في الآونة الأخيرة، هناك دائمًا ما يسألني الأصدقاء، هل شبكة CDN عالية الأمان غير قادرة حقًا على منع هجمات CC؟ هذا سؤال جيد، لكن الإجابة ليست بهذه البساطة. لقد رأيت الكثير من الناس يعتقدون أن شراء حزمة دفاعية عالية سيكون على ما يرام، فإن نتائج هجوم CC اخترقت بعد مواجهة الارتباك. اليوم، دعونا نتحدث عن هذا الأمر.
إن هجوم CC هو، بصراحة، محاكاة لعدد كبير من الطلبات العادية، مما يستنفد موارد الخادم الخاص بك. إنه ليس مثل DDoS الذي يندفع مباشرةً إلى عرض النطاق الترددي، ولكنه سكين بطيء لتقطيع اللحم، وتحديداً لإسقاط وحدة المعالجة المركزية واتصالات قاعدة البيانات وهذه الروابط الضعيفة. لقد عانيت من الخسارة في السنوات الأولى، عندما اعتقدت أن قواعد جدار الحماية صعبة بما فيه الكفاية على الخط، فإن نتائج الجانب الآخر مع طلب بطيء منخفض التردد + مرجع عشوائي تجاوز بسهولة قاعدة القواعد - في هذه الأيام، حتى شبكة CDN يجب أن تكون ‘مضادة للتهديد"، بعد كل شيء، تبدو بعض حركة المرور الهجومية أكثر من الأشخاص الحقيقيين! أيضًا كشخص حقيقي
لماذا لا تستطيع شبكات CDN العادية التعامل معها؟ السبب الأساسي هو أن استراتيجية التخزين المؤقت الثابتة تفشل، فغالباً ما تستهدف هجمات CC الواجهات الديناميكية، مثل صفحة تسجيل الدخول، وواجهة البحث، وبوابة واجهة برمجة التطبيقات، هذه المسارات غير قادرة أساساً على التخزين المؤقت. في العام الماضي لمساعدتي في حالة طوارئ محطة التجارة الإلكترونية، وجدت أن المهاجمين يركزون بشكل خاص على واجهة تحميل مراجعة المنتج للعب، 3000 طلب في الثانية كلها مع معرف جلسة عشوائية “مستخدمين شرعيين”، لا يمكن لـ WAF التقليدي التمييز بين العدو وأنا.
تكمن القيمة الأساسية لشبكة CDN عالية الدفاع هنا: إنها ليست مجرد تكديس عرض النطاق الترددي فحسب، بل تعتمد على التحليل السلوكي + قيود التردد للقيام باعتراض ذكي. لنأخذ CDN5 على سبيل المثال، خوارزمية تتبع بصمات الأصابع الخاصة بهم هي حقًا شيء مميز - وجدت أن نفس عنوان IP حتى لو كان الاستبدال المتكرر لوكيل المستخدم، طالما أن بصمات TCP وخصائص مصافحة TLS هي نفسها، فلا يزال من الممكن ربط النظام بنفس موضوع الهجوم.
يجب دمج التكوين العملي الحقيقي مع خصائص العمل. على سبيل المثال، بالنسبة لحماية واجهة واجهة API، أوصي عموماً بما يلي:
بالطبع قواعد Nginx البحتة ليست كافية. في الوقت الحاضر، أصبح للهجمات المتقدمة نكهة التعلّم الآلي - سيستخدم الطرف الآخر التعلّم المعزز لضبط الفاصل الزمني للطلب، بحيث تعتقد أنه المستخدم الذي يتصفح الصفحة. لقد حان الوقت للاعتماد على شبكة الاستخبارات العالمية لشبكة CDN. 08Host يقوم بعمل أفضل في هذا المجال، حيث يقوم بمشاركة خصائص الهجوم عبر الشبكة في الوقت الفعلي: بمجرد أن تحدد أي عقدة نوعًا جديدًا من نمط CC، ستقوم جميع العقد الطرفية بتحديث قواعد الكشف الخاصة بها تلقائيًا في غضون 15 دقيقة.
أكثر ما يزعجني من بعض الأشخاص الذين ينفخون في “الدفاع غير المحدود”. واجهت حقًا هجمات CC المتقدمة، فقط الاعتماد على الأجهزة للحمل يبحث عن الموت. في العام الماضي، استخدم عميل العام الماضي شبكة CDN معينة تسمى حماية على مستوى T، وكانت النتائج اختراق CC لقاعدة البيانات. اكتشف لاحقًا أن المشكلة في البنية - تجاوز المهاجم شبكة CDN مباشرةً حل عنوان IP المصدر، 20,000 طلب تسجيل دخول في الثانية مباشرةً تجمع اتصال MySQL ممتلئ. لذلك لا تؤمن بشبح “الحماية بمفتاح واحد”، فإن إخفاء محطة المصدر، وتصفية المنافذ، وتجمع اتصال قاعدة البيانات للحد من تدفق هذه المهارات الأساسية ليست في مكانها، لشراء CDN أكثر تكلفة غير مجدية أيضًا.
من الناحية العملية، عليك أيضًا الانتباه إلى المعدل الإيجابي الخاطئ. بعض بائعي CDN من أجل أن تبدو البيانات جيدة بشكل مباشر في جميع المجالات، يقوم المستخدمون العاديون بضرب اختبار CAPTCHA. يجب أن تكون الحماية الجيدة مثل نبض الطبيب الصيني القديم - عليك التمييز بين سلوك البحث وتنظيف الواجهة الخبيثة. عادةً ما أضع دلوًا أولًا لأخذ عينة من حركة المرور لمدة أسبوع، وأحدد إحصائيًا تكرار الوصول الأساسي لكل عنوان URL. على سبيل المثال، صفحة تفاصيل المستخدم لذروة الوصول العادي هي 50 مرة في الثانية، وفجأة اندفعت فجأة إلى 2000 مرة بالتأكيد هناك مشكلة، ولكن إذا كان الترويج الكبير خلال صفحة قائمة المنتجات قد وصل إلى 3000 مرة / ثانية، فقد تكون هذه حركة مرور عادية.
وأخيراً، درس في الدموع: شبكة CDN عالية الدفاع ليست الحل السحري. بمجرد أن يكون هناك موقع مالي من قبل هجوم CC، فإن المهاجم كل طلب من المهاجم بملفات تعريف الارتباط المسروقة الحقيقية، يبدو والجلسة العادية هي نفسها تمامًا. في هذه المرحلة، يكون تحليل التردد وحده عديم الفائدة، وأخيرًا الاعتماد على قواعد العمل لإيقاف الخسارة - مثل فشل نفس المستخدم في تسجيل الدخول أكثر من 3 مرات في 5 دقائق لفرض القفل، أو التحقق من رصيد واجهة الاستعلام يجب أن يذهب للتحقق من MFA. لذا فإن الحماية الحقيقية هي حرب ثلاثية الأبعاد، وشبكة CDN ليست سوى خط الدفاع الأول.
والآن نعود إلى بداية السؤال: هل يمكن لشبكة CDN عالية الدفاع أن تمنع CC؟ نعم، ولكن ذلك يعتمد على كيفية عملها. يركز البائعون المختارون على ثلاث نقاط: تواتر تحديثات مكتبة البصمات الذكية، ودقة القواعد المخصصة، وما إذا كانت محطة المصدر لإخفاء تمامًا.CDN5 نموذج التعلم العميق CDN5 لمعدل التعرف البطيء على CC يمكن أن يصل إلى 92%، ولكن السعر مرتفع؛ CDN07 نموذج حماية واجهة برمجة التطبيقات CDN07 خارج الصندوق، مناسب للمشاريع الصغيرة والمتوسطة الحجم؛ 08Host زمن الوصول المنخفض لشبكة Anycast العالمية للتجارة الإلكترونية عبر الحدود. في النهاية، لا يوجد أفضل شبكة CDN، فقط التصميم المعماري الأنسب.
الأسياد الحقيقيون يقومون بالدفاع في العمق. عادة ما يكون برنامجي الحالي هو: واجهة CDN للقيام بتنظيف حركة المرور ← الطبقة الوسطى مع OpenResty للقيام بتقييد تدفق منطق الأعمال ← نواة محطة المصدر لضبط معلمات اتصال TCP. هذه الطبقات الثلاث من الغربال لأسفل، يمكن أن تندفع إلى قاعدة بيانات الطلبات الضارة أقل من 0.1%. تذكر آه، الأمن هو مشروع منهجي، لا تتوقع أن منتج واحد يمكن أن يعطيك القاع.
