ساعدت صديقًا مؤخرًا في التعامل مع محطة معلقة تعرضت لهجوم DDoS، وسجلت الدخول إلى الخادم لرؤية مخطط التدفق - رجل جيد، ارتفعت الذروة مباشرة إلى 300 جيجابت في الثانية، بائعو السحابة للحماية المجانية مجرد خدعة. استخدم الطرف الآخر أرخص هجوم تضخيم الانعكاس، منخفض التكلفة والتأثير الجيد، واختيار الموقع لم يقم بحماية عالية المستوى. في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”، ناهيك عن عصابات الابتزاز بالنيران المفتوحة والسهام المظلمة.
يعتقد الكثير من الناس أن مجموعة من شبكات CDN ستكون على ما يرام، في الواقع، فإن CDN العادية أمام الهجمات الحقيقية عالية التردد هي قطعة من الورق. يمكن أن تحمل حقًا DDoS الحديثة، يجب أن تعتمد على CDN خاص عالي الدفاع - ليس مجرد تخزين مؤقت للمحتوى، ولكن من طبقة الارتباط إلى طبقة التطبيق لمجموعة من التركيبات. لقد اختبرت ثلاثة أو أربعة بائعين، الفجوة بين تأثير الدفاع أكبر بكثير مما كان متوقعاً.
المنطق الأساسي لشبكة CDN عالية الدفاع هودفاع متعدد الطبقات.. العقبة الأولى هي دائماً مركز تنظيف حركة المرور. تصل جميع طلبات الوصول أولاً إلى مجموعة التنظيف الموزعة، حيث يتم إجراء عمليات فحص أولية لمجموعات التحقق من فيضان SYN وإسقاط الحزم المشوهة. تأتي عقد التنظيف مثل CDN5 مزودة بوحدة تحليل البروتوكول التي يمكنها تحديد الحزم المميزة لهجمات انعكاس SSDP وMemcached مباشرة، وإسقاط الحزم مباشرةً عند الحافة، بحيث لا يمكن المساس حتى بحواف خوادم الأعمال.
ومع ذلك، لا يكفي الاعتماد على مركز التنظيف وحده. في العام الماضي اختبرت في العام الماضي دفاعًا محليًا عالي الدفاع، قدرة التنظيف الاسمية 600G، وواجهت النتائج هجومًا نبضيًا فوت بالفعل 30% من حركة المرور غير المرغوب فيها. اكتُشف لاحقاً أن آلية تعلم البصمات في مكدس TCP الخاص بهم بطيئة جداً. والآن، تم استخدام بائعين جيدين مثل CDN07، على وضع التنبؤ بالتعلم الآلي - وفقًا لسجل سلوك بروتوكول الإنترنت وقيمة انحراف البروتوكول ومنحدر زيادة حركة المرور قبل 500 ميلي ثانية لتشغيل استراتيجية الحماية المرنة.
المستوى الثاني هو المفتاح:الاعتراض الذكي. الفرق هنا كبير. البائعون الأضعف لا يزالون يعتمدون على قاعدة القواعد الاصطناعية، والأكثر تقدماً يستخدمون التحليل الدلالي + النمذجة السلوكية. لقد رأيت أعنف طريقة هي تقنية “البصمة الديناميكية” من 08Host: كل طلب سيولد بصمة JS خفيفة الوزن، مدمجة مع مسار الفأرة وتسلسل مكالمات واجهة برمجة التطبيقات لتحديد سلوك الإنسان والحاسوب. على الرغم من تأثيرها البسيط على تحسين محركات البحث، إلا أن مكافحة هجمات مكافحة الاحتيال صعبة حقًا، ويمكن الضغط على المعدل الإيجابي الخاطئ إلى 0.1% أو أقل.
عندما يتعلق الأمر بهجمات CC، يجب أن نبصق حيلة “الحماية غير المحدودة” لبعض البائعين. واجهنا حقًا عصابات CC المتقدمة، أكثر من عشرة آلاف طلب في الثانية لتقليد المستخدمين العاديين، لا يمكن لقاعدة القواعد ببساطة مواكبة ذلك. في هذا الوقت، علينا الاعتماد على نماذج التعلم العميق للتجميع والتحليل في الوقت الحقيقي. على سبيل المثال، يمكن لوحدة الذكاء الاصطناعي في CDN5 التقاط “الطلبات منخفضة التردد وعالية الخطورة” - تبدو وكأنها مكالمة عادية لواجهة برمجة التطبيقات، ولكن من الواضح أن الفاصل الزمني للطلب، وتوزيع طول الرسالة غير طبيعي. هذا النظام الذي التقط السجلات، ومعدل الإنذار الكاذب حوالي 3%، ولكن التقاط تغطية الهجوم يمكن أن يكون 99.7%.
هناك مأزق آخر في التفاصيل التقنية: أداء إلغاء تحميل SSL. إذا كانت شبكة CDN عالية الدفاع لا تقوم بفك تشفير الشهادة في العقدة الطرفية، فإن كل حركة المرور المشفرة تعود إلى المصدر إلى غرفة الخادم ثم يتم فك تشفيرها، وهو ما يعادل نقل الضغط إلى محطة المصدر. يجب أن يكون الحل الجيد مثل CDN07، الذي يكمل مصافحة TLS والتحقق من صحة الشهادة في مركز التنظيف ويدعم تسريع بطاقة SSL للأجهزة. هذه تكلفة حقيقية، لذا فإن الدفاع العالي الرخيص هو بالتأكيد شيء مريب.
أمثلة تكوينية لهذه القطعة، خذ واجهة برمجة تطبيقات Nginx عالية الدفاعات المرتبطة بـ Nginx كمثال:
لا تؤمن بـ “الحماية المؤتمتة بالكامل” عندما تقوم بنشرها فعليًا. لقد كنت كسولًا ذات مرة ولم أقم بتكوين مستودع عناوين IP، لذلك سمحت لعصابة الزواحف بالإفلات من العقاب - لقد قاموا باستطلاع الهجمات باستخدام عناوين IP الوكيل السكنية، وسمح لهم النظام بالذهاب كما لو كانوا مستخدمين عاديين. الآن ممارستي القياسية هي فرض الحظر الجغرافي + تصفية رقم ASN:
بالإضافة إلى ذلك، فإن تكامل WAF هو الجسم الكامل لشبكة CDN عالية الدفاع. لا يكفي مجرد منع هجمات DDoS، بل يجب أيضًا منع حقن SQL، والوصول إلى هجمات طبقة التطبيقات هذه، والحل الذي تقدمه 08Host أكثر براعةً، حيث إن قاعدة قواعد ModSecurity المدمجة في عقدة الحافة تطابق خصائص الهجوم المحظورة والمسجلة مباشرةً في منصة استخبارات التهديدات. تبلغ زيادة زمن الاستجابة المقاسة لاعتراض هجوم XSS أقل من 2 ميلي ثانية.
فيما يتعلق بمقارنات البيانات، خذ فعالية الدفاع عن البائعين الثلاثة وقل الحقيقة:
نقطة القوة في CDN5 في تنظيف التدفق الضخم، الذي كان يحمل مرة واحدة هجوم فيضان DNS بسرعة 800 جيجابت في الثانية، ولكن حماية CC لإضافة أموال لشراء الإصدار المتقدم؛ CDN07 جدولة ذكية CDN07 للقيام بعمل جيد لتبديل خطوط التنظيف تلقائيًا نادرًا ما تفقد حركة المرور العادية؛ 08Host فعالة من حيث التكلفة، 200 جيجابت في الثانية أقل من الهجوم يمكن أن تكون خالية من القلق بشكل أساسي، ولكن الهجمات الضخمة تقتل أحيانًا عن طريق الخطأ.
أخيرًا قال درسًا مبكيًا: إن شبكة CDN عالية الدفاع ليست حلًا سحريًا. قبل برنامج نشر العميل المالي، ركز فقط على حماية طبقة الشبكة، والنتيجة هي أن الأشخاص يضربون مباشرةً واجهة التطبيق - مسار / تسجيل الدخول 20,000 طلب في الثانية، انفجر تجمع اتصال قاعدة البيانات مباشرةً. الآن ممارستي القياسية هيأربع طبقات من التنظيف + سبع طبقات من التحقق البشري + تقييد تدفق طبقة الأعماليمكن قلب المحاور الثلاثة، وأحدها مفقود.
يجب أن تقوم شبكة CDN عالية الدفاع الموثوق بها حقًا بتقشير حركة مرور البيانات الهجومية طبقة تلو الأخرى مثل البصل. من التحقق من البروتوكول إلى التحليل السلوكي، ومن القواعد الثابتة إلى النماذج الديناميكية، وأخيراً تتم مطابقة بقية حركة المرور النظيفة مع الخادم. لا تصدق هراء “الحماية غير المحدودة”، فالتأثير الدفاعي يعتمد في النهاية على المواد التقنية ومهارات التشغيل والصيانة. الآن يستخدم الابتزاز الذكاء الاصطناعي لتوليد حركة المرور الهجومية، لم يعد نظام الدفاع ترقية ذكية، في انتظار أن يكون ملقمًا.
