حمله منع سرویس (به انگلیسی: Distributed Denial of Service) (یا به اختصار DDoS) در علم رایانه حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می باشد.اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به طور کلی شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت است. اهداف حمله DOS معمولاً سایت ها یا خدمات میزبانی وب سرور با ویژگی های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. یکی از روش های معمول حمله شامل اشباع ماشین های هدف با درخواست های ارتباط خارجی است به طوری که نمیتواند به ترافیک قانونی پاسخ دهد یا پاسخ ها با سرعت کم داده شوند و یا در دسترس نباشد. چنین حملاتی منجر به سربار زیاد سرور می شوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش می کند، بنابراین نمیتواند به سرویس های مورد نظرش سرویس بدهد و همچنین سیاست های مورد قبول فراهم کنندگان سرویس های اینترنتی را نقض می کنند.
همان طور که خواندید حملات میتوانند به ۲شکل باشند:
-
ترافیک بسیار زیادی برای سرور قربانی فرستاده میشود پهنای باند سرور قربانی پرشده و دیگر کاربری نمیتواند به سرور قربانی وصل شود. (بدون خسارت)
-
تعداد بسیار زیادی پکت برای سرور قربانی فرستاه شد که از توان پردازش سرور بیشتر بوده و به سرور قربانی صدمه وارد شده و از سرویس خارج میشود.
نکته : به طور کلی نمیتوان جلوی حملات DDoS را گرفت (UDP) زیرا در حالتی که ترافیک ارسالی از نوع UDP باشد ترافیک بدون در نظر گرفتن پاسخ سرور ارسال می شود و به عبارتی پکتها به صورت سیل آسا (Flood ) فرستاده
می شوند.
راه حل
ابتدا یک PortScan از IP Public که روی دستگاه میکروتیک شما Set است بگیرید تا مشخص شود کدام پورت های روتر شما باز است ( TCP-UDP )
سپس با یک رول فایروال و با توجه به پروتکل آن پورت را ببندید (Drop) برای مثال پورت ۵۳ که برای درخواست های DNS استفاده میشود میبندیم
/ ip firewall filter add disabled=no chain=input dst-port=53 protocol=tcp action=drop in-interface=Internet1
/ ip firewall filter add disabled=no chain=input dst-port=53 protocol=udp action=drop in-interface=Internet1
/ ip firewall filter add disabled=no chain=input dst-port=53 protocol=tcp action=drop in-interface=Internet1
/ ip firewall filter add disabled=no chain=input dst-port=53 protocol=udp action=drop in-interface=Internet1
لازم به ذکر است در صورتی که از سرویس هایی مانند SSH,Telnet,FTP استفاده نمی کنید این سرویس ها را غیرفعال کنید تا از حملات Brute Force جلوگیری شود.
برای جلوگیری از حملات DDoS به این صورت عمل می کنیم که اگر تعداد معین (قابل تعیین – ۳۲ ) کانکشن از یک IP خاص در زمانی خاص به سمت روتر بیاید را در لیست آیپی ها برای بلاک شدن قرار می دهید و تمام درخواست هایی که از آن آیپی خاص آمده اند Drop میشوند.
/ip firewall filter
add action=jump chain=forward connection-state=new jump-target=DDOS
add action=add-src-to-address-list address-list=DDosers-black-list \
address-list-timeout=0s chain=ddos connection-limit=32,32 in-interface=\
Internet1
add action=accept chain=DDOS src-address-list=DDosers-black-list
add action=return chain=DDOS
/ip firewall raw
add action=notrack chain=prerouting src-address-list=DDosers-black-list
add action=drop chain=prerouting src-address-list=DDosers-black-list
/ip firewall filter
add action=jump chain=forward connection-state=new jump-target=DDOS
add action=add-src-to-address-list address-list=DDosers-black-list \
address-list-timeout=0s chain=ddos connection-limit=32,32 in-interface=\
Internet1
add action=accept chain=DDOS src-address-list=DDosers-black-list
add action=return chain=DDOS
/ip firewall raw
add action=notrack chain=prerouting src-address-list=DDosers-black-list
add action=drop chain=prerouting src-address-list=DDosers-black-list