Cloudflare گزارشی از یک حمله DDOS گسترده منتشر کرد و از چندین مرکز داده میزبانی ابری معروف به عنوان منشاء حمله نام برد. به نظر می رسد این حمله از روند حملاتی پیروی می کند که به طور فزاینده ای از مراکز داده به جای بات نت های مسکونی سنتی انجام می شود.
این حمله به عنوان یکی از بزرگترین حملاتی که تاکنون دیده شده توصیف شده است:
«در اوایل این ماه، سیستمهای Cloudflare به طور خودکار ۱۵.۳ میلیون درخواست در ثانیه (rps) حمله DDoS – یکی از بزرگترین حملات HTTPS DDoS در تاریخ را شناسایی و کاهش دادند.»
DDOS
حمله انکار سرویس توزیع شده (DDoS) زمانی است که هزاران دستگاه متصل به اینترنت درخواستهای صفحه را با سرعتی سریع انجام میدهند، که میتواند منجر به ناتوانی سرور وبسایت در پردازش درخواستهای صفحات وب از آن شود، شرایطی که شناخته شده است. به عنوان انکار خدمات.
حملات DDOS عموماً از آنچه باتنت نامیده میشود انجام میشود.
بات نت
باتنت شبکهای از دستگاههای متصل به اینترنت مانند روترها، دستگاههای اینترنت اشیا، رایانهها، وبسایتها و سرورهای میزبانی وب است که آلوده شده و تحت کنترل هکرها قرار میگیرد.
بات نت های ISP مسکونی به مراکز داده مبتنی بر ابر
گزارش Cloudflare اشاره کرد که حملات DDOS بهطور فزایندهای از مراکز داده مبتنی بر ابر به جای باتنتهای ISP مسکونی انجام میشود. این نشان دهنده تغییر تاکتیک است.
طبق گزارش حمله Cloudflare DDOS:
«آنچه جالب است این است که حمله بیشتر از سوی مراکز داده انجام شده است. ما شاهد یک حرکت بزرگ از ارائه دهندگان خدمات اینترنت شبکه های مسکونی (ISP) به ISP های محاسبات ابری هستیم.”
مراکز داده اصلی ابر
Cloudflare چندین مرکز داده مبتنی بر ابر را بهعنوان منشأ حمله نام برد که دو مورد از آنها در حال حاضر در جامعه ناشر بهعنوان منابع رایج اسپم و بازدیدکنندگان ربات ناخواسته شناخته شدهاند.
طبق دادههای Cloudflare، دو منبع بزرگ این حمله DDOS، OVH و Hetzner بودند.
Cloudflare این جزئیات را ارائه کرد:
«…این حمله از بیش از ۱۳۰۰ شبکه مختلف سرچشمه گرفت. شبکههای برتر شامل ارائهدهنده آلمانی Hetzner Online GmbH (شماره سیستم خودکار ۲۴۹۴۰)، Azteca Comunicaciones کلمبیا (ASN 262186)، OVH در فرانسه (ASN 16276)، و همچنین سایر ارائهدهندههای ابری بود.»
OVH و Hetzner به عنوان منابع هرزنامه
علاوه بر اینکه OVH و Hetzner منشأ حملات DDOS هستند، به عنوان منابع حملات مرتبط با هرزنامه شناخته می شوند.
طبق سرویس حفاظت از هرزنامه SaaS دادههای CleanTalk، رباتهای هرزنامه منشاء OVH شامل ۱۰.۹۷٪ از فعالیت های شناسایی شده از آدرس های IP مرتبط با OVH.
فعالیت هرزنامه ناشی از Hetzner که توسط CleanTalk شناسایی شد، از ۲۱۳۶۲۱ IP آدرسهایی که بهعنوان منبع ترافیک شناسایی شدند، ۱۴۹۹۷ (۷.۰۲%) از آن آدرسهای IP با حملات هرزنامه مرتبط بودند.
در حالی که حملات DDOS و هرزنامه دو چیز متفاوت هستند، این آمار برای نشان دادن نحوه استفاده از هر دو این مراکز داده ابری برای انواع فعالیت های مخرب، نه فقط برای حملات DDOS، ذکر شده است.
یک ناشر در WebmasterWorld Forum اخیراً مشاهده کرد که آنها ترافیک رباتی را از OVH تجربه می کنند که بیشتر از ترافیک انسانی قانونی از ISP های شناخته شده است.
عضو WebmasterWorld در یک پست انجمن نوشت :
“در ۲۴ ماه گذشته، گزارش سرور وب در ۱۲ وب سایتی که من مدیریت می کنم دارای درصد بالایی از ترافیک از مرکز داده OVH هستند.
این ترافیک از طریق چندین آدرس IP اختصاص داده شده به OVH وارد می شود. از آنجایی که حجم ترافیک به طور چشمگیری بزرگتر از ترافیکی است که از ISP های قانونی (ATT، Verizon، Charter، Comcast، Shaw و غیره) وارد می شود، من این تصور را دارم که ترافیک OVH به دلیل ربات ها/خراش دهنده های میزبانی شده در مرکز داده OVH است. سرورهای ابری.”
ترافیک ربات ناخواسته از OVH آنقدر مشکل رایج است که وقتی یک مرکز داده OVH در فرانسه یک عضو WebmasterWorld عملاً این رویداد را با ارسال پست زیر تشویق کرد:
“با توجه به جنبه های مثبت، وب سایت های ما اکنون ترافیک ربات کمتری خواهند داشت.”
شاید سوالی که باید پرسیده شود این است که چرا این همه ترافیک ربات های سرکش از OVH و Hetzner سرچشمه می گیرد؟
این هم چیز جدیدی نیست. شکایات مدیر وبسایت و ناشر در مورد ترافیک ربات از OVH به زمان زیادی برمیگردد.
اینها نمونههایی از بحثها در WebmasterWorld شامل OVH هستند:
- آیا این IP OVH را به درستی مسدود میکنم؟ (۲۰۲۰)
- بازدیدکنندگان OVH – واقعی یا نه؟ (۲۰۱۳)
- Server Farms – اوت ۲۰۱۴
- Server Farms – ژانویه ۲۰۱۸
مباحث بالا بحثهای فروم است که به سال ۲۰۱۳ بازمیگردد، جایی که ناشران و مدیران وبسایتها از ترافیک رباتهای سرکش از OVH شکایت دارند.
در یک بحث انجمن WebmasterWorld از سال ۲۰۱۵ با عنوان منابع Botnet، یکی عضو انجمن ارسال کرد:
“RE: باتنتها، من بیشتر نگران کسانی هستم که روی تبلیغکنندگان من کلیک نادرست میکنند (میزبان، شخص ثالث و AdSense.)
با این حال، مطمئن هستم که تقاطع قابل توجهی برای هر دو دسته وجود دارد، بنابراین مقالات مرتبط Spamhaus خواندن خوبی هستند، با تشکر. تعجب کوچکی است که OVH گروه را رهبری می کند!»
با توجه به سابقه طولانی ترافیک ربات های ناخواسته از سوی OVH و Hetzner، اصلاً تعجب آور نیست که ببینیم Cloudflare اکنون آنها را به عنوان منشاء حمله DDOS ذکر کرده است.
OVH و Hetzner سرچشمه حملات ربات ها و DDOS هستند
خدمات مسدودکننده هرزنامه Saas به خوبی مستند شده است که OVH و Hetzner منابع هرزنامه هستند. اکنون اسنادی از Cloudflare داریم که نشان میدهد سرویسهای میزبانی ابری OVH و Hetzner به عنوان منشأ حملات DDOS عمل میکنند.
Cloudflare این حملات را شناسایی کرد که از یک بات نت بر روی آن میزبان های ابری انجام می شود. بنابراین ممکن است به این معنی باشد که سرورهای مختلف در معرض خطر قرار گرفته اند.
نقل قول
گزارش حمله Cloudflare DDOS را بخوانید
Cloudflare 15 میلیون rps حمله HTTPS DDoS را مسدود میکند