شبکه | آموزش و مقالات شبکه، وب، سرور و اینترنت

آموزش‌های کلادفلر به‌زودی در این بخش قرار داده می‌شود.

گزارش حملات DDoS کلودفلر سه ماهه دوم ۲۰۲۵، جهش حمله‌های هایپروالومتریک

نوشته شده توسط

سروش احمدی

در

این مقاله نگاهی عمیق و دقیق به دنیای حمله‌های منع سرویس توزیع شده یا همون DDoS میندازه و بر اساس داده‌هایی که از شبکه بزرگ کلودفلر به دست اومده، چشم انداز این تهدیدها رو در سه ماهه دوم سال ۲۰۲۵ تحلیل میکنه. این مطلب، بیست و دومین نسخه از گزارش‌های تهدید DDoS کلودفلر هست که هر فصل منتشر میشه و اطلاعات جامعی رو در اختیار همه قرار میده. اگه دوست داشتین گزارش‌های قبلی رو هم ببینین، میتونین به سایت www.ddosreport.com سر بزنین. نویسنده‌های این گزارش «عمر یواخیمیک» و «خورخه پاچکو» هستن.

قبل از اینکه وارد جزئیات فنی و اعداد و ارقام بشیم، لازمه به یک نکته مهم اشاره کنیم. ماه ژوئن شلوغ‌ترین ماه از نظر حمله‌های DDoS در سه ماهه دوم سال ۲۰۲۵ بود. این ماه به تنهایی تقریبا ۳۸ درصد از کل فعالیت‌های ثبت شده رو به خودش اختصاص داد. یکی از موارد قابل توجه در این ماه، حمله به یک خبرگزاری مستقل در اروپای شرقی بود که تحت حفاظت کلودفلر قرار داشت. این خبرگزاری گزارش داد که بعد از پوشش خبری یک راهپیمایی پراید محلی در ماه افتخار دگرباشان جنسی (LGBTQ Pride Month)، هدف حمله قرار گرفته. این اتفاق نشون میده که چطور رویدادهای اجتماعی و فرهنگی میتونن بهانه‌ای برای حمله‌های سایبری بشن.

نگاهی کلی به یافته‌های کلیدی در مورد حمله‌های DDoS

حمله‌های DDoS همچنان در حال شکستن رکوردهای قبلی خودشون هستن. این یک روند نگران کننده است که نشون میده حمله کننده‌ها هر روز قوی‌تر و مجهزتر میشن. در سه ماهه دوم سال ۲۰۲۵، کلودفلر به صورت خودکار بزرگترین حمله‌های DDoS گزارش شده در تاریخ رو مسدود کرد. یکی از این حمله‌ها به اوج ۷.۳ ترابیت بر ثانیه (Tbps) و دیگری به ۴.۸ میلیارد بسته بر ثانیه (Bpps) رسید. برای اینکه درک بهتری از این اعداد داشته باشین، تصور کنین که یک حمله با قدرت ۷.۳ ترابیت بر ثانیه، مثل اینه که هزاران فیلم با کیفیت بالا رو در یک لحظه به سمت یک سرور سرازیر کنین. این حجم از ترافیک میتونه هر زیرساخت اینترنتی محافظت نشده‌ای رو در چند ثانیه از کار بندازه.

در همین دوره، حمله‌های DDoS هایپروالومتریک، یعنی حمله‌هایی با حجم فوق العاده زیاد، به شدت افزایش پیدا کردن. کلودفلر در این سه ماه، بیشتر از ۶۵۰۰ حمله هایپروالومتریک رو مسدود کرد. این یعنی به طور متوسط روزی ۷۱ حمله با این حجم عظیم اتفاق افتاده. این حمله‌ها دیگه یک اتفاق نادر و استثنایی نیستن، بلکه به یک تهدید روزمره و دائمی برای کسب و کارهای آنلاین تبدیل شدن.

یک نکته جالب دیگه اینه که با وجود اینکه تعداد کل حمله‌های DDoS نسبت به سه ماهه اول سال کاهش پیدا کرده، اما این کاهش به یک دلیل خاص بوده. در سه ماهه اول، یک کمپین حمله گسترده و طولانی علیه شبکه خود کلودفلر و زیرساخت‌های حیاتی اینترنت که توسط این شرکت محافظت میشدن، اتفاق افتاد که آمار رو به شدت بالا برده بود. اگه اون کمپین خاص رو در نظر نگیریم، تعداد حمله‌ها در سه ماهه دوم سال ۲۰۲۵، هنوز هم ۴۴ درصد بیشتر از مدت مشابه در سال ۲۰۲۴ بوده. این یعنی روند کلی همچنان صعودیه. زیرساخت‌های حیاتی هم همچنان تحت فشار شدید قرار دارن. در این سه ماه، بخش «مخابرات، ارائه دهندگان خدمات و اپراتورها» دوباره به صدر جدول صنایعی که بیشترین حمله رو تجربه کردن، برگشت.

نکته مهم اینه که تمام حمله‌هایی که در این گزارش بهشون اشاره میشه، به صورت کاملا خودکار توسط سیستم‌های دفاعی مستقل کلودفلر شناسایی و مسدود شدن. این یعنی نیازی به دخالت انسان برای مقابله با این تهدیدها نبوده و سیستم‌ها به تنهایی تونستن از پس این حجم از حمله‌ها بربیان.

برای اینکه بیشتر در مورد حمله‌های DDoS و بقیه تهدیدهای سایبری یاد بگیرین، میتونین به بخش آموزشی سایت کلودفلر (Learning Center) مراجعه کنین. همچنین برای دیدن نسخه تعاملی این گزارش که میتونین جزئیات بیشتری رو در اون ببینین، به سایت «کلودفلر رادار» (Cloudflare Radar) سر بزنین. اونجا یک API رایگان هم برای کسایی که علاقه دارن روندهای اینترنتی رو بررسی کنن، وجود داره. متدولوژی و روش‌هایی که برای تهیه این گزارش‌ها استفاده شده هم در بخش توسعه دهندگان کلودفلر توضیح داده شده.

آمار و ارقام حمله‌های DDoS به زبان ساده

در سه ماهه دوم سال ۲۰۲۵، کلودفلر موفق شد ۷.۳ میلیون حمله DDoS رو خنثی کنه. این عدد در مقایسه با ۲۰.۵ میلیون حمله در سه ماهه اول، کاهش قابل توجهی رو نشون میده. اما دلیل این کاهش بزرگ، یک کمپین ۱۸ روزه در سه ماهه اول بود که به تنهایی ۱۳.۵ میلیون حمله رو علیه زیرساخت‌های خود کلودفلر و مشتریانش ایجاد کرده بود. اگه اون اتفاق خاص رو فاکتور بگیریم، روند حمله‌ها همچنان بالاست.

جالبه بدونین که ما تازه از نیمه سال ۲۰۲۵ عبور کردیم و تا همینجا، کلودفلر ۲۷.۸ میلیون حمله DDoS رو مسدود کرده. این عدد به تنهایی معادل ۱۳۰ درصد کل حمله‌هایی هست که این شرکت در تمام سال ۲۰۲۴ مسدود کرده بود. این مقایسه به خوبی نشون میده که سال ۲۰۲۵ از نظر حجم و تعداد حمله‌های سایبری، سالی بی سابقه بوده و رشد چشمگیری در فعالیت‌های مخرب دیده میشه. این یعنی حمله کننده‌ها به شدت فعال شدن و هر روز روش‌های جدیدی رو برای از کار انداختن سرویس‌های آنلاین امتحان میکنن.

اگه بخوایم آمار رو کمی دقیق‌تر بررسی کنیم، میبینیم که حمله‌های DDoS در لایه ۳ و ۴ شبکه (L3/4)، که بیشتر شامل حمله‌های حجمی و پروتکلی میشن، نسبت به سه ماهه قبل ۸۱ درصد کاهش داشتن و به ۳.۲ میلیون حمله رسیدن. اما در مقابل، حمله‌های HTTP DDoS، که لایه اپلیکیشن رو هدف میگیرن، ۹ درصد افزایش پیدا کردن و به ۴.۱ میلیون حمله رسیدن. این نشون میده که تمرکز حمله کننده‌ها کمی از حمله‌های حجمی صرف به سمت حمله‌های پیچیده‌تر در لایه اپلیکیشن تغییر کرده.

با این حال، وقتی این آمار رو با سال قبل مقایسه میکنیم، همچنان اعداد بسیار بالا هستن. تعداد کل حمله‌ها ۴۴ درصد بیشتر از سه ماهه دوم سال ۲۰۲۴ بوده و حمله‌های HTTP DDoS با یک رشد خیره کننده ۱۲۹ درصدی نسبت به سال قبل مواجه شدن. این یعنی کسب و کارها باید برای هر دو نوع حمله، هم حجمی و هم اپلیکیشن، آماده باشن.

حمله‌های DDoS هایپروالومتریک: تهدیدی که هر روز بزرگتر میشه

همونطور که قبلا اشاره شد، در سه ماهه دوم سال ۲۰۲۵، کلودفلر بیشتر از ۶۵۰۰ حمله هایپروالومتریک رو مسدود کرد. این یعنی به طور متوسط هر روز ۷۱ حمله فوق العاده سنگین. حمله‌های هایپروالومتریک به حمله‌هایی گفته میشه که در لایه ۳ و ۴ شبکه از مرز ۱ میلیارد بسته بر ثانیه (Bpps) یا ۱ ترابیت بر ثانیه (Tbps) عبور کنن، و یا در لایه HTTP از مرز ۱ میلیون درخواست بر ثانیه (Mrps) فراتر برن.

اگه بخوایم این آمار رو دقیق‌تر بشکافیم، میبینیم که:

  • تعداد حمله‌های هایپروالومتریکی که از ۱۰۰ میلیون بسته بر ثانیه (pps) فراتر رفتن، نسبت به سه ماهه قبل ۵۹۲ درصد افزایش داشته. این یک جهش فوق العاده بزرگ و نگران کننده است.
  • تعداد حمله‌هایی که از ۱ میلیارد بسته بر ثانیه و ۱ ترابیت بر ثانیه عبور کردن، نسبت به سه ماهه قبل دو برابر شده.
  • تعداد حمله‌های HTTP DDoS که از ۱ میلیون درخواست بر ثانیه (rps) فراتر رفتن، تقریبا ثابت مونده و در مجموع حدود ۲۰ میلیون حمله بوده. این یعنی به طور متوسط هر روز تقریبا ۲۲۰ هزار حمله HTTP با این شدت اتفاق افتاده.

این آمار نشون میده که نه تنها تعداد حمله‌ها بالاست، بلکه شدت و قدرت اون‌ها هم به شکل بی سابقه‌ای در حال افزایشه. حمله کننده‌ها دارن از ابزارهای قدرتمندتری استفاده میکنن تا بتونن آسیب بیشتری به هدف‌هاشون بزنن.

چه کسانی پشت این حمله‌ها هستن؟

یکی از سوال‌های همیشگی اینه که چه افرادی یا گروه‌هایی این حمله‌های DDoS رو انجام میدن. وقتی از مشتریانی که مورد حمله قرار گرفته بودن سوال شد، اکثریت اون‌ها (۷۱ درصد) گفتن که نمیدونن چه کسی به اون‌ها حمله کرده. این موضوع کاملا طبیعیه، چون حمله کننده‌ها معمولا از روش‌هایی مثل جعل IP و استفاده از شبکه‌های بات‌نت برای پنهان کردن هویت خودشون استفاده میکنن.

اما در بین اون ۲۹ درصدی که ادعا میکردن هویت حمله کننده رو شناسایی کردن، آمار جالبی به دست اومد:

  • ۶۳ درصد از اون‌ها انگشت اتهام رو به سمت رقبای تجاری خودشون نشونه گرفتن. این الگو به خصوص در صنایع رقابتی مثل بازی‌های آنلاین (Gaming)، قمار (Gambling) و ارزهای دیجیتال (Crypto) خیلی شایع بود. در این صنایع، از کار انداختن سایت رقیب میتونه به معنی سود مستقیم برای حمله کننده باشه.
  • ۲۱ درصد معتقد بودن که حمله از طرف عوامل دولتی یا تحت حمایت دولت‌ها انجام شده. این نوع حمله‌ها معمولا اهداف سیاسی دارن و خبرگزاری‌ها، فعالان مدنی یا سازمان‌های دولتی کشورهای دیگه رو هدف میگیرن.
  • ۵ درصد هم گفتن که به طور ناخواسته به خودشون حمله کردن (که بهش میگن self-DDoS). این اتفاق معمولا به خاطر تنظیمات اشتباه در شبکه یا تست‌های امنیتی کنترل نشده رخ میده.
  • ۵ درصد دیگه هم توسط اخاذی کننده‌ها هدف قرار گرفته بودن.
  • و در نهایت، ۵ درصد هم گفتن که حمله از طرف مشتری‌ها یا کاربران ناراضی انجام شده.

این آمار نشون میده که انگیزه‌های پشت حمله‌های DDoS میتونه خیلی متنوع باشه، از رقابت تجاری گرفته تا اهداف سیاسی و حتی انتقام جویی شخصی.

حمله‌های DDoS برای اخاذی (Ransom DDoS)

حمله‌های DDoS برای اخاذی یا همون Ransom DDoS، نوعی از حمله است که در اون حمله کننده قبل یا حین حمله، با قربانی تماس میگیره و در ازای دریافت پول (معمولا به شکل ارز دیجیتال)، قول میده که حمله رو متوقف کنه یا اصلا شروع نکنه.

در سه ماهه دوم سال ۲۰۲۵، درصد مشتریان کلودفلر که گزارش دادن توسط این نوع حمله‌ها هدف قرار گرفتن یا تهدید شدن، نسبت به سه ماهه قبل ۶۸ درصد افزایش پیدا کرد. این عدد نسبت به مدت مشابه در سال ۲۰۲۴ هم ۶ درصد رشد داشته. این یعنی باج‌گیرهای سایبری دوباره فعال شدن و این روش رو به عنوان یک راه کسب درآمد انتخاب کردن.

اگه بخوایم این موضوع رو ماه به ماه بررسی کنیم، میبینیم که حمله‌های Ransom DDoS در ماه ژوئن ۲۰۲۵ به اوج خودشون رسیدن. در این ماه، حدود یک سوم از پاسخ دهنده‌ها گزارش دادن که با تهدید یا حمله برای اخاذی مواجه شدن. این افزایش ناگهانی میتونه نشون دهنده فعالیت یک یا چند گروه باج‌گیر جدید در این ماه باشه.

موقعیت‌های جغرافیایی که بیشترین حمله را دریافت کردند

در این بخش، ۱۰ موقعیت جغرافیایی که بیشترین حمله DDoS رو تجربه کردن، رتبه بندی شدن. این رتبه بندی در سه ماهه دوم سال ۲۰۲۵ تغییرات قابل توجهی داشته.

لیست ۱۰ کشور برتر به این صورته:

  1. چین: با دو پله صعود، دوباره به جایگاه اول برگشت.
  2. برزیل: با چهار پله صعود، به رتبه دوم رسید.
  3. آلمان: با دو پله سقوط، در جایگاه سوم قرار گرفت.
  4. هند: با یک پله صعود، به رتبه چهارم رسید.
  5. کره جنوبی: با چهار پله صعود، در جایگاه پنجم قرار گرفت.
  6. ترکیه: با چهار پله سقوط، به رتبه ششم رفت.
  7. هنگ کنگ: با سه پله سقوط، در جایگاه هفتم قرار گرفت.
  8. ویتنام: با یک جهش خیره کننده پانزده پله‌ای، به رتبه هشتم رسید.
  9. روسیه: با یک جهش فوق العاده چهل پله‌ای، به رتبه نهم رسید.
  10. آذربایجان: با یک صعود سی و یک پله‌ای، لیست ده کشور برتر رو تکمیل کرد.

یک نکته بسیار بسیار مهم در مورد این آمار وجود داره که باید بهش توجه کنین: این موقعیت‌های جغرافیایی بر اساس کشوری که صورتحساب مشتری کلودفلر در اون صادر میشه تعیین شدن، نه اینکه خود اون کشورها مستقیما مورد حمله قرار گرفته باشن. به عبارت ساده‌تر، رتبه بالای یک کشور در این لیست به این معنیه که مشتریان بیشتری از کلودفلر که در اون کشور ثبت نام کردن، هدف حمله ترافیک DDoS قرار گرفتن. این آمار به هیچ وجه به معنی هدف گیری ژئوپلیتیکی مستقیم اون کشورها نیست.

صنایعی که بیشترین حمله را تجربه کردند

رتبه بندی صنایعی که بیشترین حمله DDoS رو در سه ماهه دوم سال ۲۰۲۵ تجربه کردن هم تغییرات جالبی داشته. این آمار نشون میده که حمله کننده‌ها تمرکزشون رو روی چه بخش‌هایی گذاشتن.

لیست ۱۰ صنعت برتر به این صورته:

  1. مخابرات، ارائه دهندگان خدمات و اپراتورها: با یک پله صعود، به جایگاه اول رسید. این صنعت به خاطر نقش حیاتی که در زیرساخت اینترنت داره، همیشه یک هدف جذاب برای حمله کننده‌هاست.
  2. اینترنت: با دو پله صعود، به رتبه دوم رسید. این دسته شامل شرکت‌های ارائه دهنده خدمات وب، پلتفرم‌های آنلاین و… میشه.
  3. فناوری اطلاعات و خدمات: جایگاه خودش رو به عنوان سومین صنعت پرحمله حفظ کرد.
  4. بازی‌های آنلاین (Gaming): با یک پله صعود، به رتبه چهارم رسید. این صنعت به خاطر رقابت شدید و تاثیر مستقیم قطعی سرویس بر درآمد، همیشه هدف حمله‌هاست.
  5. قمار و کازینو (Gambling & Casinos): با چهار پله سقوط، به رتبه پنجم رفت.
  6. بانکداری و خدمات مالی: جایگاه خودش رو در رتبه ششم حفظ کرد.
  7. خرده فروشی (Retail): با یک پله صعود، به رتبه هفتم رسید.
  8. کشاورزی (Agriculture): با یک جهش فوق العاده ۳۸ پله‌ای، به رتبه هشتم رسید. این یک تغییر بسیار عجیب و قابل توجهه که نشون میده دیجیتالی شدن این صنعت، اون رو به یک هدف جدید برای حمله کننده‌ها تبدیل کرده.
  9. نرم افزارهای کامپیوتری: با دو پله صعود، به رتبه نهم رسید.
  10. دولت: با دو پله صعود، لیست ده صنعت پرحمله رو تکمیل کرد.

منابع اصلی حمله‌های DDoS

در این بخش، ۱۰ کشوری که بیشترین حجم ترافیک حمله DDoS از اون‌ها سرچشمه گرفته، رتبه بندی شدن. این رتبه بندی هم نسبت به سه ماهه قبل تغییراتی داشته.

لیست ۱۰ کشور برتر به این صورته:

  1. اندونزی: با یک پله صعود، به جایگاه اول رسید.
  2. سنگاپور: با دو پله صعود، به رتبه دوم رسید.
  3. هنگ کنگ: با دو پله سقوط، در جایگاه سوم قرار گرفت.
  4. آرژانتین: با یک پله سقوط، به عنوان چهارمین منبع بزرگ حمله‌ها شناخته شد.
  5. اوکراین: جایگاه خودش رو به عنوان پنجمین منبع بزرگ حمله‌های DDoS حفظ کرد.
  6. روسیه: با شش پله صعود، به عنوان ششمین منبع بزرگ معرفی شد.
  7. اکوادور: با هفت پله صعود، در رتبه بعدی قرار گرفت.
  8. ویتنام: با یک پله صعود، به عنوان هشتمین منبع بزرگ شناخته شد.
  9. هلند: با چهار پله صعود، به عنوان نهمین منبع بزرگ معرفی شد.
  10. تایلند: با سه پله سقوط، به عنوان دهمین منبع بزرگ حمله‌های DDoS شناخته شد.

باز هم یک نکته بسیار مهم در مورد این آمار وجود داره: این رتبه بندی «منبع» حمله، به معنی محل واقعی حمله کننده‌ها نیست. این کشورها جایی هستن که نودهای بات‌نت، پراکسی‌ها یا نقاط پایانی VPN در اون‌ها قرار دارن. در حمله‌های لایه ۳ و ۴ که جعل IP (IP spoofing) خیلی رایجه، کلودفلر موقعیت جغرافیایی هر بسته رو بر اساس دیتاسنتری که اولین بار اون رو دریافت و مسدود کرده، ثبت میکنه. به خاطر حضور کلودفلر در بیشتر از ۳۳۰ شهر جهان، این موقعیت یابی دقت بسیار بالایی داره.

شبکه‌های منبع اصلی حمله‌های DDoS

یک ASN یا «شماره سیستم خودگردان» (Autonomous System Number)، یک شناسه منحصر به فرده که به یک شبکه یا گروهی از شبکه‌های IP که تحت یک سیاست مسیریابی واحد در اینترنت کار میکنن، اختصاص داده میشه. از این شماره برای تبادل اطلاعات مسیریابی بین سیستم‌ها با استفاده از پروتکل‌هایی مثل BGP استفاده میشه. به زبان ساده‌تر، هر شرکت بزرگ ارائه دهنده اینترنت یا خدمات هاستینگ، یک یا چند ASN مخصوص به خودش رو داره.

برای اولین بار در حدود یک سال گذشته، شبکه آلمانی Hetzner (AS24940) از جایگاه اول به عنوان بزرگترین منبع حمله‌های HTTP DDoS به جایگاه سوم سقوط کرد. به جای اون، یک شرکت آلمانی دیگه به اسم Drei-K-Tech-GmbH (AS200373) که با نام 3xK Tech هم شناخته میشه، با ۶ پله صعود به جایگاه اول بزرگترین منبع حمله‌های HTTP DDoS رسید. شرکت آمریکایی DigitalOcean (AS14061) هم با یک پله صعود به جایگاه دوم رسید.

یک نگاه به لیست ۱۰ شبکه برتر (ASN) که منبع حمله‌های HTTP بودن، نکته جالبی رو نشون میده: ۹ تا از ۱۰ شبکه برتر، خدمات ماشین مجازی (VM)، هاستینگ یا خدمات ابری ارائه میدن. این موضوع به وضوح نشون دهنده استفاده رایج از بات‌نت‌های مبتنی بر ماشین مجازی هست. این نوع بات‌نت‌ها، که از سرورهای مجازی قدرتمند در دیتاسنترها تشکیل شدن، تخمین زده میشه که ۵۰۰۰ برابر قوی‌تر از بات‌نت‌های مبتنی بر دستگاه‌های اینترنت اشیا (IoT) مثل دوربین‌های مداربسته یا روترهای خانگی باشن. تنها شبکه‌ای که در این لیست عمدتا یک شرکت مخابراتی/ISP هست و خدمات VM عمومی گسترده‌ای ارائه نمیده، شبکه ChinaNet Backbone (AS4134) هست.

برای کمک به شرکت‌های هاستینگ، ارائه دهندگان خدمات ابری و هر ارائه دهنده خدمات اینترنتی دیگه برای شناسایی و از کار انداختن حساب‌های کاربری سوءاستفاده‌گری که این حمله‌ها رو انجام میدن، کلودفلر از موقعیت منحصر به فرد خودش استفاده میکنه و یک فید رایگان تهدید بات‌نت DDoS برای ارائه دهندگان خدمات ارائه میده. تا الان بیشتر از ۶۰۰ سازمان در سراسر جهان برای این فید ثبت نام کردن و همکاری‌های خوبی در جامعه اینترنتی برای از کار انداختن نودهای بات‌نت شکل گرفته. این فید به ارائه دهندگان خدمات، لیستی از آدرس‌های IP متخلف در داخل ASN خودشون رو که در حال انجام حمله‌های HTTP DDoS هستن، میده. این سرویس کاملا رایگانه و فقط کافیه یک حساب کاربری رایگان در کلودفلر باز کنین، ASN خودتون رو از طریق PeeringDB تایید کنین و بعد اطلاعات تهدید رو از طریق API دریافت کنین.

با یک فراخوانی ساده API، ارائه دهندگان خدمات میتونن لیستی از IPهای متخلف در شبکه خودشون رو بگیرن. نمونه پاسخ API به این شکله:

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "2024-05-05T00:00:00Z",
      "offense_count": 10000
    },
    // ... ورودی‌های دیگر ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}

این پاسخ به مدیر شبکه میگه که کدوم IP در چه تاریخی چه تعداد درخواست مخرب ارسال کرده تا بتونه حساب کاربری مربوطه رو مسدود کنه.

بردارهای حمله (Attack Vectors)

دفاع در برابر بات‌نت‌های DDoS

در سه ماهه دوم سال ۲۰۲۵، اکثریت حمله‌های HTTP DDoS (یعنی ۷۱ درصد) توسط بات‌نت‌های شناخته شده انجام شدن. شناسایی و مسدودسازی سریع این حمله‌ها به خاطر داشتن یک شبکه عظیم و مشاهده انواع مختلفی از حمله‌ها و بات‌نت‌ها امکان پذیر شده. با استفاده از هوش تهدید در لحظه (real-time threat intelligence)، سیستم‌های کلودفلر میتونن خیلی سریع بات‌نت‌های DDoS رو مجرم تشخیص بدن و این به خنثی سازی موثرتر کمک میکنه. حتی اگه یک بات‌نت DDoS فقط در حین حمله به یک وبسایت یا آدرس IP شناسایی بشه، کل شبکه و پایگاه مشتریان کلودفلر فورا در برابر اون محافظت میشن. این سیستم هوش تهدید در لحظه، خودش رو با بات‌نت‌ها تطبیق میده، حتی وقتی که اون‌ها نودهاشون رو تغییر میدن.

بردارهای حمله لایه ۳ و ۴ (L3/4)

در سه ماهه دوم سال ۲۰۲۵، حمله‌های DNS flood بردار اصلی حمله در لایه ۳ و ۴ بودن و تقریبا یک سوم کل حمله‌های L3/4 رو تشکیل میدادن. حمله‌های SYN flood با کاهش از ۳۱ درصد در سه ماهه اول به ۲۷ درصد در سه ماهه دوم، دومین بردار حمله رایج بودن.

در جایگاه سوم، حمله‌های UDP flood هم رشد قابل توجهی داشتن و از ۹ درصد در سه ماهه اول به ۱۳ درصد در سه ماهه دوم رسیدن. حمله‌های RST flood، که نوع دیگه‌ای از حمله‌های مبتنی بر TCP هستن، با تشکیل ۵ درصد از کل حمله‌های L3/4، چهارمین بردار حمله رایج بودن. در نهایت، حمله‌های SSDP flood با وجود کاهش از ۴.۳ درصد در سه ماهه قبل، با ۳ درصد در جایگاه پنجم قرار گرفتن و باعث شدن حمله‌های قبلا رایج Mirai (که از ۱۸ درصد در سه ماهه اول به فقط ۲ درصد در سه ماهه دوم سقوط کردن) به کلی از لیست پنج بردار برتر خارج بشن.

جزئیات سه بردار حمله برتر L3/4 DDoS

در ادامه، جزئیات بیشتری در مورد سه حمله رایج L3/4 DDoS ارائه میشه. همچنین توصیه‌هایی برای سازمان‌ها وجود داره تا از تبدیل شدن به یک عنصر بازتاب و تقویت کننده حمله جلوگیری کنن و همچنین توصیه‌هایی برای دفاع در برابر این حمله‌ها بدون آسیب رسوندن به ترافیک قانونی. مشتریان کلودفلر در برابر این حمله‌ها محافظت میشن.

حمله DNS Flood
  • نوع: سیل (Flood)
  • چطور کار میکنه: هدف یک حمله DNS flood اینه که یک سرور DNS رو با حجم بالایی از کوئری‌های DNS (چه معتبر، چه تصادفی یا ناقص) غرق کنه تا CPU، حافظه یا پهنای باند اون رو به اتمام برسونه. برخلاف حمله‌های تقویتی، این یک سیل مستقیمه که هدفش کاهش عملکرد یا ایجاد قطعی سرویسه. این حمله‌ها اغلب روی پورت UDP 53 انجام میشن، اما گاهی اوقات روی TCP هم اتفاق میفتن (به خصوص برای مناطق DNS-over-TCP یا DNSSEC).
  • چطور در برابرش دفاع کنیم: از سرویس Cloudflare DNS به عنوان سرور اصلی یا ثانویه، Cloudflare DNS Firewall و یا Cloudflare Magic Transit استفاده کنین تا سیل کوئری‌ها رو قبل از رسیدن به سرور اصلی شما جذب و خنثی کنن. شبکه جهانی کلودفلر در هر ثانیه ده‌ها میلیون کوئری DNS رو با فیلترینگ داخلی DDoS و کش کردن کوئری‌ها مدیریت میکنه و ترافیک ناقص یا بیش از حد رو مسدود میکنه در حالی که به درخواست‌های قانونی پاسخ میده.
  • چطور از آسیب ناخواسته جلوگیری کنیم: از مسدود کردن تمام ترافیک DNS یا غیرفعال کردن پورت UDP 53 خودداری کنین، چون این کار باعث مختل شدن عملکرد عادی DNS میشه. به حفاظت تخصصی DNS کلودفلر مثل سیستم Advanced DNS Protection تکیه کنین و از حفاظت آگاه به DNSSEC برای مدیریت امن حمله‌های کوئری مبتنی بر TCP استفاده کنین.
حمله SYN Flood
  • نوع: سیل (Flood)
  • چطور کار میکنه: در یک حمله SYN flood، حمله کننده‌ها حجم زیادی از بسته‌های TCP SYN (اغلب با آدرس‌های IP جعلی) ارسال میکنن تا اتصالاتی رو شروع کنن که هرگز تکمیل نمیشن. این کار باعث میشه سیستم هدف با اتصالات نیمه باز باقی بمونه، حافظه و منابع ردیابی اتصال رو مصرف کنه و به طور بالقوه محدودیت‌های سرور رو پر کنه و از اتصال مشتریان واقعی جلوگیری کنه.
  • چطور در برابرش دفاع کنیم: از Cloudflare Magic Transit برای رهگیری و خنثی سازی حمله‌های TCP SYN flood در لبه شبکه استفاده کنین. کلودفلر از تکنیک‌هایی مثل SYN cookies، ردیابی اتصال و تحلیل رفتاری برای تشخیص مشتریان واقعی از منابع جعلی یا مخرب استفاده میکنه و اطمینان میده که اتصالات TCP قانونی با موفقیت تکمیل میشن. استفاده از سرویس‌های CDN/WAF کلودفلر یا Cloudflare Spectrum که هر دو سرویس‌های پراکسی معکوس برای HTTP یا TCP هستن، اساسا تاثیر احتمالی حمله‌های DDoS مبتنی بر TCP رو از بین میبره.
  • چطور از آسیب ناخواسته جلوگیری کنیم: مسدود کردن تمام ترافیک SYN یا اعمال تایم اوت‌های تهاجمی میتونه کاربران واقعی رو مسدود کنه. به جای اون، به سیستم Advanced TCP protection کلودفلر تکیه کنین که از شکل دهی نرخ SYN، تشخیص ناهنجاری و فیلترینگ بسته‌های جعلی برای خنثی سازی حمله‌ها بدون تاثیر بر اتصالات مشتریان واقعی استفاده میکنه.
حمله UDP DDoS
  • نوع: سیل (Flood)
  • چطور کار میکنه: حجم بالایی از بسته‌های UDP به پورت‌های تصادفی یا مشخصی در آدرس (های) IP هدف ارسال میشه. این حمله ممکنه تلاش کنه لینک اینترنت رو اشباع کنه یا دستگاه‌های میانی شبکه رو با بسته‌هایی بیشتر از ظرفیتشون غرق کنه تا اختلال یا قطعی ایجاد کنه.
  • چطور در برابرش دفاع کنیم: از یک سرویس حفاظت DDoS حجمی مبتنی بر ابر استفاده کنین که بتونه ترافیک حمله رو در لحظه انگشت نگاری کنه، مثل Cloudflare Magic Transit یا Cloudflare Spectrum. روی ترافیک UDP محدودیت نرخ هوشمند اعمال کنین و ترافیک UDP ناخواسته رو به کلی با Magic Firewall حذف کنین.
  • چطور از آسیب ناخواسته جلوگیری کنیم: فیلترینگ تهاجمی ممکنه سرویس‌های قانونی UDP مثل VoIP، ویدئو کنفرانس یا بازی‌های آنلاین رو مختل کنه. آستانه‌ها رو با دقت اعمال کنین.

تهدیدهای نوظهور

در میان تهدیدهای نوظهور L3/4 DDoS در سه ماهه دوم سال ۲۰۲۵، حمله Teeworlds flood بیشترین جهش رو داشته. این حمله‌ها نسبت به سه ماهه قبل ۳۸۵ درصد افزایش پیدا کردن. به دنبال اون، حمله RIPv1 flood با ۲۹۶ درصد افزایش در رتبه دوم قرار گرفت. حمله‌های RDP flood با ۱۷۳ درصد و حمله‌های Demon Bot flood با ۱۴۹ درصد افزایش در رتبه‌های بعدی قرار گرفتن. حتی حمله قدیمی VxWorks flood هم با ۷۱ درصد افزایش نسبت به سه ماهه قبل، دوباره به صحنه برگشته. این افزایش‌های چشمگیر نشون میده که حمله کننده‌ها به طور مداوم در حال آزمایش پروتکل‌های کمتر شناخته شده و قدیمی برای فرار از دفاع‌های استاندارد هستن.

جزئیات تهدیدهای نوظهور برتر

در ادامه، جزئیات بیشتری در مورد تهدیدهای نوظهور برای سه ماهه دوم سال ۲۰۲۵ ارائه میشه که بیشتر بازیافت بردارهای حمله بسیار قدیمی هستن. مشتریان کلودفلر در برابر این حمله‌ها محافظت میشن.

حمله Teeworlds DDoS
  • نوع: سیل (Flood)
  • چطور کار میکنه: Teeworlds یک بازی شوتر دو بعدی چند نفره و متن بازه که از یک پروتکل سفارشی مبتنی بر UDP برای گیم پلی در لحظه استفاده میکنه. حمله کننده‌ها سرور بازی هدف رو با بسته‌های UDP جعلی یا بیش از حد که شبیه به اقدامات درون بازی یا تلاش برای اتصال هستن، غرق میکنن. این کار میتونه منابع سرور رو تحت فشار قرار بده و باعث لگ یا قطعی بشه.
  • چطور در برابرش دفاع کنیم: از Cloudflare Spectrum یا Cloudflare Magic Transit برای محافظت از سرورها استفاده کنین. کلودفلر به طور خودکار این نوع حمله‌ها رو با استفاده از انگشت نگاری در لحظه شناسایی و خنثی میکنه و ترافیک حمله رو مسدود میکنه در حالی که به بازیکنان واقعی اجازه عبور میده. Magic Transit همچنین قابلیت فایروال در سطح بسته به نام Magic Firewall رو ارائه میده که میتونه برای ایجاد حفاظت سفارشی استفاده بشه.
  • چطور از آسیب ناخواسته جلوگیری کنیم: هنگام ایجاد قوانین سفارشی، از مسدود کردن یا محدود کردن تهاجمی نرخ پورت UDP 8303 به طور مستقیم خودداری کنین، چون میتونه گیم پلی کلی رو مختل کنه. به جای اون، به سرویس‌های تشخیص و خنثی سازی هوشمند برای جلوگیری از تاثیر بر کاربران قانونی تکیه کنین.
حمله RIPv1 DDoS
  • نوع: بازتابی + تقویتی (کم)
  • چطور کار میکنه: از پروتکل اطلاعات مسیریابی نسخه ۱ (RIPv1) سوءاستفاده میکنه که یک پروتکل مسیریابی قدیمی و بدون احراز هویته و از UDP/520 استفاده میکنه. حمله کننده‌ها آپدیت‌های مسیریابی جعلی رو برای غرق کردن یا گیج کردن شبکه‌ها ارسال میکنن.
  • چطور از تبدیل شدن به عنصر بازتاب/تقویت جلوگیری کنیم: RIPv1 رو روی روترها غیرفعال کنین. در جاهایی که مسیریابی لازمه، از RIPv2 با احراز هویت استفاده کنین.
  • چطور در برابرش دفاع کنیم: UDP/520 ورودی از شبکه‌های نامعتبر رو مسدود کنین. مراقب آپدیت‌های مسیریابی غیرمنتظره باشین.
  • چطور از آسیب ناخواسته جلوگیری کنیم: RIPv1 عمدتا منسوخ شده؛ غیرفعال کردنش به طور کلی امنه. اگه سیستم‌های قدیمی به اون وابسته هستن، قبل از تغییرات، رفتار مسیریابی رو تایید کنین.
حمله RDP DDoS
  • نوع: بازتابی + تقویتی
  • چطور کار میکنه: پروتکل دسکتاپ از راه دور (RDP) برای دسترسی از راه دور به سیستم‌های ویندوز استفاده میشه و معمولا روی پورت TCP 3389 کار میکنه. در برخی تنظیمات اشتباه یا قدیمی، RDP میتونه به تلاش‌های اتصال بدون احراز هویت پاسخ بده و این باعث میشه برای بازتاب یا تقویت مورد سوءاستفاده قرار بگیره. حمله کننده‌ها بسته‌های شروع RDP جعلی رو به سرورهای آسیب پذیر ارسال میکنن و باعث میشن اون‌ها به یک قربانی پاسخ بدن و حجم بالایی از ترافیک ناخواسته ایجاد کنن.
  • چطور در برابرش دفاع کنیم: از Cloudflare Magic Transit برای محافظت از زیرساخت شبکه خودتون استفاده کنین. Magic Transit حفاظت DDoS لایه ۳/۴ رو فراهم میکنه و ترافیک RDP جعلی یا ناقص رو قبل از رسیدن به مبدا شما فیلتر میکنه. برای سوءاستفاده‌های لایه اپلیکیشن، Cloudflare Gateway یا Zero Trust Network Access (ZTNA) میتونن به امن کردن دسترسی به دسکتاپ از راه دور پشت تونل‌های احراز هویت شده کمک کنن.
  • چطور از آسیب ناخواسته جلوگیری کنیم: اگه از RDP به طور فعال استفاده میشه، TCP/3389 رو به طور سراسری مسدود نکنین. به جای اون، دسترسی RDP رو به IPهای شناخته شده یا شبکه‌های داخلی محدود کنین، یا از Cloudflare Tunnel با Zero Trust Network Access (ZTNA) استفاده کنین تا به کلی در معرض دید عمومی بودن رو حذف کنین و در عین حال دسترسی امن برای کاربران قانونی رو حفظ کنین.
حمله DemonBot DDoS
  • نوع: سیل مبتنی بر بات‌نت
  • چطور کار میکنه: DemonBot یک بدافزاره که سیستم‌های مبتنی بر لینوکس، به خصوص دستگاه‌های IoT ناامن رو از طریق پورت‌های باز یا اعتبارنامه‌های ضعیف آلوده میکنه. پس از آلوده شدن، دستگاه‌ها بخشی از یک بات‌نت میشن که میتونه سیل‌های حجمی UDP، TCP و لایه اپلیکیشن راه اندازی کنه. حمله‌ها معمولا توسط سرور فرمان و کنترل (C2) هدایت میشن و میتونن ترافیک حجمی قابل توجهی ایجاد کنن که اغلب خدمات بازی، هاستینگ یا سازمانی رو هدف میگیرن. برای جلوگیری از آلودگی، از نرم افزارهای آنتی ویروس و فیلترینگ دامنه استفاده کنین.
  • چطور در برابرش دفاع کنیم: از Cloudflare Magic Transit برای جذب و فیلتر کردن سیل‌های لایه شبکه در مقیاس بزرگ قبل از رسیدن به زیرساخت شما استفاده کنین. تحلیل ترافیک در لحظه و تشخیص مبتنی بر امضای کلودفلر، ترافیک ناشی از دستگاه‌های آلوده به DemonBot رو خنثی میکنه. برای خدمات لایه اپلیکیشن، حفاظت DDoS کلودفلر و WAF میتونن سیل‌های HTTP هدفمند و سوءاستفاده از اتصال رو خنثی کنن.
  • چطور از آسیب ناخواسته جلوگیری کنیم: به جای مسدود کردن گسترده انواع ترافیک یا پورت‌ها، به خنثی سازی تطبیقی کلودفلر برای تشخیص بین کاربران قانونی و ترافیک بات‌نت تکیه کنین. این رو با فیلترینگ اعتبار IP، مسدودسازی جغرافیایی و محدودیت نرخ ترکیب کنین تا هشدارهای کاذب رو کاهش بدین و در دسترس بودن سرویس رو حفظ کنین.
حمله VxWorks Flood DDoS
  • نوع: سیل (مبتنی بر IoT)
  • چطور کار میکنه: VxWorks یک سیستم عامل در لحظه (RTOS) هست که در میلیون‌ها دستگاه تعبیه شده و IoT (مثل روترها، کنترلرهای صنعتی) استفاده میشه. دستگاه‌هایی که نسخه‌های قدیمی یا با تنظیمات اشتباه VxWorks رو اجرا میکنن، میتونن به خطر بیفتن و برای راه اندازی حمله‌های DDoS استفاده بشن. پس از آلوده شدن (اغلب از طریق اکسپلویت‌های عمومی یا اعتبارنامه‌های ضعیف)، اون‌ها حجم بالایی از ترافیک UDP، TCP یا ICMP رو برای غرق کردن اهداف ارسال میکنن، شبیه به بات‌نت‌های سنتی IoT.
  • چطور در برابرش دفاع کنیم: از Cloudflare Magic Transit برای مسدود کردن ترافیک حجمی در لبه شبکه استفاده کنین. کلودفلر از انگشت نگاری در لحظه و روش‌های اکتشافی اختصاصی برای شناسایی ترافیک از دستگاه‌های VxWorks به خطر افتاده و خنثی سازی اون در لحظه استفاده میکنه. برای خدمات اپلیکیشن، خنثی سازی DDoS کلودفلر و سرویس‌های Gateway حفاظت بیشتری در برابر سوءاستفاده در سطح پروتکل فراهم میکنن.
  • چطور از آسیب ناخواسته جلوگیری کنیم: از مسدود کردن بیش از حد ترافیک UDP یا ICMP خودداری کنین، چون ممکنه خدمات تشخیصی قانونی یا خدمات در لحظه رو مختل کنه. به جای اون، از فیلترینگ هوشمند، محدودیت نرخ و ابزارهای اعتبار جغرافیایی/IP کلودفلر برای خنثی سازی امن حمله‌ها و در عین حال جلوگیری از تاثیر بر ترافیک قانونی استفاده کنین.

اندازه و مدت زمان حمله

بیشتر حمله‌های DDoS کوچک و کوتاه هستن. در سه ماهه دوم سال ۲۰۲۵، ۹۴ درصد از حمله‌های L3/4 DDoS از ۵۰۰ مگابیت بر ثانیه فراتر نرفتن. به طور مشابه، حدود ۸۵ درصد از حمله‌های L3/4 DDoS از ۵۰ هزار بسته بر ثانیه فراتر نرفتن. اکثریت حمله‌های HTTP DDoS هم کوچک هستن، ۶۵ درصد زیر ۵۰ هزار درخواست بر ثانیه باقی میمونن. اما «کوچک» یک اصطلاح نسبیه.

یک سرور مدرن متوسط معمولا به یک ماشین فیزیکی یا مجازی همه منظوره با حدود ۴ تا ۸ هسته CPU (مثلا Intel Xeon Silver)، ۱۶ تا ۶۴ گیگابایت رم و یک کارت شبکه ۱ گیگابیت بر ثانیه اشاره داره که یک سیستم عامل لینوکس مثل اوبونتو یا CentOS با نرم افزاری مثل NGINX رو اجرا میکنه. این تنظیمات میتونن حدود ۱۰۰ هزار تا ۵۰۰ هزار بسته بر ثانیه، تا حدود ۹۴۰ مگابیت بر ثانیه توان عملیاتی و حدود ۱۰ هزار تا ۱۰۰ هزار درخواست بر ثانیه برای محتوای استاتیک یا ۵۰۰ تا ۱۰۰۰ درخواست بر ثانیه برای اپلیکیشن‌های دینامیک متصل به پایگاه داده رو مدیریت کنن، که البته به تنظیمات و بار کاری بستگی داره.

حالا فرض کنین این سرور توسط یک سرویس حفاظت DDoS ابری محافظت نمیشه. اگه در زمان اوج ترافیک، توسط یکی از همین حمله‌های DDoS «کوچک» هدف قرار بگیره، به احتمال خیلی زیاد سرور نمیتونه از پسش بربیاد. حتی حمله‌های DDoS «کوچک» هم میتونن تاثیر قابل توجهی روی سرورهای محافظت نشده داشته باشن.

در حالی که اکثریت حمله‌های DDoS کوچک هستن، حمله‌های هایپروالومتریک دارن از نظر اندازه و فرکانس افزایش پیدا میکنن. ۶ تا از هر ۱۰۰ حمله HTTP DDoS از ۱ میلیون درخواست بر ثانیه فراتر میرن و ۵ تا از هر ۱۰ هزار حمله L3/4 DDoS از ۱ ترابیت بر ثانیه فراتر میرن که این یک افزایش ۱۱۵۰ درصدی نسبت به سه ماهه قبله.

بیشتر حمله‌های DDoS مدت زمان کوتاهی دارن، حتی بزرگترین و شدیدترین اون‌ها. حمله کننده‌ها اغلب به انفجارهای کوتاه ترافیک متمرکز تکیه میکنن — گاهی اوقات به کوتاهی ۴۵ ثانیه که در حمله عظیم ۷.۳ ترابیت بر ثانیه دیده شد — تا سعی کنن از شناسایی فرار کنن، اهداف رو غرق کنن و قبل از اینکه دفاع‌ها بتونن به طور کامل فعال بشن، حداکثر اختلال رو ایجاد کنن. این تاکتیک انفجارهای کوتاه و با شدت بالا، شناسایی و خنثی سازی رو چالش برانگیزتر میکنه و بر نیاز به حفاظت همیشه روشن و در لحظه تاکید داره. خوشبختانه، دفاع‌های DDoS مستقل کلودفلر فورا وارد عمل میشن.

کمک به ساختن یک اینترنت بهتر

در کلودفلر، ما متعهد به کمک برای ساختن یک اینترنت بهتر هستیم. بخشی از این ماموریت، ارائه حفاظت DDoS رایگان و بدون محدودیت، صرف نظر از اندازه، مدت زمان و تعداد حمله‌هاست. ما فقط در برابر حمله‌های DDoS دفاع نمیکنیم. بهترین دفاع، یک حمله خوبه و با استفاده از فید رایگان تهدید بات‌نت ISP، ما به از کار انداختن بات‌نت‌ها کمک میکنیم.

در حالی که بسیاری هنوز به صورت واکنشی از حفاظت استفاده میکنن یا به راه‌حل‌های قدیمی تکیه میکنن، داده‌های ما نشون میده که امنیت پیشگیرانه و همیشه روشن بسیار موثرتره. با قدرت گرفتن از یک شبکه جهانی با ظرفیت ۳۸۸ ترابیت بر ثانیه در بیشتر از ۳۳۰ شهر، ما دفاع خودکار، در مسیر ترافیک و اثبات شده در میدان نبرد رو در برابر همه انواع حمله‌های DDoS فراهم میکنیم.

ابر اتصال پذیری کلودفلر از کل شبکه‌های سازمانی محافظت میکنه، به مشتریان کمک میکنه تا اپلیکیشن‌هایی در مقیاس اینترنت رو به صورت کارآمد بسازن، هر وبسایت یا اپلیکیشن اینترنتی رو سرعت میبخشه، حمله‌های DDoS رو دفع میکنه، هکرها رو دور نگه میداره و میتونه در سفر شما به سمت Zero Trust بهتون کمک کنه.

از هر دستگاهی به سایت 1.1.1.1 مراجعه کنین تا با اپلیکیشن رایگان ما که اینترنت شما رو سریع‌تر و امن‌تر میکنه، شروع کنین.

برای یادگیری بیشتر در مورد ماموریت ما برای کمک به ساختن یک اینترنت بهتر، از اینجا شروع کنین. اگه به دنبال یک مسیر شغلی جدید هستین، موقعیت‌های شغلی باز ما رو بررسی کنین.

“`

منابع

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته‌های بیشتر