في الآونة الأخيرة لمساعدة الأصدقاء في التعامل مع الشذوذ في حركة المرور على منصة التعليم عبر الإنترنت، تسجيل الدخول إلى الخادم لإلقاء نظرة، رجل جيد، ارتفع عدد اتصالات TCP مباشرة إلى أكثر من 100,000، وحدة المعالجة المركزية تعمل بالكامل، بطاقة دفق الفيديو بأكملها في PPT - مشهد هجوم SYN Flood النموذجي. هذا العام، تشارك في خدمات الفيديو، وليس عن طريق هجوم SYN المضروب محرجون من القول إنهم يقومون بأعمال الإنترنت.
هجوم SYN هو القول بأن المهاجم يرسل بشكل محموم طلب اتصال TCP، ولكن بعد تلقي الخادم SYN-ACK ميتًا لا يعود إلى ACK. ترك الخادم بغباء اتصال نصف مفتوح وهكذا على الاستجابة، حتى يتم استنفاد الموارد. إن أعمال الفيديو حساسة للغاية لوقت الاستجابة والاستقرار، فبمجرد امتلاء تجمع الاتصال، لا يمكن للمستخدمين العاديين حتى الاتصال، ناهيك عن مشاهدة فيديو 4K HD.
في الأيام الأولى ، اعتقدت العديد من الفرق أن شراء جدار حماية تقليدي يمكن التعامل معه ، ووجدت أن المعدات النقية للأجهزة ببساطة لا يمكن أن تحمل عددًا كبيرًا من الاتصالات الخاطئة. لقد اختبرت علامة تجارية لجدار الحماية، 200,000 حزمة SYN في الثانية للتعامل مع الكذب المباشر المسطح، ولكن أيضًا بالمصادفة، يتم أيضًا قتل حركة المرور العادية. لا تصدق إعلانات “الحل متعدد الأغراض”، يجب دمج الحماية من هجمات SYN مع خصائص البروتوكول وسيناريوهات العمل للقيام بتحسين متعمق.
الحل الفعال حقاً هو الاعتماد على شبكة CDN عالية الدفاع للفيديو لإكمال وكيل اتصال TCP في العقدة الطرفية. ببساطة، السماح لعقدة CDN بدلاً من المحطة المصدر والمستخدم ببناء اتصال، من خلال آلية المصادقة لتصفية الطلبات الخبيثة. هنا تفصيل رئيسي: لا يمكن لشبكة CDN إسقاط الحزم ببساطة، عليك محاكاة سلوك مكدس نظام التشغيل الحقيقي، وإلا سيتمكن المهاجم من كسر التمويه في لمحة.
على سبيل المثال، تعتبر استراتيجية الحماية في CDN07 مثيرة للاهتمام للغاية: يتم إطلاق أول حزمة SYN مباشرة ويتم تسجيل بصمات الأصابع، وعندما يبدأ نفس عنوان IP المصدر بشكل متكرر اتصالاً في غضون 10 مللي ثانية، يُطلب من العميل إكمال تحدي التشفير أولاً. وقد وجدت الاختبارات أن هذا يمكن أن يقوم بتصفية 99.71 تيرابايت 3 تيرابايت من الحزم المزورة، ويكون التأثير على المستخدمين العاديين أقل من 0.2 ثانية. كما يمكن لعقدهم محاكاة خصائص مكدس TCP المختلفة لنظامي لينكس وويندوز، مما يجعل من الصعب على المهاجمين تحديد البيئة الحقيقية.
ألقِ نظرةً على مثال تهيئة فعلي (استنادًا إلى وحدة Nginx الإضافية):
تعتبر معلمة max_half_open مهمة بشكل خاص - فهي تتحكم في الحد الأقصى لعدد الاتصالات نصف المفتوحة المسموح بها لكل عقدة حافة. يوصى بضبطه ديناميكيًا وفقًا لحركة مرور الأعمال، مثل ساعات الذروة المباشرة التي يمكن تخفيفها بشكل مناسب، ولكن يجب أن يقترن ذلك بإنذارات المراقبة في الوقت الفعلي.
نهج 08Host أكثر جذرية: فهو يعدل مباشرةً مكدس TCP kernel TCP لضغط مهلة حالة SYN_RECV من 75 ثانية الافتراضية إلى 8 ثوانٍ. على الرغم من أنه سيؤذي بعض المستخدمين ذوي الكمون العالي، إلا أن الدفاع ضد هجمات DDoS فعال على الفور. وقد أظهر اختبار البيانات في العقد الآسيوية أن هذا النهج يمكن أن يتحمل 1.5 مليون حزمة هجوم SYN في الثانية، بينما يقل استهلاك ذاكرة الخادم عن 201 تيرابايت في الثانية.
ومع ذلك، فإن هذا الحل له تأثير جانبي قد يؤثر على معدل نجاح الاتصال للمستخدمين متعددي الجنسيات. في وقت لاحق، وضعوا جدولة جغرافية ذكية: سياسة المهلة القياسية للمستخدمين الأوروبيين والأمريكيين، والوضع العدواني للمناطق التي ترتفع فيها نسبة الهجمات. ويتطلب ذلك عقداً عالمية لمزامنة بيانات الحالة، والتنفيذ التقني معقد للغاية.
بالحديث عن مزامنة العُقد، يجب أن أذكر حفرة مشاركة الحالة. استخدمت CDN5 في وقت مبكر مجموعات Redis لمزامنة حالة الاتصال، ونتيجة لذلك، تعطلت Redis أولاً بعد حدوث الهجوم. الآن تستخدم البرامج الرئيسية السائدة التجزئة المتناسقة للقيام بالتخزين المؤقت للحالة المحلية، على الرغم من تأخر البيانات قليلاً، ولكن لضمان أن نظام الحماية نفسه لن يصبح عنق الزجاجة.
لخدمات الفيديو أيضًا حاجة خاصة: لا يمكن أن تتداخل الحماية مع بروتوكول QUIC. تستخدم العديد من تدفقات الفيديو الآن بروتوكول QUIC بدلاً من TCP، لكن متغيرات هجمات SYN بدأت أيضًا في استهداف عملية مصافحة QUIC. يحتاج مخطط الحماية الجيد إلى التعامل مع كل من هجمات إغراق مصافحة TCP و QUIC، مثل نموذج الحماية الهجين CDN07 الذي يستحق الرجوع إليه:
بالإضافة إلى التنفيذ التقني، فإن الاستراتيجية على مستوى العمل لا تقل أهمية عن التنفيذ التقني. يوصى بتخصيص موارد حماية منفصلة لخدمات الفيديو ذات المستويات المختلفة من الأهمية:
البث المباشر الأساسي:: أعلى مستوى من الحماية، مما يسمح بـ 11 TP3T من الإيجابيات الكاذبة ولكن يضمن 99.991 TP3T من التوافر.
فيديو حسب الطلب:: تمكين الحماية المتوسطة والتحقق الثانوي مع تحليل سلوك المستخدم
خلفية المسؤول:: وضع القائمة البيضاء الكاملة، مفضلاً قتل ألف بالخطأ على تجنيب واحد
أخيراً، دعونا نقدم مجموعة من المقارنة بين البيانات، في العام الماضي لاختبار فعالية حماية الشركات المصنعة الثلاث الكبرى:
CDN5: تمت معالجة 800,000 حزمة SYN في الثانية، والنفقات الزائدة لوحدة المعالجة المركزية 12%، والمعدل الإيجابي الخاطئ 0.8%
CDN07: معالجة 2.1 مليون حزمة SYN في الثانية، ونفقات وحدة المعالجة المركزية 23%، ومعدل إيجابي كاذب 0.3%
08Host: 1.5 مليون حزمة SYN تتم معالجتها في الثانية، ونفقات وحدة المعالجة المركزية 81 TP3T، ومعدل إيجابي كاذب 1.51 TP3T
يمكن ملاحظة أنه لا يوجد حل مثالي، فغالبًا ما تكون قوة المعالجة العالية مصحوبة باستهلاك أعلى للموارد، فـ CDN07 مناسب للمنصات الكبيرة ذات الأعمال المعقدة، و 08Host مناسب للمشاريع المتوسطة الحجم الحساسة من حيث التكلفة، و CDN5 أفضل من حيث التوازن.
لا تنس التحسين المستمر بعد نشر الحماية. بمجرد أن يقوم العميل بتهيئة العميل للراحة على أمجاده، تغير المهاجم لمهاجمة مرحلة مصافحة SSL، كالعادة، وضرب وحدة المعالجة المركزية بالكامل، والآن يجب تضمين نظام الحماية الناضج:
- حماية اتصال TCP
- تحسين المصافحة اليدوية SSL/TLS
- بصمة البروتوكول
- جدولة حركة المرور في الوقت الحقيقي
وللأمانة، فإن أكبر مشكلة في هذا المجال لا تكمن في التنفيذ التقني، بل في تكلفة مواجهتها. فالمهاجمون يستأجرون شبكات الروبوتات مقابل بضع مئات من الدولارات يومياً، بينما تكلف برامج الحماية ملايين الدولارات سنوياً. يوصى بأن تستخدم الشركات الناشئة برامج الدفع مقابل الاستخدام الخاصة بموردي الخدمات السحابية أولاً، ثم التفكير في عمليات النشر المختلطة عندما يزداد حجم الأعمال.
باختصار، تشبه حماية SYN ارتداء السترات الواقية من الرصاص في مجال أعمال الفيديو - لا يمكنك أن تتوقع أن تكون محصنًا، ولكن على الأقل يمكنك البقاء على قيد الحياة عندما تتعرض للهجوم. المفتاح هو فهم مبدأ الهجوم، وفقًا لخصائص العمل الفعلية لاختيار البرنامج، لا تكن حديث المبيعات لاتخاذ الخطأ. بعد كل شيء، في هذه الأيام، حتى شبكة CDN يجب أن “تمنع زملاء الفريق” (البائع يستخدم عقد العميل سرًا للقيام بتنظيف حركة المرور ليست فقرة).
في المرة القادمة التي تواجه فيها تأخيرًا في الفيديو لا تتسرع في تفريغ الوعاء إلى معلمات الترميز، تحقق من حالة اتصال TCP قد يكون مفاجأة. بعد كل شيء، في نظر المهاجم، منصة الفيديو هي قطعة من اللحم السمين، وهجوم SYN هو مجرد أقل تكلفة لتحية المبتدئين.
