في الآونة الأخيرة لمساعدة محطة للتجارة الإلكترونية للقيام بالاستجابة لحالات الطوارئ، واجهت موقفًا مبكيًا: لقد أنفقوا الكثير من المال العام الماضي لشراء شبكة CDN عالية الدفاع، وكتبت الصفحة الترويجية "حماية على مستوى T"، بدأت نتائج الأنشطة الترويجية للتو عشر دقائق فقط، تم إسقاط الموقع بالكامل مباشرة - الهجوم على حركة المرور في الواقع، فقط 200G من الرأس. دعا الرئيس إلى توبيخ مزود الخدمة، وجاء الطرف الآخر ببطء إلى جملة: "أنت تشتري الحزمة الأساسية، ذروة الدفاع يحتوي فقط على 100G، ما وراء الجزء لإضافة المال لفتح يدويا" ...... هذا العام، حتى CDN يجب أن "مكافحة الأعداء"؟
CDN عالية الدفاع CDN هذا الشيء، بعبارة صريحة هو أن الموقع دعا حارس شخصي. لكن المشكلة هي أن العديد من الشركات تعتقد أن بإمكانها أن تطمئن بعد شراء الخدمة، في الواقع، فإن معظم شبكات CDN التقليدية عالية الدفاع هي وضع "دفاع ثابت": لتعطيك قيمة دفاعية ثابتة، تتجاوز الهجوم مباشرةً تجاوز خط الدفاع العالي، أو ببساطة ألقيت في الثقب الأسود. تمامًا مثل شراء التأمين عندما ينفخ البائع في السماء، حقًا إلى المطالبة فقط لتجد أن الشروط دفنت مجموعة من الحفر.
لقد اختبرت في السوق سبعة أو ثمانية من مزودي خدمات الدفاع العالي السائدة، ووجدت أن هناك ثلاث نقاط ألم مشتركة: الأولى هي ضعف المرونة، ولا يمكن تعديل ذروة الدفاع في الوقت الحقيقي عند الطلب؛ والثانية هي أن تأخير التحويل مرتفع، وواجهت نوعًا جديدًا من الهجمات المختلطة عندما تدخل القواعد حيز التنفيذ ببطء؛ والثالثة هي تكلفة حركة المرور غير المتوقعة التي لا يمكن السيطرة عليها، وغالبًا ما تكون مصحوبة بفواتير مرتفعة للغاية. خاصةً عندما تختلط هجمات CC و DDoS، فإن طبقات الحماية السبع للعديد من شبكات CDN تكون عديمة الفائدة تقريبًا.
لنبدأ بنقطة غير بديهية: "قيمة الدفاع" لشبكة CDN عالية الدفاع هي في الواقع متغير ديناميكي. فهي تعتمد حقاً على حجم تجمع الموارد الأساسي وخوارزميات الجدولة. على سبيل المثال، يمكن لشبكات CDN5، والسبب في جرأتها على الوعد بـ "دفاع غير محدود"، لأنها متصلة بالجزء الخلفي من عدد من مراكز حركة المرور النظيفة، أن تحقق مستوى "مستوى السل" تقريباً من جدولة حركة المرور. إن ما يسمى بـ "الدفاع على مستوى تيرابايت" لدى صغار البائعين غالباً ما يكون لعبة رياضية تجمع كل عرض النطاق الترددي للعملاء معاً وتحسبها - عندما يواجهون بالفعل هجوماً واسع النطاق، تنهار المنافسة على الموارد مباشرة.
الخطوة الأولى في ترقية القدرة الدفاعية هي معرفة خصائص عملك. عادةً ما أوصي العملاء باستخدام طريقة "تحليل ملف تعريف الهجوم": أولاً، اسحب سجلات الهجمات للأشهر الستة الماضية، واكتشف إحصائيًا أنواع الهجمات ذات التردد الأعلى، ونطاق ذروة حركة المرور، ومناطق المصدر الرئيسية. على سبيل المثال، إذا وجدت محطة مالية أن هناك دائمًا حوالي 200 جيجابايت من فيضانات UDP بعد ظهر كل يوم جمعة، فإن الخيار الأكثر فعالية من حيث التكلفة هو تشغيل الحماية من الهجمات خلال هذا الوقت مسبقًا.
من الناحية العملية، أوصي باستراتيجية الجمع بين "الدفاع الأساسي + ذروة المرونة". يستخدم الدفاع الأساسي حزمة ثابتة لتحمل الهجمات اليومية صغيرة النطاق، بينما يعتمد جزء المرونة على نموذج الدفع حسب الحجم. مثل برنامج "المرونة الثانية" في CDN07 أكثر واقعية - الهجمات التي تتجاوز العتبة التي يتم تشغيلها تلقائيًا من خلال توسيع السعة، دون الحاجة إلى موافقة يدوية، ويمكن تنقيح دقة الدفاع إلى مستوى اسم نطاق واحد.
الجانب الأكثر أهمية في التنفيذ التقني هو القدرة على جدولة واجهة برمجة التطبيقات. يجب أن توفر خدمة الدفاع العالي الجيدة واجهة واجهة برمجة تطبيقات كاملة تسمح لنا بتعديل استراتيجيات الحماية ديناميكيًا من خلال نظام مراقبة ذاتي البناء. كود Python التالي هو مشغل توسيع المرونة الذي أستخدمه بالفعل في نظام عميلي:
إن تصميم بعض البائعين لواجهة برمجة التطبيقات هو ببساطة فن سلوكي - تأخير الاستجابة الذي يصل إلى 30 ثانية، في انتظار أن تعيد الواجهة نتائج العمل في وقت مبكر. لذلك يجب كتابة أداء واجهة برمجة التطبيقات الاختبارية في العقد، مما يتطلب استجابة طلبات 99% في غضون 5 ثوانٍ. 08Host زرعت في هذه القطعة، واجهة برمجة التطبيقات الموسعة المرنة الخاصة بهم العام الماضي، متوسط وقت الاستجابة 12 ثانية، ثم رشها العميل لإعادة كتابة نظام الجدولة بالكامل.
بالإضافة إلى سرعة التوسع، فإن كفاءة القواعد الصادرة هي أيضًا شريان الحياة. يتم الآن تغيير برنامج CDN التقليدي لتحديث قواعد WAF إلى المستوى الدقيق، يتم الآن تغيير البرنامج السائد لاستخدام عقد حوسبة الحافة التي تم تجميعها في الوقت الفعلي. على سبيل المثال، استخدام تقنية WebAssembly لحماية القواعد التي تم تجميعها في كود بايت يتم إرسالها إلى حافة عقدة CDN، يمكن ضغطها إلى أجزاء من الثانية في الواقع. يتم تجاهل هذه التفاصيل التقنية من قبل العديد من الأشخاص، لكنها بالضبط مفتاح التعامل مع الهجمات المتغيرة السريعة.
هناك درس جيد للغاية يمكن تعلمه حول التحكم في التكاليف: لا تنخدع بهراء "الدفاع غير المحدود"! فجميع البائعين لديهم حدود قصوى غير محدودة، والشيء الوحيد غير المحدود حقًا هو فاتورتك. في إحدى المرات اشترى أحد العملاء "حماية غير محدودة"، وفي الشهر الأول تعرض لهجمات متواصلة بـ 800 جيجا، وفي الشهر الثاني تلقى فاتورة بمليون ومائتي ألف - اتضح أن زاوية العقد مكتوب عليها "حركة المرور الزائدة وفقًا لفاتورة $0.05/جيجا بايت".
الحل الأكثر تقدمًا في الوقت الحاضر هو "آلية الانصهار الذكي". فهي لا تقوم فقط بضبط الدفاع وفقًا لحركة مرور الهجمات، بل تتخذ أيضًا قرارات بناءً على أهمية الأعمال. على سبيل المثال، يتم تقسيم واجهة الأعمال إلى روابط المعاملات الأساسية والاستعلامات غير الحرجة، ويتم تخفيض مستوى الحماية للخدمات غير الأساسية مؤقتًا في الحالات القصوى لحماية الأعمال الأساسية. وقد ساعدت هذه الاستراتيجية إحدى منصات التجارة الإلكترونية على توفير أكثر من 700,000 دولار من رسوم الحماية المرنة خلال فترة العام الماضي في فترة Double 11.
وأخيراً، أود أن أذكر تفصيلاً أغفله الكثير من الناس: يجب استخدام سجلات شبكة CDN عالية الدفاع لتغذية الذكاء الاصطناعي، فما عليك سوى كتابة استعلام Splunk للعثور على نمط الهجوم:
لا تؤدي هذه البيانات إلى تحسين استراتيجيات الحماية فحسب، بل تحفز أيضًا بائعي شبكات CDN بدورهم - في المرة الأخيرة كانت بيانات السجل هي التي جعلت CDN5 تعترف بوجود ثغرة في عدد الاتصالات المتزامنة في مكدس TCP الخاص بهم، وانتهى الأمر بمنحنا ترقية مجانية لمجموعة الحماية.
لكي نكون صادقين، فإن سوق شبكات CDN الدفاعية العالية الحالية تشبه سباق التسلح، فالمهاجم يستخدم الذكاء الاصطناعي لتوليد حركة مرور الهجمات، والمدافع عليه استخدام التعلم الآلي للتنبؤ بأنماط الهجوم. من بين العديد من البائعين الذين تم اختبارهم مؤخرًا، يعد "توسيع التنبؤ بالذكاء الاصطناعي" من CDN07 مثيرًا للاهتمام بعض الشيء، والذي يمكنه التنبؤ بموجة الهجوم قبل 5 دقائق من خلال بيانات معلومات التهديد وتسخين موارد الحماية تلقائيًا. على الرغم من أن معدل الدقة يبلغ حاليًا حوالي 70%، إلا أنه بالفعل أقوى بكثير من الاستجابة اليدوية.
إذا كنت ترغب حقًا في التوصية ببرنامج، فإن اقتراحي هو: الاستخدام اليومي لـ 08Host لتنفيذ هجمات صغيرة الحجم (فعالة من حيث التكلفة)، والتبديل إلى الحماية المرنة لـ CDN5 قبل الأنشطة واسعة النطاق (مجموعة كبيرة من الموارد)، وتمكين وضع الحماية بالذكاء الاصطناعي لـ CDN07 عند مواجهة التهديدات المستمرة المتقدمة (إمكانية الجدولة الذكية). وبطبيعة الحال، فإن الدفاع الأصعب هو دائماً طبقة الأعمال للقيام بالتصميم الموزع والمكرر - CDN مجرد وسيلة لكسب الوقت، ولا يزال يتعين على خط الدفاع الحقيقي أن يتقن نفسه.
أخيرًا ألقِ نظرية عنيفة: في السنوات الثلاث القادمة، ستختفي العلامة التجارية "CDN عالية الدفاع" 90%، إما من قبل بائعي السحابة ليتم دمجها، أو تحويلها للقيام بخدمات الأمان. الآن ستنتهي مسرحية تجمع الموارد الإملائية هذه عاجلاً أم آجلاً، وستنتقل بالتأكيد في نهاية المطاف إلى مسار الحوسبة المتطورة + تقنية جدولة الذكاء الاصطناعي. لذلك لا تنظر الآن إلى أرقام الدفاع فقط عند اختيار نموذج ما، بل افحص المزيد من استثمارات البائع في البحث والتطوير وبيئة واجهة برمجة التطبيقات، وإلا فإن "الدفاع على مستوى T" الذي تم شراؤه اليوم قد يصبح إرثًا رقميًا في العام المقبل.
(بعد الكتابة والاطلاع على تنبيهات المراقبة، تعرض عميل آخر لهجوم انعكاسي على ميمكاشد 380G - يجب أن يتم تناول المعكرونة الفورية الليلة على سجلات حركة المرور مرة أخرى ......)
