों का उपयोग करके एक लक्ष्य पर भेजा जाता है, जैसे कि एक बोटनेट से अनुरोध।

DDoS हमले को कम करने के लिए क्या प्रक्रिया है?
DDoS हमले को कम करने में महत्वपूर्ण चिंता हमले के ट्रैफ़िक और सामान्य ट्रैफ़िक के बीच अंतर करना है।

उदाहरण के लिए, यदि किसी उत्पाद की रिलीज़ के लिए कंपनी की वेबसाइट उत्सुक ग्राहकों के साथ मिलती है, तो सभी ट्रैफ़िक को काट देना एक गलती है। यदि उस कंपनी को ज्ञात हमलावरों से ट्रैफ़िक में अचानक वृद्धि होती है, तो संभवतः हमले को कम करने के प्रयास आवश्यक हैं।

आधुनिक इंटरनेट में, DDoS ट्रैफ़िक कई रूपों में आता है। ट्रैफ़िक गैर-स्पूफ किए गए एकल स्रोत हमलों से जटिल और अनुकूली मल्टी-वेक्टर हमलों के लिए डिज़ाइन में भिन्न हो सकता है।

एक बहु-वेक्टर DDoS हमले विभिन्न तरीकों से किसी लक्ष्य को अभिभूत करने के लिए कई आक्रमण पथों का उपयोग करता है, संभावित रूप से किसी एक प्रक्षेपवक्र पर शमन प्रयासों को विचलित करता है।

एक आक्रमण जो एक ही समय में प्रोटोकॉल स्टैक की कई परतों को लक्षित करता है, जैसे कि एक DNS amplification (लक्ष्य 3/4) एक HTTP flood (लक्ष्य 7 परत ) के साथ मिलकर बहु-वेक्टर DDoS का एक उदाहरण है।

एक बहु-वेक्टर DDoS हमले को कम करने के लिए विभिन्न प्रक्षेपवक्रों का मुकाबला करने के लिए विभिन्न रणनीतियों की आवश्यकता होती है।

सामान्यतया, जितना अधिक जटिल हमला होता है, उतनी ही अधिक संभावना है कि हमले के ट्रैफिक को सामान्य ट्रैफिक से अलग करना मुश्किल होगा - हमलावर का लक्ष्य जितना संभव हो उतना कम मिश्रण करना है, जिससे शमन के प्रयास यथासंभव अक्षम हो जाते हैं।

शमन प्रयास जिसमें ट्रैफिक को अंधाधुंध रूप से गिराना या सीमित करना शामिल है, खराब यातायात को खराब कर सकता है, और हमले को संशोधित भी कर सकता है और काउंटरमेसर को दरकिनार कर सकता है। व्यवधान पर एक जटिल प्रयास को दूर करने के लिए, एक स्तरित समाधान सबसे बड़ा लाभ देगा।

Blackhole Routing (ब्लैकहोल रूटिंग)
वस्तुतः सभी नेटवर्क प्रवेशों के लिए उपलब्ध एक समाधान ब्लैकहोल मार्ग और उस मार्ग में फ़नल ट्रैफ़िक बनाना है । अपने सरलतम रूप में, जब विशिष्ट प्रतिबंध मानदंडों के बिना ब्लैकहोल फ़िल्टरिंग को लागू किया जाता है, दोनों वैध और दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को एक अशक्त मार्ग, या ब्लैकहोल पर रूट किया जाता है, और नेटवर्क से हटा दिया जाता है।

यदि कोई इंटरनेट संपत्ति DDoS हमले का सामना कर रही है, तो संपत्ति का इंटरनेट सेवा प्रदाता (ISP) एक बचाव के रूप में सभी साइट के ट्रैफ़िक को एक ब्लैकहोल में भेज सकता है। यह एक आदर्श समाधान नहीं है, क्योंकि यह प्रभावी रूप से हमलावर को अपना वांछित लक्ष्य देता है और यह नेटवर्क को दुर्गम बनाता है।

Rate Limiting (दर सीमित)
एक सर्वर एक निश्चित समय खिड़की पर स्वीकार करेगा, अनुरोधों की संख्या को सीमित करना भी इनकार करने वाली सेवा के हमलों को कम करने का एक तरीका है।

जबकि रेट लिमिटिंग वेब स्क्रैपर्स को कंटेंट चुराने से रोकने के लिए और ब्रूट फोर्स लॉगइन प्रयासों को कम करने के लिए उपयोगी है , यह अकेले एक जटिल DDoS हमले को प्रभावी ढंग से संभालने के लिए अपर्याप्त होगा।

फिर भी, दर सीमित करना एक प्रभावी DDoS शमन रणनीति में एक उपयोगी घटक है। 

Web Application Firewall (वेब अनुप्रयोग फ़ायरवॉल)
एक वेब अनुप्रयोग फ़ायरवॉल (WAF) एक उपकरण है जो एक परत 7 DDoS हमले को कम करने में सहायता कर सकता है। इंटरनेट और एक मूल सर्वर के बीच एक WAF लगाकर, WAF एक रिवर्स प्रॉक्सी के रूप में कार्य कर सकता है , जो लक्षित सर्वर को कुछ प्रकार के दुर्भावनापूर्ण ट्रैफ़िक से बचाता है।

DDoS टूल की पहचान करने के लिए उपयोग किए जाने वाले नियमों की एक श्रृंखला के आधार पर अनुरोधों को फ़िल्टर करके, लेयर 7 हमलों को लगाया जा सकता है। एक प्रभावी WAF का एक प्रमुख मूल्य एक हमले के जवाब में कस्टम नियमों को जल्दी से लागू करने की क्षमता है। 

Anycast Network Diffusion (एनीकास्ट नेटवर्क प्रसार)
यह शमन दृष्टिकोण वितरित सर्वर के एक नेटवर्क पर उस बिंदु पर ट्रैफ़िक को अवशोषित करने के लिए एक एनास्टैस्ट नेटवर्क का उपयोग करता है जहां ट्रैफ़िक नेटवर्क द्वारा अवशोषित होता है।

जैसे एक छोटी नदी को अलग-अलग छोटे चैनलों में प्रवाहित करना, यह दृष्टिकोण वितरित हमले के यातायात के प्रभाव को उस बिंदु तक फैलाता है जहां यह प्रबंधनीय हो जाता है, किसी भी विघटनकारी क्षमता को फैलाता है।

DDoS Attack को कम करने के लिए एक एनीकट नेटवर्क की विश्वसनीयता हमले के आकार और नेटवर्क के आकार और दक्षता पर निर्भर है।