في الآونة الأخيرة، ساعدت العديد من منصات الشطرنج على القيام بتعزيزات أمنية، ووجدت أن هذه العصابة من هجمات CC أكثر دقة. لا تضرب موقع الويب الرسمي الخاص بك، ولا تلمس واجهة الدفع، مع التركيز بشكل خاص على غرفة الألعاب وواجهة تسجيل الدخول إلى الفرشاة الميتة. في الأسبوع الماضي، اتصل بي أحد العملاء الأسبوع الماضي في الساعة الثالثة صباحًا، وقال إنه في نفس الوقت عبر الإنترنت على مائتي شخص، ارتفع حمل الخادم مباشرة إلى 90% - من الواضح أن هذا هو إخراج وجه CC ركوب CC.
تطورت هجمات CC في صناعة الشطرنج منذ فترة طويلة إلى مرحلة "الضربة الدقيقة". يقوم المهاجم أولاً بتسجيل حساب لمعرفة منطق العمل، وأي واجهة لإنشاء غرفة، وأي واجهة للتحقق من الرمز المميز، وحتى الفاصل الزمني لحزمة نبضات القلب لتتمكن من حسابها بوضوح. لقد التقطت بعض حزم الهجوم ووجدت أنها تحاكي حتى إيقاع تشغيل المستخدمين الحقيقيين: تسجيل الدخول أولاً، وطلب قائمة الغرف كل 30 ثانية، ثم الدخول إلى الغرفة على فترات عشوائية من الثواني. هذا النوع من حركة المرور لا يمكن إيقافه بواسطة جدران الحماية التقليدية، وكل طلب يحمل ملف تعريف ارتباط شرعي.
هل تتذكر العام الماضي عندما تم اختراق منصة شطرنج معروفة؟ لقد استخدم المهاجمون ألفي عقدة وظيفية سحابية للتناوب على تنظيف واجهة الغرفة، 3000 طلب في الثانية لشل خدمة الغرفة. والأمر الأكثر ضررًا هو أنهم اختاروا وقت الذروة في العاشرة مساءً للقيام بذلك، وطلبوا فدية أعلى بنسبة 30% من نظرائهم - وهذا هو تشكيل سلسلة الصناعة.
لماذا لا يمكن لشبكات CDN العادية عالية الدفاع الحماية من مثل هذه الهجمات؟ لأن استراتيجية الحماية التقليدية تعتمد بشكل أساسي على تردد الـ IP. لكن الناس الآن يستخدمون عددًا كبيرًا من عناوين IP الوكيل + طلبات منخفضة التردد، كل عنوان IP يطلب أكثر من اثنتي عشرة مرة في الدقيقة، يبدو أفضل من المستخدم الحقيقي. لقد اختبرت وضع "الحماية الذكية" للبائع، حيث يقوم الأشخاص بتنظيف واجهة الغرفة ببطء لمدة نصف ساعة، ولم يوقف CDN في الواقع واحدًا، ولكن بدلاً من ذلك يقوم عدد قليل منهم بتحديث قائمة المستخدمين الحقيقيين بشكل متكرر لحظره.
تبدأ الحماية الفعالة حقًا من البعد التجاري. على سبيل المثال، واجهة الغرفة في لعبة اللوحات، يتم تحديد عدد مرات وصول المستخدم العادي - من يمكنه تغيير عشر غرف في الثانية؟ لكن القواعد الافتراضية للعديد من بائعي شبكات توصيل المحتوى CDN تحد ميكانيكيًا فقط من عدد الطلبات في الثانية. في وقت لاحق، عندما قمت بتغيير WAF لـ CDN07 لعميلي، قمت مباشرةً بكتابة قاعدة مخصصة:
معنى هذه المجموعة من التوليفات هو: يُسمح بدفعات قصيرة من 5 طلبات (للتعامل مع النقرات السريعة)، ولكن لا يمكن أن يتجاوز إجمالي عدد الطلبات في الدقيقة الواحدة 10 طلبات. في نفس الوقت مع التعريف الثنائي "IP + معرّف المستخدم"، لمنع المهاجم من تغيير فرشاة الحساب بنفس عنوان IP. اختبار حقيقي في يوم حظر 160,000 طلب خبيث، معدل الحظر الخاطئ 0.2% فقط.
حماية واجهة تسجيل الدخول أكثر فتكاً. تعتقد العديد من المنصات أن إضافة رمز التحقق لا بأس به، ولكن النتيجة هي أن الأشخاص يستخدمون منصة الرمز + البرامج النصية للتنظيف. في العام الماضي، تعرضت إحدى المنصات للهجوم، حيث قام المهاجم بتجربة بطيئة لقاموس كلمات المرور ببطء في كل ساعة لمحاولة ستة آلاف مرة، وتحديداً اختيار الساعة الثالثة أو الرابعة صباحاً. عندما اكتشف فريق الأمن، كان هناك بالفعل أكثر من ثلاثمائة حساب تم اختراقها.
تتمثل الممارسة الموثوقة الآن في نشر آليات التحدي الديناميكية. على سبيل المثال، تقوم وحدة التحقق الذكي في CDN5 بتشغيل استجابة من ثلاثة مستويات لسلوكيات تسجيل الدخول غير الطبيعية: أولاً تحريك شريط التمرير للتحقق، ثم الترقية إلى التحقق من الأسئلة الحسابية عند اكتشاف هجوم مستمر، والوسيلة النهائية هي فرض التحقق عبر الرسائل النصية القصيرة. المفتاح هو أن عملية التحويل هذه ديناميكية بالكامل - لا يمكن للمهاجم ببساطة معرفة قواعد التشغيل. لقد سمحت لفريق الاختبار بمحاكاة الهجوم، واستمر أعلى سجل حتى الطلب رقم 173 قبل تشغيل أعلى مستوى من التحقق، لن يلمس المستخدمون العاديون الحد الأدنى.
هناك قاتل كبير آخر هو محرك التحليل السلوكي. نظام حماية 08Host مثير للاهتمام، فهو يعطي مئات العلامات لكل جلسة مستخدم: من مسار الفأرة إلى الوقت بين الطلبات، وحتى بما في ذلك خصائص مكدس TCP. لقد اكتشفت ذات مرة مجموعة هجوم، كل طلب يحاكي متصفح كروم تمامًا، ولكن لمجرد أن إعدادات حجم نافذة TCP الأولية وفرق كروم الحقيقي لبضع بايتات، تم تمييزها مباشرةً على أنها حركة مرور ضارة.
الشيء الأكثر ضررًا في ألعاب الطاولة هو هجمات اتصال TCP. فبعض المهاجمين لا يرسلون طلبات HTTP، بل يقومون فقط بإنشاء اتصالات TCP معك بجنون ثم يملأون المنافذ. بالنسبة لهذا السيناريو، عليك القيام بحد اتصال على مستوى CDN. يوصى بتقسيم الاستراتيجية حسب نوع العمل:
لا تنس حماية WebSocket. في الوقت الحاضر، تستخدم اللوحات ذات الحجم الصغير اتصالات طويلة للتواصل، ويختار المهاجمون قناة WebSocket تحديدًا لإرسال حزم القمامة. لقد تم نصب عميل - يرسل المهاجم مئات الحزم القمامة المضغوطة في الثانية، وتكون وحدة المعالجة المركزية لفك ضغط الخادم ممتلئة مباشرة. لاحقًا، قمت بتكوين قواعد خاصة بـ WebSocket على CDN07:
بصراحة، لا يمكنك النظر فقط إلى قيمة النطاق الترددي لاختيار شبكة CDN عالية الدفاع الآن. يجب أن نرى ما إذا كان الطرف الآخر لديه خبرة في حماية صناعة الشطرنج، ويمكن تخصيص قواعد WAF، ولا توجد واجهة برمجة تطبيقات يمكنك من خلالها ضبط الاستراتيجية ديناميكيًا. يفجر بعض البائعين مئات من عرض النطاق الترددي للحماية T، والنتيجة هي أن قاعدة القواعد لم يتم تحديثها لمدة ثلاث سنوات، وحتى هجمات الوصول غير المصرح به من Redis لا يمكن منعها.
في الآونة الأخيرة، عند مساعدة العملاء على القيام بالترحيل، قارنت بين العديد من البائعين، تكمن ميزة CDN5 في خوارزمية الجدولة الذكية، عند الهجوم، تبديل الخطوط في ثوانٍ؛ يتمتع WAF الخاص بـ CDN07 بقدرة تخصيص قوية، حتى عمق دعم اكتشاف معلمة JSON؛ و 08Host الفعال من حيث التكلفة في Anycast كمون الشبكة مستقر. في النهاية، حصل العميل على حل هجين: 08Host لحمل حركة المرور اليومية، CDN5 للقيام بالجدولة الاحتياطية للهجوم، واجهة العمل الرئيسية لتعليق CDN07 WAF. هذه المجموعة من المجموعات لأسفل، زيادة التكلفة الشهرية أقل من 20%، ولكن القدرة على الحماية لتحويل أكثر من خمس مرات.
أخيرًا، درس في البكاء: لا تظن أن شراءك لشبكة CDN عالية الدفاع سيجعلك ترتاح بسهولة. التحقق بانتظام من بيان الحماية هو العملية الأساسية، وأفضل التدريبات الأسبوعية للهجوم والدفاع. في إحدى المرات وجدت أن واجهة واجهة واجهة برمجة التطبيقات القديمة لأحد العملاء لم يكن لديها إمكانية الوصول إلى الحماية، وظل المهاجم يتربص لمدة ثلاثة أشهر ووجد هذه الثغرة أخيرًا، ليلة لاختراق الخادم. والآن أطلب من العملاء أن يتبعوا مبدأ "يجب أن تكون الواجهة محمية بشكل صارم"، ويجب أن تخضع جميع الواجهات الجديدة لاختبارات أمنية قبل النشر.
الأمن السيبراني هو لعبة القط والفأر هذه الأيام. فالقواعد التي تم نشرها الأسبوع الماضي قد يتم تجاوزها في الأسبوع التالي، لذا عليك أن تحافظ على عقلية "المواجهة المستمرة". حتى أن إحدى مجموعات الهجوم درست استراتيجية الحماية الخاصة بنا واستخدمت وضع الهجوم البوذي لتقوم بطحنك ببطء - لتخريبك لمدة عشر دقائق كل ساعة، واختيار أفراد الأمن للبدء خلال أوقات الوجبات. لاحقًا، كتبنا نصًا برمجيًا لتحليل وضع الهجوم تلقائيًا، وقمنا بتبديل وضع الحماية مباشرةً عندما وجدنا خللًا ما، حتى تمكنا من تثبيت وضعنا.
لنكن صادقين، إن بناء الأمن في صناعة الشطرنج هو حفرة لا قعر لها. ولكن فكر في الخسائر والتعويضات الناجمة عن الهجمات، فهذه الاستثمارات لا تساوي شيئاً. في العام الماضي، كانت هناك منصة بسبب تعطلها لمدة ثلاثة أيام بسبب دعوى قضائية جماعية للاعبين، وتعويضات مالية تكفي لشراء خمس سنوات من خدمات الدفاع العالية. أما الآن فقد تعلم العملاء أن يكونوا أذكياء، وتحولت ميزانية الأمن من "بند التكلفة" إلى "بند التأمين"، وهي ظاهرة جيدة لتقدم الصناعة.
(بناءً على طلب العميل تمت معالجة جزء من التفاصيل الفنية بشكل غامض، والتكوين المحدد، يرجى التعديل وفقًا للأعمال الفعلية)
