إليكم الأمر المتعلق بهجمات حجب الخدمة الموزعة: لسنوات، كانت الفيضانات التي يبلغ حجمها التيرابت تعادل في مجال الأمن السيبراني عاصفة استمرت مائة عام.
كنت قد قرأت عنها في تقارير الحوادث، وتومئ برأسك بجدية، وتعود إلى القلق بشأن برامج الفدية. أنهى عام 2025 هذا التجريد المريح.
يقود الأبحاث الأمنية لشركة Nokia Deepfield.
أصبحت هجمات DDoS على مستوى تيرابت الآن حدثًا يوميًا لمقدمي خدمات الاتصالات الرئيسيين. ليس اسبوعيا. ليس “عدة مرات في الشهر”. يوميًا. وقع الهجوم الأول الذي تجاوز 10 تيرابايت في الثانية في سبتمبر. بحلول شهر أكتوبر، كنا نتتبع الحوادث التي تتجاوز 30 تيرابايت في الثانية.
وتستعد الصناعة بالفعل لبلوغ 100 تيرابايت في الثانية: ليس كسقف نظري، بل كعلامة فارقة لا مفر منها. ما الذي تغير؟ كل شيء، كما اتضح.
مشكلة الخمس دقائق
ابدأ بالتوقيت. في عام 2024، انتهى ما يقرب من 44% من حملات DDoS في غضون خمس دقائق. هذا العام، قفز هذا الرقم إلى 78%، وتم إنهاء أكثر من ثلثها في أقل من دقيقتين.
إذا لم تتمكن أنظمة الكشف والتخفيف من الاستجابة على حافة الشبكة خلال ستين ثانية، فأنت تقوم بإجراء تحليل ما بعد الحادث، وليس الدفاع.
هذا لا يجعل المهاجمين كسالى. بل على العكس من ذلك: فقد أصبحت الحملات منسقة خوارزميًا، وتتنقل عبر نواقل الهجوم بشكل أسرع من قدرة المشغلين البشريين على الاستجابة لها.
يمكن أن يبدأ الهجوم الآلي النموذجي بقصف سجاد TCP، ويتحول إلى فيضانات UDP عندما يكتشف تنشيط الإجراءات المضادة، ويضيف بعض تضخيم DNS، ثم ينتهي بتدفق SYN عالي المعدل – كل ذلك في غضون ثلاث دقائق، ويتم معايرة كل موجة وفقًا لعتبات استجابة المدافع.
الهجمات ليست أسرع فقط. إنهم أكثر ذكاءً. تقوم الأنظمة الآن بمراقبة سلوك المدافع في الوقت الفعلي، وتعديل المعلمات مثل خوارزميات التداول عالية التردد استجابة لظروف السوق. عندما يبدأ التخفيف، يتمحور الهجوم. عندما تتكيف، فإنه يدور مرة أخرى.
المكالمة تأتي من داخل المنزل
يتضمن التحول الأكثر جوهرية المكان الذي تنشأ فيه حركة الهجوم. تعتمد شبكات الروبوتات التقليدية لهجمات DDoS على أجهزة إنترنت الأشياء المعرضة للخطر: الكاميرات، ومسجلات الفيديو الرقمية، وأجهزة التوجيه ذات المنافذ المكشوفة، وعداد مواقف السيارات العرضي.
وفي الذروة، قد يصل إجمالي عدد الروبوتات النشطة عبر جميع هذه الشبكات المجزأة إلى مليون جهاز، مع عدم وجود شبكة روبوت واحدة تتحكم في أكثر من جزء صغير. تلك الحقبة تنتهي.
لقد قامت شبكات الوكيل السكنية بتجميع شيء أكبر بكثير بهدوء: ما يقدر بنحو 100 إلى 200 مليون نقطة نهاية للمستهلك قادرة على إعادة إرسال حركة المرور عند الطلب. هذه ليست خوادم مكشوفة.
إنها أجهزة منزلية عادية (صناديق تلفزيون Android رخيصة الثمن تعمل ببرامج ثابتة مفتوحة المصدر غير معتمدة، وهواتف محمولة مزودة بتطبيقات VPN “مجانية”، وأجهزة توجيه منزلية بأبواب خلفية) تجلس خلف NAT، وغير مرئية للمسح الخارجي.
كيف حدث هذا؟ اتبع الاقتصاد. تحتاج شركات الذكاء الاصطناعي إلى مجموعات بيانات ضخمة للتدريب، ويتطلب استخراج الويب على نطاق واسع استخدام عناوين IP التي يتم تدويرها باستمرار لتجنب اكتشافها.
توفر خدمات الوكيل السكنية ذلك بالضبط: الملايين من عناوين IP للمستهلكين “النظيفة” التي تبدو وكأنها حركة مرور مشروعة. أدى الطلب إلى خلق سوق رمادية مزدهرة، واعترف المجرمون بوجود فرصة.
هناك مقولة جزار قديمة: tout est bon dans le cochon، كل شيء في الخنزير جيد. وقد أخذ مشغلو هذه الشبكات الأمر على محمل الجد. تعمل الأجهزة التي تم اختراقها حديثًا في البداية كمخارج وكيل متميزة، مما يؤدي إلى تحقيق إيرادات من العملاء الشرعيين الذين يحتاجون إلى عناوين IP سكنية لتجميع الويب أو التحقق من الإعلانات أو أبحاث السوق.
بمجرد أن يؤدي الاستخدام المتكرر إلى انخفاض درجة سمعة عنوان IP، فإن نقطة النهاية نفسها تنتقل إلى عمليات DDoS مقابل الاستئجار. يتم تحقيق الدخل من كل عقدة مرتين.
المقياس مذهل. ما يقرب من 4% من اتصالات الإنترنت المنزلية العالمية متاحة الآن كبنية تحتية كامنة للهجوم. تستضيف البرازيل وحدها ما يقرب من 25 مليون عقدة وكيل.
وتتجاوز سعة النطاق الترددي الإجمالي لهذه الشبكات 100 تيرابت في الثانية، وهو أكثر مما تستطيع معظم الشبكات الأساسية الوطنية للإنترنت استيعابه. وتستمر عمليات نشر ألياف جيجابت المتماثلة في جعل الحسابات أسوأ: فقد زاد متوسط عرض النطاق الترددي المنبع لكل نقطة نهاية مخترقة بنسبة 75% على أساس سنوي في أمريكا الشمالية.
ماذا يعني هذا بالنسبة للمدافعين
الحقيقة غير المريحة هي أن دفاعات DDoS بالأمس كانت مصممة لهجمات DDoS بالأمس. تفترض دفاتر التشغيل اليدوية ونوافذ الاستجابة التي تبلغ مدتها خمسة عشر دقيقة أن الهجمات ستستمر لفترة كافية لاستدعائها. تفترض العتبات الثابتة أن المهاجمين لن يقوموا بالتحقق لتحديد مكان وجود هذه العتبات بالضبط.
يتطلب الدفاع الحديث ثلاثة أشياء قاومتها المؤسسات تاريخياً: الأتمتة، والحجم، وتكامل الاستخبارات. تعد الأتمتة ضرورية لأن البشر لا يستطيعون مجاراة سرعات الهجوم الخوارزمية.
يتم القياس لأن فيضانات التيرابت تتطلب قدرة استيعاب من فئة التيرابت عند حافة الشبكة، وليس في مركز تنقية بعيد. الذكاء مطلوب لأن تحديد حركة مرور الهجوم من عناوين IP السكنية التي تبدو متطابقة مع المستخدمين الشرعيين يتطلب تحليلًا سلوكيًا، وليس قوائم حظر بسيطة.
يضيف اتجاه القصف السجادي تعقيدًا آخر. ويستهدف أكثر من نصف الهجمات الآن مضيفين متعددين في وقت واحد، مما يؤدي إلى نشر حركة المرور عبر نطاقات الشبكة بأكملها بدلاً من التركيز على أهداف فردية.
تعمل هذه التقنية على تخفيف عتبات الكشف التقليدية لكل مضيف ويمكن أن تطغى على قطاعات الشبكة حتى عندما يظل المضيفون الفرديون أقل من مستويات التنبيه.
فماذا الآن؟
لا شيء من هذا لا يمكن التغلب عليه، ولكنه يتطلب التخلي عن الافتراضات التي خدمت طيلة عقد من الزمان. يجب أن تتطور الشبكات من العمليات التفاعلية الموجهة يدويًا إلى بنيات استباقية تدافع عن نفسها: أنظمة تكتشف وتخفف وتتكيف دون انتظار التدخل البشري.
لقد قام المهاجمون بالفعل بهذا التحول. والسؤال هو كم عدد المدافعين الذين سيلحقون بالركب قبل القفزة التالية ذات الحجم الكبير.
تحقق من قائمتنا لأفضل حماية ضد DDoS.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات