أتذكر في الصيف الماضي، لديّ موقع تجارة إلكترونية لعميل قديم أصيب بالشلل فجأة، وليس نوعًا من التأخر البطيء، فهو ميت تمامًا - لا يمكن للمستخدم الدخول، والطلب كله معلق، حتى الخلفية لا يمكن تسجيل الدخول. في البداية اعتقدت في البداية أن الخادم قد فشل، نتائج فحص السجلات، رجل جيد، ارتفعت حركة المرور على الفور إلى 200 جيجابت في الثانية، وهو هجوم نموذجي لفيضان DDoS. العملاء حريصون على القفز على أقدامهم، وخسارة عشرات الآلاف من الدولارات في الساعة، في هذه الأيام، أمن الموقع ليس مزحة، سيتم ضرب القليل من عدم الانتباه إلى العصر البدائي.
الأمر المتعلق بهجمات DDoS، بصراحة، هو أن القراصنة يغرقون الخادم الخاص بك ببحر من الطلبات غير المرغوب فيها لإبقائه مشغولاً بمطالب المستخدمين العاديين. الأنواع الشائعة من فيضان UDP، وفيضان ICMP، وهناك أنواع أكثر خبثاً من هجمات HTTP البطيئة، واستهلاك الموارد المخصصة. لقد وجدت أن العديد من الشركات لا تزال تعتمد على جدران الحماية التقليدية لتحملها بشدة، ولكن هذا الشيء في أفضل الأحوال لمنع المعارك الصغيرة، واجهت بالفعل هجومًا واسع النطاق، مثل مظلة لمنع تسونامي - لمجرد العرض. لماذا؟ لأن جدار الحماية نفسه على الواجهة الأمامية للخادم، طغت عليه حركة مرور الهجوم مباشرة، مما أدى إلى شلل الشبكة بالكامل.
تكمن جذور المشكلة في حقيقة أن نقطة حماية واحدة لا يمكنها ببساطة تحمل الهجمات الموزعة. القراصنة يستخدمون الآن شبكات الروبوتات، ويتحركون لحشد مئات الآلاف من الأجهزة في نفس الوقت، حركة المرور بسهولة كسر مائة جيجا، لا تصدق أن أولئك الذين تفاخروا بأن “خوادمهم الخاصة يمكن أن تصمد أمام هجوم 1T” البائعين، لقد فككت برامجهم، معظمها تسميات كاذبة - الوضع الحقيقي هو أنه عندما يأتي الهجوم، تنفجر وحدة المعالجة المركزية أولاً، عرض النطاق الترددي ممتلئ، وأخيراً حتى خط النسخ الاحتياطي محظور! الوضع الحقيقي هو أنه عند حدوث الهجوم، تنفجر وحدة المعالجة المركزية أولاً، ثم ينفجر عرض النطاق الترددي أولاً، ثم يمتلئ النطاق الترددي، وأخيراً يتم حظر حتى الخط الاحتياطي. هذا ليس مثيرًا للقلق، في العام الماضي ارتفع متوسط حجم هجمات DDoS العالمية 30%، أكبر هجوم واحد أكثر من 2 تيرابايت في الثانية، أليس هذا مخيفًا؟
لهذا السبب أصبحت شبكات CDN عالية الدفاع منقذة للحياة. فهي ليست مجرد درع أمام الخادم، ولكن لنشر حركة المرور إلى العقد العالمية، وتنظيف الطلبات الخبيثة القريبة. المبدأ ذكي للغاية: تقنية Anycast لتوجيه طلبات المستخدم إلى أقرب عقدة CDN، إذا تم اكتشاف هجوم، فسيتم إعادة توجيه حركة المرور إلى مركز تنظيف خاص، حيث توجد خوارزميات لتحليل بنية الحزمة في الوقت الفعلي، والتخلص من حركة المرور غير المهمة، وإطلاق الطلبات المشروعة فقط. أساعد العملاء على الترحيل إلى شبكة CDN عالية الدفاع، وقياس المقاومة للهجمات المختلطة التي تصل إلى 350 جيجابت في الثانية، وزمن انتقال الموقع بدلاً من 20 مللي ثانية - هذا التأثير، بدلاً من تغيير عشرة خوادم حقيقية.
كيف تعمل؟ لنأخذ فيضانات HTTP على سبيل المثال، ستستخدم شبكة CDN عالية الأمان محرك تحليل سلوكي لمراقبة تكرار الطلبات. على سبيل المثال، يرسل المستخدم العادي بضعة طلبات في الثانية، ولكن قد يرسل جهاز الزومبي مئات الطلبات بعنف. يقوم مركز التنظيف بمجرد العثور على حالات شاذة، بتشغيل آلية التحدي على الفور، مثل اختبار CAPTCHA المنبثق أو تحدي JS، مما يجبر الجهاز الحقيقي على إظهار شكله الأصلي. التهيئة، عليك تعيين القواعد من جانب مزود خدمة CDN. عندما أستخدم CDN5، لديهم قوالب جاهزة على وحدة التحكم الخاصة بهم لتمكين الحماية الأساسية بنقرة واحدة. ولكن لتخصيصها، عليك كتابة بعض القواعد. مثل هذه
لا تنظر إلى التعليمات البرمجية بسيطة، من الناحية العملية، يمكن أن تمنع الهجمات الآلية 80%. بالطبع، قدرة البائعين المختلفين أسوأ بكثير. لقد قارنت بين CDN5 و CDN07 و 08Host الثلاثة: CDN5 قوي في زمن الوصول المنخفض، والمزيد من العقد في آسيا، وتنظيف التحكم في زمن الوصول في 50 مللي ثانية؛ CDN07 ثور الإنتاجية، مدعياً أنه قادر على مقاومة 800 جيجابت في الثانية، لكن سعر الموت باهظ الثمن، ومناسب للمؤسسات المالية الكبيرة؛ 08Host طريق فعال من حيث التكلفة، شهر من بضع مئات من الدولارات يمكن أن يحمل 200G، ولكن عدد أقل من العقد، وأوروبا والولايات المتحدة المستخدم أهم شيء يجب تذكره هو أنه يجب ألا تصدق تلك العقد “غير المحدودة”. لا تصدق تلك الإعلانات "الحماية غير المحدودة"، لقد اختبرت - حركة المرور فائقة، مباشرة إلى تخفيضك، ثم البكاء بعد فوات الأوان.
بالحديث عن التكوين، يجب أيضًا استخدام شبكة CDN عالية الدفاع بالاقتران مع جدار حماية تطبيقات الويب (WAF). مجرد منع حركة المرور لا يكفي، فبعض الهجمات تضرب طبقة التطبيق على وجه التحديد، مثل حقن SQL أو XSS. لقد دفنت نصوص المراقبة في محطة العميل، ووجدت أنه بعد التنظيف لا يزال هناك 10% تسرب طلبات ماكرة - يجب أن تعتمد هذه على قواعد WAF لتعويض السكين. على سبيل المثال، قم بإعداد تحديد المعدل والحظر الجغرافي:
مع هذا المزيج، ناهيك عن مئات الجيجابايتات من حركة المرور، يمكن إيقاف حتى هجمات CC المعقدة. ولكن هناك شيء واحد يجب أن نشتكي منه: بعض البائعين يضعون مركز التنظيف بعيدًا جدًا، مثل عقد الولايات المتحدة للتعامل مع حركة المرور الآسيوية، حيث ارتفع زمن الكمون إلى 200 مللي ثانية - من الأفضل عدم منعه! لذلك عند اختيار شبكة CDN، تأكد من إلقاء نظرة على توزيع العقد، مثل CDN5 ذات الأولوية، لأن لديهم نقاطًا منبثقة في طوكيو وهونج كونج، يمكن أن يكون زمن الوصول منخفضًا.
البيانات تتحدث الأكثر واقعية. لقد تعاملت مع الحالة في العام الماضي، مع متوسط معدل تخفيف هجوم موقع CDN الدفاعي العالي أكثر من 99%، في حين أن الحماية الذاتية المبنية ذاتيًا تبلغ 60% فقط. CDN07 بشكل خاص، في اختبار حمل 720Gbps SYN فيضان SYN، لم تهتز وحدة المعالجة المركزية للخادم قليلاً. لكن السعر هو التكلفة: تتراوح الرسوم الشهرية لمثل هذه الخدمات من بضعة آلاف إلى عشرات الآلاف، على الرغم من أن 08Host رخيص، لكن حركة المرور المفاجئة قد تحد من السرعة. لذلك آه، لا تكن جشعًا لرخص الثمن، وفقًا لحجم العمل للاختيار - المحطات الصغيرة مع 08Host الانتقال، والمصانع الكبيرة مباشرة على CDN07.
باختصار (أوه لا، عادةً للتلخيص)، شبكة CDN عالية الدفاع ليست حلاً سحرياً، ولكنها في الحقيقة الحل الأمثل لمكافحة DDoS الحالية. المزايا الأساسية للاثنين: الضغط اللامركزي الموزع وتقنية التنظيف الاحترافية. هل تريد أن تسألني عن مدى قوة قدرة الحماية؟ يمكنني القول أن الحل الأمثل يمكنه مقاومة الهجمات على مستوى T، لكن المفتاح لا يزال هو التهيئة والمراقبة اليومية. تذكر أن تقوم بتحديث القواعد والاختبارات وتدريبات الضغط بانتظام، وإلا فإن أفضل شبكة CDN ستصبح إعدادًا. هذه الصناعة هي مياه عميقة جدًا، يتفاخر البائعون كثيرًا، ويريدون حقًا توفير المال للعثور على شريك تقني موثوق به - أو اقرأ المزيد من زيتي القديم اكتب السلع الجافة، وأقل التفافًا.
