ساعدت مؤخرًا عددًا قليلاً من العملاء في إجراء اختبار الاختراق، وتسليم سجلات CDN أنا سعيد - رجل جيد، حركة المرور الهجومية تفيض تقريبًا، لا تزال استراتيجية الحماية عالقة في “حظر IP” هذه المرحلة البدائية. في هذه الأيام، حتى شبكة CDN يجب أن “تمنع زملاء الفريق”، فأنت تنفق الكثير من المال لشراء خدمات دفاعية عالية، إذا لم تنظر إلى السجلات، فإنك في الأساس تساوي المتسللين لنشر المال.
لقد رأيت الكثير من الفرق تتعامل مع شبكة CDN عالية الدفاع على أنها “صندوق أسود”، معتقدين أنه إذا قمت بتشغيل الحماية، يمكنك أن ترتاح بسهولة. في الواقع، سجلات CDN أكثر ثراءً في دلائل الهجوم من إنذارات جدران الحماية. لكن السؤال الذي يطرح نفسه: مئات الجيجابايت من ملفات السجلات، في النهاية، ما هي الحقول التي يجب أن تهتم بها؟ ما هي البيانات التي تمثل إشارات خطيرة حقاً؟ لا تقلق، سأستخدم اليوم تجربة العالم الحقيقي لمساعدتك على التفكيك.
أولاً، سوء فهم كلاسيكي: يأتي الكثير من الناس للتحديق في ذروة عرض النطاق الترددي. طفرات عرض النطاق الترددي بالطبع لتوخي الحذر، ولكن الآن تعلمت هجوم CC منذ فترة طويلة - الأشخاص الذين لديهم سرعة منخفضة بطيئة في الضربة، كل طلب IP بضع مرات فقط في الثانية، واختيار الواجهة الديناميكية الخاصة بك للبدء. لقد اختبرت نظام تسجيل CDN5، مخططات توزيع QPS الخاصة بهم أكثر حساسية بكثير من مخططات النطاق الترددي، وغالبًا ما تكون قبل 20 دقيقة لالتقاط الارتفاع الشاذ.
المقاييس المدمرة حقًا مخفية في رمز حالة HTTP. لا تنظر فقط إلى الخطأ 404/500، فقد يكون هذا خطأ في البرنامج، ركز على 499 (قطع الاتصال الذي بدأه العميل) و 429 (حد التردد). في آخر مرة كانت هناك محطة للتجارة الإلكترونية كانت تجمع الصوف، كان المهاجم على وجه التحديد مع عدد كبير من عناوين IP لبدء طلب واجهة الدفع ثم ألغيت على الفور، السجل مليء بـ 499، ثم قمنا بتكوينه لاحقًا على CDN07:
دع طلب الاستثناء يسقط مباشرةً 90%.
إن تحليل تجميع عناوين URL هو الخطوة الرائعة في التنقيب عن السجلات. حتى أكثر المخترقين دهاءً سيتركون أنماطًا - مثل عدد كبير من الطلبات لمسارات حساسة مثل "/wp-admin.php" و"/api/v1/user/login" في نفس الوقت. 08Host's سجلات لوحة السجلات لديها ميزة رائعة: فهي تقوم تلقائيًا بالإشارة إلى عدد مرات الوصول إلى عناوين URL المتشابهة، ويمكنها تجميع وعرض الطلبات التي تم ترميزها بطريقة يتم تجاوزها. حتى الطلبات المتغيرة التي تم تجاوز ترميزها يمكن تجميعها وعرضها. غالبًا ما أوصي العملاء بإعداد تنبيهات العتبة للإخطار عن طريق الرسائل القصيرة عندما يتجاوز عنوان URL واحد 2000 طلب في الدقيقة.
عندما يتعلق الأمر بتحليل سلوك الـ IP، لا تعتقد أن “حظر عنوان IP واحد” سيحل المشكلة. فالهجمات المتقدمة تدور كلها حول استطلاع تجمع عناوين IP، حيث يتم استخدام كل عنوان IP بضع مرات فقط. لكن الآلة تظل آلة، وهناك دائماً ثغرات. انظر إلى هذه الحالة الحقيقية: في حالة DDoS، على الرغم من أن جميع عناوين IP كانت جديدة، وجدت أن عملاء المستخدم-وكلاء المستخدم كانوا جميعًا "Go-http-client/2.0"، والذي كان من الواضح أنه برنامج نصي Go. أضف قاعدة مباشرة إلى الواجهة الخلفية لـ CDN5:
قطع على الفور 70% من حركة المرور غير المرغوب فيها.
تعد خرائط التوزيع الجغرافي أيضًا كنزًا دفينًا من الأدوات. الوصول العادي للمستخدم العادي له تركيز جغرافي (على سبيل المثال، حركة مرور الأعمال المحلية 90% من الإقليم)، ولكن حركة المرور الهجومية غالبًا ما تقفز عالميًا. في الأسبوع الماضي، ظهرت محطة أعمال فجأة عددًا كبيرًا من الزيارات من جنوب إفريقيا، وهو فحص هو حقًا تسجيل دخول مفاجئ. في وقت لاحق، فتحوا التحكم في الوصول الجغرافي على CDN07، وتم رفض حركة المرور في غير منطقة الأعمال مباشرة، وانخفض الضغط على الخادم.
أخيرًا، دعنا نتحدث عن تقنية متقدمة: ارتباط توقيت السجل. إن مجرد النظر إلى الطفرات اللحظية يمكن أن يفوتك الهجمات البطيئة، لذا عليك تمديد الجدول الزمني لرؤية الاتجاه. على سبيل المثال، إذا كان يتم الوصول إلى واجهة واجهة برمجة التطبيقات عادةً 100 مرة في الدقيقة، ثم فجأةً تصبح 500 مرة وتستمر لمدة 10 دقائق - هذا أكثر خطورة من الاندفاع اللحظي الذي يصل إلى 5000 مرة، لأنه أشبه باختراق منخفض التردد يتم التحكم فيه بشكل مصطنع. يجب أن تدعم شبكة CDN الجيدة (مثل 08Host) تنبيهات النوافذ الزمنية المخصصة، وليس فقط إحصائيات الـ 5 دقائق الافتراضية.
في الواقع، يتم تحسين استراتيجية الدفاع على ثلاث نقاط أساسية: قبل النقاط المدفونة (حقول السجل لتشغيلها جميعًا)، وفي مسألة الارتباط (التحليل المتقاطع متعدد الأبعاد)، وبعد الأتمتة (حظر ربط الإنذار). العديد من المؤسسات عالقة في الخطوة الأولى: حتى المحيل و X-الموجه-لأن هذه الحقول الأساسية غير مسجلة، ولا توجد طريقة لبدء التحليل اللاحق.
لإعطائك نموذج تكوين، هذا هو تنسيق السجلات التي يجب تسجيلها بشكل إضافي على جانب Nginx:
تذكّر أن سجلات CDN ليست قواعد بيانات للأرشفة، بل خرائط المعارك في الوقت الحقيقي. لا تنظر إلى بعض البائعين الذين ينفجرون، يجب أن يدعم نظام التسجيل الجيد حقًا: تنزيلات السجلات الأصلية، والاستعلام في الوقت الحقيقي لواجهة برمجة التطبيقات، ولوحات المعلومات المخصصة. CDN5 في هذا الصدد للقيام بذلك بجدية كبيرة، حتى وقت مصافحة TCP يمكن أن يؤخذ منه وقت مصافحة TCP للقيام بتحليل زمن الوصول، لمساعدة العملاء على كشف الكثير من الهجمات البطيئة.
في النهاية، لا تكمن القيمة الكبرى لشبكة CDN عالية الدفاع في نقل حركة المرور بقوة، بل في إعطائك الذخيرة لتحليلها. في المرة القادمة التي تنظر فيها إلى السجلات، جرّب مجموعتي من التركيبات: أولاً اسحب أولاً ترددات عناوين URL TOP100، ثم التحليل المتقاطع لرمز الحالة والتوزيع الجغرافي، وأخيراً استخدم ميزات وكيل المستخدم للقيام بالتصفية الثانية - لضمان أن تتمكن من اكتشاف تلك الطلبات العميقة “الزائفة” العميقة المخفية. "الطلبات
الهجوم والدفاع الأمني هو في الأساس مواجهة في التكلفة. إذا قضيت على تكاليف عمل المهاجمين بالتحليل الآلي، فلن يستطيعوا الفوز. اذهب وتحقق من إعدادات تسجيل شبكة CDN الخاصة بك الآن، ولا تقل أنني لم أحذرك - هناك بعض الحفر التي يجب عليك الانتظار حتى تنهار قبل أن تفكر في سدها.

