عندما تهدد آلة تحضير القهوة شبكة الإنترنت

واجه عدد من كبرى مواقع الإنترنت الأسبوع الماضي انقطاعاً في الخدمة بسبب هجوم DDoS تعرضت له واحدة من كبرى شركات خدمات DNS. ضج الإعلام الغربي والعربي حول الموضوع مع مبالغات في العناوين أحياناً، وخلط في الحقائق أحياناً أخرى. فما القصة ببساطة؟

ما هو DNS؟

بداية، ما هو DNS؟ عندما تكتب عنوان موقع معين مثل www.tech-wd.com في المتصفح وتضغط زر Enter، يذهب الإتصال عبر مخدم الإنترنت الخاص بك إلى دفتر عناوين – مجازاً – يحوي عمودين، الأول هو عنوان الويب أي اسم النطاق، والثاني هو رقم IP الموقع.

دفتر العناوين هذا يدعى DNS وهو مخدم وظيفته ربط أسماء النطاقات بأرقام IP السيرفرات التي تستضيف المواقع. في الأصل لم تكن هناك أسماء دومينات انما كل موقع عليك الدخول إليه يجب أن تكتب رقم IP الخاص به في شريط العناوين.

لأن هذه العملية صعبة للغاية أن تحفظ كل أرقام IP لمواقعك المفضلة، ظهرت فكرة أسماء النطاقات. لكن السيرفر المستضيف للموقع لا اسم نطاق له انما رقم IP يميزه. مثلاً لو أردت الدخول إلى فيس بوك كان عليك أن تكتب الرقم 173.252.74.68 لكن من الأسهل أن تكتب عنوانه www.facebook.com وذلك للإدخال والحفظ.

عندما تدخل عنوان موقع فيس بوك يتجه الإتصال إلى سيرفر DNS الخاص به ويبحث فيه عن رقم IP الموافق للعنوان ومن ثم يتجه المتصفح لتحميل المحتوى من هناك. الآن جرّب أدخل الرقم 173.252.74.68 في شريط العناوين واضغط Enter، سيفتح موقع فيس بوك كأنك أدخلت نطاقه

إنترنت الأشياء

خلال السنوات القليلة الماضية ظهر تصنيف جديد من الأجهزة المتصلة بالإنترنت مختلف عما كنا نعرفه سابقاً. كانت الهواتف والحواسب هي أكثر الأجهزة إتصالاً بالإنترنت، لكن مؤخراً بات هناك أنواع جديدة من الأجهزة تدعى IoT وهي انترنت الأشياء التي تعبر عن أي جهاز أو شيء يمكنه الإتصال بالإنترنت. سواء كان ذلك قفل باب منزلك، مصباح غرفة المعيشة، براد المطبخ، حذاءك، محضرة القهوة، سلال القمامة، كاميرات المراقبة وغيرها الكثير من الأجهزة التي لديها القدرة على الإتصال بالإنترنت لاسيما عبر الشبكات اللاسلكية لتتحكم بها عن بعد أو تنفذ مهام مختلفة مثل إرسال طلب شراء إلى أمازون بما ينقص البراد!؟

الطفرة في إنترنت الأشياء والأجهزة والأشياء المتصلة بالإنترنت تفوق بكثير ما حدث مع الأجهزة التقنية كالهواتف، يتوقع أن ينمو عدد تلك الأجهزة ليصل إلى 200 مليار جهاز بحلول عام 2020 وبمعدل 6 أجهزة ذكية متصلة بالإنترنت لكل شخص على وجه الأرض.

الكثير من تلك الأجهزة يمتلكها أشخاص ليس عندهم الحد الأدنى من الوعي التقني مثلاً لتغيير كلمات المرور الافتراضية. كما أنه لا يخطر ببال أحد أنه يجب عليه حماية نظام الإنارة في منزله من الفيروسات والبرمجيات الخبيثة، لأنها ليست هاتف أو كمبيوتر!، وأيضاً لا تبذل الشركات المصنعة لها أي جهد في مجال حمايتها من المخاطر الأمنية واكتشاف الثغرات وسدها برمجياً.

كيف وقع “نصف الإنترنت” ؟

خلال اليومين الماضيين تعرضت شركة Dyn لهجوم DDoS ضخم للغاية لم يعرف حجمه بدقة بعد لكنه يصل إلى فئة التيرابايت. شركة Dyn تقدم خدمات DNS لعدد من كبرى الشركات حول العالم مثل تويتر، باي بال، أمازون، سبوتيفاي، ساوند كلاود، وغيرها الكثير. نتيجة هذا الهجوم لم يعد ممكناَ الدخول إلى مواقع تلك الشركات لفترة طويلة وفي أماكن متفرقة حول العالم.

ما هو هجوم DDoS؟ هو عدد كبير جداً من طلبات الدخول على موقع معين يتلقاها المخدم بنفس الوقت، يفوق حجم الطلبات قدرة المخدم على الرد عليها بالتالي يتوقف عن الإستجابة.

بالعادة كان القراصنة يشنون الهجوم على موقع معين، الأمر يشبه عدد كبير جداً من الزوار يدخلون على الموقع بنفس اللحظة، لكل موقع قدرة معينة لتخديم طلبات الدخول وإن حصل على عدد يفوقها في نفس اللحظة، فإنه لا يستطيع تخديم والرد على الفائض.

هذه المرة تعرض مخدم شركة Dyn لخدمات DNS للهجوم الكبير جداً بدلاً من تعرض المواقع المذكورة للهجوم. لأن هذا المخدم وظيفته أن يعطي المتصفح IP الموقع المطلوب للدخول إليه، لم يعد ممكناً الدخول إلى المواقع التي تستخدم خدمة شركة Dyn.

كيف استطاع القراصنة شن الهجوم الضخم؟ في الواقع توجد على الإنترنت خدمات يمكنك استئجارها لشن هجوم DDoS كبير، يمكنك عبر زرع برمجية خبيثة في أي جهاز متصل بالإنترنت التحكم به لتوجيه طلب اتصال لموقع معين تريده في أي وقت ترغب به.

تفيد بعض المصادر أن البرمجية الخبيثة Mirai هي المستخدمة في هجوم شركة Dyn. تم استخدام عدد كبير من الأجهزة المتصلة بالإنترنت التي تحوي ثغرات أمنية أو يمكن الدخول إليها بسهولة بسبب إما عدم وجود كلمات مرور أو عدم تغيير أًصحابها كلمات المرور الافتراضية.

في سبتمبر الماضي تعرضت شركة خدمات الاستضافة OVH إلى هجوم حجمه أكثر من تيرابايت في الثانية استخدم فيه أكثر من 150 ألف جهاز متصل بالإنترنت مخترق. كما شن هجوم كبير حجمه 620 غيغابايت في الثانية بواسطة برمجية Mirai على موقع الأمن والحماية Kerp on Security. والآن عاد المهاجمون واستخدموا نفس البرمجية وعلى عدة هجمات وبحجم أكبر.

بدأت الهجمة الأولى في الصباح بالتوقيت المحلي لشرق أمريكا وبعد ساعتين تقريباً أعلنت شركة Dyn أنها تمكنت من إيقافه وإعادة الخدمة لما كانت عليه وتعمل بشكل طبيعي.

لكن بعد ساعات قليلة سرعان ما تم شن هجوم آخر أكبر حجماً وأوسع نطاقاً تسبب بتوقف أعداد أكبر من المواقع في مناطق أوسع من العالم امتدت إلى أوروبا والشرق الأوسط.

عدد المواقع التي تضررت من الهجوم يبلغ حوالي 85 موقع منها مواقع كبرى لشركات وخدمات انترنت شهيرة وصحف عريقة وغيرها ذكرناها في تغطيتنا للخبر. من المبالغ فيه أن نقول سقطت نصف الإنترنت عبر إنقطاع الخدمة وعدم القدرة على الدخول إلى 85 فقط من أصل أكثر من مليار موقع ويب موجود حالياً.

كما هو واضح أن الهجوم استهدف مخدمات DNS الخاصة بشركة Dyn ولم يستهدف إطلاقاً تلك المواقع المتضررة، بالتالي من الخطأ أن نقول أنها تعرضت للهجوم. فقط لم نتمكن من الدخول إليها لأن المتصفح غير قادر على الحصول على IP المواقع من خدمة DNS. المشكلة هنا أنه حتى لو حصلت على IP الموقع من خدمات خارجية، فإن المتصفح قد لا يشغل الموقع بشكل جيد حتى وإن دخل عليه، لأن بعض المواقع تعتمد برمجيتها على اسم النطاق والتأكد منه مع مخدم DNS وليس فقط IP الخاص به إلا لو كان موقع ثابت.

نختم أخيراً بأن هذا الهجوم ليس مفاجئاً، وحذّر منه الخبراء سابقاً طويلاً مع توجهنا أكثر نحو انتشار انترنت الأشياء وزيادة عدد الأجهزة المتصلة بالإنترنت دفع في العمل على الإصدار السادس من بروتوكولات العناوين ليسمح لعدد أكبر من الأجهزة بالإتصال بالشبكة العالمية.

المصيبة الكبرى أن هجوم DDOS من الصعب والمكلف جداً تفاديه حيث تحتاج الشركات إلى توظيف عدد كبير من المخدمات لتوزيع طلبات الدخول الهائلة عليها وإجراء موازنة حتى تتحمل من الوفاء والرد عليها. كما أنه من الجيد أن بعض الشركات الكبرى مثل فيس بوك و قوقل لا تعتمد على خدمات خارجية انما لديها خدماتها الخاصة كسيرفر DNS ولديها القدرة على تحمل عدد كبير من الطلبات بنفس اللحظة.

يقال – وهذا غير صحيح – أن الإنترنت صممت لتحمل انفجار نووي، وها هي تضعف أمام محضرة قهوة!