في الآونة الأخيرة، طلب مني أحد العملاء أن أشكو، قال إن موقع الويب الخاص بهم من الواضح أن موقع الويب الخاص بهم على شبكة CDN عالية الدفاع، ولكن النتيجة لا تزال اختراق DDoS، لقد تحققت من السجلات، رجل جيد، حركة مرور الهجوم كلها من عنوان IPv6، لكن شبكة CDN الخاصة بهم لم تفتح دعم IPv6 - في هذه الأيام، حتى المتسللين بدأوا في “احتضان المستقبل”، إذا كنا لا نزال نلتزم بالحماية بـ IPv4، ألا يترك ذلك بابًا خلفيًا للعدو؟ في الوقت الحاضر، حتى القراصنة بدأوا في هذه الأيام في "احتضان المستقبل"، إذا كنا نقوم بالحماية إذا كنا لا نزال نتمسك بـ IPv4 بشكل صارم، ألا يعني ذلك ترك باب خلفي للعدو؟
بصراحة، أنا أعمل في مجال أمن الشبكات منذ أكثر من عشر سنوات، وقد شاهدت تحول الإصدار السادس من بروتوكول الإنترنت IPv6 من “تكنولوجيا مستقبلية” إلى واقع “يجب القيام به”، فقد استنفدت عناوين الإصدار الرابع IPv4 منذ فترة طويلة مثل بركة في الصحراء، وتحاول شركات الاتصالات جاهدةً دفع الإصدار السادس IPv6، وقد تجاوزت نسبة حركة مرور الإصدار السادس IPv6 على شبكة الهاتف المحمول 70%. استحوذت حركة مرور IPv6 على أكثر من 70%، لكن العديد من الشركات لا تزال عالقة في عصر IPv4 لشبكة CDN عالية الدفاع، ألا ينتظر هذا التغلب عليه؟
تكمن المشكلة هنا: شبكة CDN عالية الدفاع إذا كانت مضادة لـ IPv4 فقط، ثم حركة مرور IPv6 مباشرة إلى المحطة المصدر، يستخدم المخترقون IPv6 بشكل عشوائي لشن الهجمات، فإن شبكة CDN الخاصة بك غير موجودة فعليًا. لقد ساعدت إحدى شركات التجارة الإلكترونية في إجراء اختبار اختراق العام الماضي، وتعمدت استخدام IPv6 لشن موجة من هجمات CC، وفي الواقع لم يكن هناك أي رد فعل “دفاعي عالي المستوى” في الواقع، ارتفعت وحدة المعالجة المركزية لمحطة المصدر مباشرة إلى 100% - كاد المدير أن يأخذني كمتسلل تم القبض عليه، وبعد ذلك! وجدت أن بائع CDN لم يشرح بوضوح أنه يجب تكوين IPv6 بشكل منفصل.
لماذا يجب أن تدعم شبكة CDN الدفاعية العالية الدفاعية IPv6؟ ببساطة، “حيثما تكون حركة المرور، يجب أن تتبع الحماية إلى أين”، IPv6 ليس تغييرًا في تنسيق العنوان بسيطًا جدًا، مساحة العنوان كبيرة جدًا بحيث يمكن إعطاؤها لكل حبة رمل على الأرض لتقسيمها إلى IP، يحب المخترقون الآن استخدام IPv6 للوقوع في المشاكل، لأن الكثير من الشركات ببساطة لا تراقب IPv6! حركة المرور. علاوة على ذلك، فإن Google و Cloudflare، هؤلاء الإخوة الكبار منذ فترة طويلة IPv6 بالكامل، فإن شبكة CDN الخاصة بك إذا لم تتمكن من مواكبة تجربة المستخدم، ناهيك عن المخاطر الأمنية يمكن أن تجعلك بلا نوم.
لقد اختبرت العديد من دعم IPv6 لشبكات CDN السائدة عالية الدفاع، وكانت النتائج مضحكة حقاً. بعض الصفحات الترويجية لبعض البائعين تنفخ الكثير من الدخان، ولكن في الواقع، عليك أن تضيف المال لفتح “إصدار المؤسسة” لإعطاء وظيفة IPv6؛ بعض الدعم، ولكن الافتراضي مغلق، وعليك البحث في المستندات للعثور على بوابة التكوين؛ هناك ما هو أكثر فظاعة، فرق الأداء بين عقد IPv6 وعقد IPv4 فرق كبير، ناهيك عن الكمون العالي، وقاعدة الحماية ليست شائعة! --هذه ليست مشكلة؟
دعنا نبدأ بتسمية هذه الخدمة، CDN5، لقد أعجبت جدًا عندما أجريت تقييمًا تقنيًا لهم. تتمتع شبكة CDN عالية الحماية الخاصة بهم بدعم آلي كامل للحزمة المزدوجة (IPv4+IPv6) منذ عام 2022، ولا تتطلب أي تهيئة إضافية، وتتم مزامنة قواعد اكتشاف الهجمات في كلا الاتجاهين. أكثر ما أقدّره هو “جدولة أولوية IPv6”: يتم اختيار أفضل بروتوكول تلقائيًا عند وصول المستخدم إليه، وهو ما لا يضمن التوافق فحسب، بل يحسن السرعة أيضًا. تم اختباره مع IPv6 الذي تم إطلاقه من خلال هجوم الإرسال المتزامن لـ IPv6، حيث تمكّنوا من تنظيف العقد في غضون 5 ثوانٍ لتحديدها واعتراضها، أسرع من بعض بائعي حماية IPv4.
مثال التكوين بسيط بما فيه الكفاية بحيث لا داعي للقلق بشأن اختيار البروتوكول على الإطلاق في الواجهة الخلفية لـ CDN5، ولكن إذا كنت ترغب في تعديله يدويًا، يمكنك إعداده بشكل مجمّع باستخدام واجهة برمجة التطبيقات الخاصة بهم:
لا تنظر فقط إلى بضعة أسطر من التعليمات البرمجية، ولكن هناك الكثير مما هو أكثر من ذلك. يحتوي ipv6_firewall_rules على تعبيرات تدعم مطابقة مقاطع CIDR (على سبيل المثال، 240e::/20 هو مقطع IPv6 الخاص بشركة China Mobile)، ويمكن دمجه مع أساليب HTTP ومسارات URI للقيام بتحكم دقيق - أوصي عمومًا بأن يحظر العملاء مقاطع IPv6 الأجنبية ليتم حظرها افتراضيًا أولاً، فمعظم المستخدمين الشرعيين في الصين.
يتعين على CDN07 شراء “حزمة حماية متقدمة” منفصلة لخاصية IPv6 الخاصة بها، مما يضاعف السعر ويقلل من تغطية العقدة. لقد قمت بقياس عقدة فرانكفورت الخاصة بهم، وتأخير تنظيف IPv6 أعلى بـ 200 مللي ثانية من IPv4 في المتوسط، وينفق الرؤساء المال، ولكن التأثير يقل. لكن لديهم ميزة: دعم قواعد IPv6 ACL المخصصة لـ IPv6، وهي مناسبة للمصانع الكبيرة ذات الاحتياجات الخاصة.
أما بالنسبة لـ 08Host، فهو طريق فعال من حيث التكلفة، ودعم IPv6 مجاني، ولكن لا تتوقع الكثير من الحماية، فقط لمنع الهجمات صغيرة النطاق. لقد قمتُ بمحاكاة فيضان IPv6 UDP بسرعة 10 جيجابت في الثانية، وعُقدها لتحمل 3 دقائق للعودة إلى المصدر - مناسب للمواقع الصغيرة ذات الميزانيات المحدودة، ففي النهاية، الحماية أفضل من لا شيء.
والآن إلى تفاصيل كيفية التهيئة. ينقسم دعم شبكة CDN عالية الدفاع IPv6 إلى ثلاث طبقات: طبقة الشبكة (الوصول المزدوج المكدس)، وطبقة البروتوكول (HTTP/3 عبر IPv6)، وطبقة الأمان (قواعد WAF الحصرية لـ IPv6). يقوم العديد من البائعين بالطبقة الأولى فقط، أما الطبقتان التاليتان فيتم التشويش عليهما، والنتيجة هي أن حركة مرور IPv6 يمكن أن تمر عبر شبكة CDN، ولكن الحماية غير موجودة تقريبًا.
في مشاريعي الخاصة، أتأكد من التحقق من اكتمال ميزات أمان IPv6 الخاصة بمورّد شبكة CDN. على سبيل المثال:
بأخذ تهيئة Nginx كمثال، إذا قمت ببناء عقدة CDN الخاصة بك، عليك أن تكتب هذا على الأقل:
انتبه لذلك.[::]:80سيتم تجاوز حركة مرور IPv6 مباشرة إذا كان هذا الخط مفقوداً. في العام الماضي، أجريت تدقيقًا لأحد البنوك ووجدت أن شبكة CDN المبنية ذاتيًا لم تكن مجهزة بهذا، وتجاوز المخترق بسهولة جدار حماية الأجهزة المليوني مع IPv6 - كان تشغيل وصيانة وجه الأخ الصغير في ذلك الوقت أبيض.
لمقارنة البيانات، قمت باختبار ثلاثة سيناريوهات: IPv4 النقي، و IPv6 النقي، والهجين ثنائي الحزمة. نتيجةً لذلك، في وضع المكدس المزدوج، يكون زمن انتقال CDN5 أعلى بـ 8 مللي ثانية من IPv4 في المتوسط (لا يكاد يذكر)، بينما يتقلب زمن انتقال IPv6 لـ CDN07 بما يصل إلى 150 مللي ثانية؛ على الرغم من أن زمن انتقال 08Host منخفض، إلا أن إشغال وحدة المعالجة المركزية يرتفع بشكل أسرع. أما على مستوى الأمان، فإن معدل اكتشاف هجمات DDoS لـ IPv6 أقل عمومًا من IPv4 بنسبة 10%-20%، ويرجع ذلك أساسًا إلى الاختلاف الكبير في خصائص حركة المرور، كما أن العديد من البائعين القدامى لم يقوموا بتحديث نماذج الكشف الخاصة بهم.
أخيرًا، أود أن أقدم بعض النصائح: إذا كان عملك يتضمن مستخدمين متنقلين (خاصة شبكة 5G)، فيجب اختيار شبكة CDN عالية الدفاع لدعم بائعي IPv6 بشكل كامل. ميزانية كافية على CDN5، لا تدخر هذا المال، فنسبة عائد الاستثمار الأمني هي الأعلى؛ المواقع الصغيرة والمتوسطة الحجم مع انتقال 08Host، ولكن تذكر أن تتحقق بانتظام من سجلات هجوم IPv6؛ أما بالنسبة لـ CDN07، إلا إذا كان لديك طلب مخصص، وإلا لا أوصي - وثائقهم الرئيسية المكتوبة بكتاب السماء، مضغت ثلاثة أيام لفهمها! إعدادات أولوية قاعدة IPv6.
شعبية IPv6 هي الاتجاه السائد، وبائعو شبكات CDN عالية الدفاع إما أن يتبعوا أو يتم القضاء عليهم. في العام الماضي، تم تغريم مصنع كبير 800،000 يوان بسبب ثغرة IPv6 ، الرؤساء منذ فترة طويلة كن حذرا! تحقق من خلفية CDN الخاصة بك، انتقل الآن إلى مفتاح IPv6، لا تنتظر الحادث ثم ابحث عني لإخماد الحريق - الأمن هذا الشيء، هو دائمًا الوقاية أكثر من العلاج.

