في الآونة الأخيرة، اشتكى لي أحد الأصدقاء من أن تأثير الحماية الأمنية قد ارتفع بعد أعمالهم على شبكة CDN عالية الدفاع، ولكن معدل الحجب الخاطئ مرتفع بشكل يبعث على السخرية، ولا ينتقل إلى المستخدم العادي للتوقف في الخارج. لقد ضحكت بعد الاستماع إلى هذه المشكلة التي واجهتها قبل ثلاث سنوات، عندما كاد العميل أن يوبخ العميل للشك في الحياة.
لنكون صادقين، العديد من مزودي خدمة CDN عالية الحماية في السوق الآن، ببساطة لا يأخذون “معدل الحظر الكاذب” كمؤشرات أساسية للتعامل معها. إنهم أكثر استعدادًا للتفاخر بمدى قوة قدرتهم على الحماية، وعدد العقد، والقدرة على التنظيف، ولكن الاستخدام الفعلي، واحتمال اعتراض طلب عادي أكثر من احتمال التعرض للهجوم. هذا يشبه قيامك بتركيب باب حماية، والنتيجة هي أن عائلتك مغلقة كل يوم.
لقد قمت باختبار عدد من الخدمات، بما في ذلك CDN5 و CDN07 و 08Host، ووجدت أن وراء ارتفاع معدل الحظر هو في الواقع نتيجة لسلسلة من المشاكل. على سبيل المثال، قاعدة القواعد قديمة، ونموذج التحليل السلوكي خشن، وحتى بعض مزودي الخدمة من أجل توفير المتاعب مباشرة في جميع المجالات - جزء معين من بروتوكول الإنترنت هو جزء صغير من حركة المرور غير الطبيعية، يتم حظر الجزء بأكمله بالنسبة لك. هذا النوع من الممارسة الخشنة، في عصرنا الحالي الذي يشهد عملية ضبط دقيق، هو ببساطة مزحة.
يجب أن تكون قاعدة التعرّف الذكي الجيدة حقًا مثل الصياد القديم الذي يصطاد الصيادين، والتي يمكنها التصويب على الهدف بدقة ولكن لن تؤذي النباتات المحيطة عن طريق الخطأ. يجب أن تكون قادرة على التمييز بين “الهجمات الخبيثة” و“ذروة الأعمال العادية”، وتحديد “سلوك الزاحف” و“العمليات المفاجئة للمستخدمين البشر”، وحتى التكيف مع خصائص حركة المرور لمختلف الصناعات والسيناريوهات. "يجب أن يكون قادرًا حتى على التكيف مع خصائص حركة المرور لمختلف الصناعات والسيناريوهات.
بادئ ذي بدء، أود أن أقول إن سوء الفهم الأكثر شيوعًا: العديد من الفرق تأتي بكومة مجنونة من القواعد، وتكره جميع قواعد WAF، والقائمة السوداء لعنوان IP، واستراتيجية حماية CC مفتوحة، والنتيجة هي أن الطلب العادي يتعرض أيضًا لكدمة. لقد رأيت محطة للتجارة الإلكترونية، نظرًا لأن حماية CC صارمة للغاية، فقد أسيء تقدير ثلث طلب الطلب أثناء الترقية على أنه هجوم، وخسائر فادحة.
في الواقع، لا يكمن مفتاح تقليل معدل الحجب الخاطئ في عدد القواعد، بل في جودة وذكاء القواعد. على سبيل المثال، قامت شبكة CDN5 بعمل أكثر تفصيلاً في هذا المجال، فبدلاً من الاعتماد فقط على عتبات التردد لإصدار الأحكام، فإنها تجمع بين معلومات متعددة الأبعاد مثل بصمات JA3 وأحجام نوافذ TCP وخصائص توقيت حركة المرور للقيام بنمذجة سلوكية. وبهذه الطريقة، حتى لو كان لعنوان بروتوكول الإنترنت عدد كبير من الطلبات في فترة زمنية قصيرة، فلن يتم حظره بسهولة طالما كانت الخصائص الأخرى طبيعية.
شيء آخر جدير بالذكر هو “وضع التعلّم” الخاص بـ 08Host. فهي تسمح للعملاء بفتح فترة من المراقبة، حتى يتمكن النظام من معرفة نمط حركة المرور العادية، ثم تمكين قواعد الحماية تدريجياً. هذه الميزة مناسبة بشكل خاص للمشاريع ذات أنماط حركة المرور الخاصة بالأعمال، مثل خوادم الألعاب وخدمات واجهة واجهة API وما إلى ذلك. لقد استخدمت العديد من مشاريعي الخاصة هذا النهج لقمع المعدل الإيجابي الخاطئ إلى أقل من 0.5%.
بالطبع، لا يكفي الاعتماد على القواعد الافتراضية التي يوفرها مزود الخدمة الخاص بك. عليك إجراء تعديلات مخصصة وفقًا لخصائص عملك. على سبيل المثال، إذا كنت تقوم بأعمال تجارية دولية، فعليك أن تولي اهتماماً خاصاً لتجنب حظر عناوين IP الخارجية عن طريق الخطأ؛ إذا كان مستخدموك يركزون بشكل أساسي على الهاتف المحمول، فعليك التركيز على تقلب مجموعة عناوين IP الخاصة بالمشغل.
عادةً ما أوصي الفريق بنشر مجموعة من نظام تحليل سجل حركة المرور في الخلفية لتسجيل جميع الطلبات المحظورة وإجراء تحليل التتبع العكسي بانتظام. في كثير من الأحيان ستجد أن بعض الحجب الخاطئ هو في الواقع أمر منتظم - على سبيل المثال، المستخدمون في منطقة معينة دائمًا ما يقومون بتفعيل القواعد، أو من السهل الحكم على واجهة واجهة برمجة تطبيقات معينة بأنها شاذة بسبب تصميمها الخاص.
على سبيل المثال، كان لدينا تطبيق عميل من قبل، كل ترقية ستركز على انفجار مجموعة من الطلبات، من السهل أن تتغلب قواعد الحماية التقليدية القائمة على التردد على هذه الموجة من حركة المرور إلى هجوم. لاحقًا قمنا بتكوين القواعد التالية على CDN07:
مثل هذا المزيج البسيط من القواعد يحل مشكلة الحظر الخاطئ لـ 90%. لاحظ أننا هنا لم نستخدم حد التردد مباشرة، ولكننا لم نستخدم حد التردد مباشرة، ولكننا قمنا بدمجه مع درجة التهديد وخصائص وكيل المستخدم لإصدار حكم، وهو ما لا يضمن الأمان فحسب، بل يتجنب أيضًا عمليات القتل الخاطئة.
بالتعمق أكثر، فإن جوهر التعرف الذكي على القواعد هو “التعديل الديناميكي”. يجب أن يكون نظام الحماية الجيد قادرًا على تعلم أنماط حركة المرور في الوقت الفعلي وتخفيف القواعد أو تشديدها تلقائيًا. على سبيل المثال، يمكن لخوارزميات CDN5 ضبط العتبات تلقائيًا خلال فترات ذروة العمل، بدلاً من الالتزام بقيمة ثابتة.
هناك أيضًا بعض السيناريوهات التي تتطلب عناية خاصة، مثل تدفق الفيديو، وتحميل الملفات، واتصالات WebSocket الطويلة ومثل هذه الأعمال، والتي تختلف أنماط حركة المرور بطبيعتها عن طلبات HTTP العادية. إذا استخدمت مباشرةً القواعد الافتراضية للحماية، فسيتم قلب الاحتمالات. عادةً ما أقوم بتكوين سياسة حماية منفصلة لهذا النوع من الأعمال، أو حتى نطاق فرعي منفصل لتجنب التداخل.
وبالحديث عن ذلك، يجب أن أبصق جملة، في هذه الأيام حتى CDN يجب أن “تمنع زملاء الفريق”. بعض مزودي الخدمة من أجل إظهار تأثير الحماية الخاص بهم يبدو جيدًا، وتعديل القواعد بشكل متعمد حساس بشكل خاص، على أي حال، حظر المستخدم عن طريق الخطأ ليس بالضرورة أن يكون موجودًا. هذه العقلية ضارة حقًا. لذلك عند اختيار مزود الخدمة، يجب أن نرى ما إذا كانوا يقدمون سجلات اعتراض مفصلة وأدوات تحليل، أو كيف تموت لا تعرف.
أخيرًا، أود أن أشارك بعض البيانات الواقعية: أحد مشاريعنا التي يبلغ معدل الختم الكاذب فيها 10 ملايين يوميًا قبل التحسين، كان معدل الختم الكاذب يصل إلى 7%، بعد ثلاثة أسابيع من ضبط القواعد وتخصيص الاستراتيجية، تم الضغط في النهاية على معدل الختم الكاذب إلى أقل من 0.3%. هذا لا يستخدم أي تقنية سوداء، هو تحليل السجلات بصدق، وتعديل القواعد، واختبار AB ثم التكرار. مقتطف التكوين المحسّن المحدد هو كما يلي:
بالطبع، كل حالة عمل مختلفة، قد لا تكون هذه المجموعة من التكوينات مناسبة لك، ولكن الفكرة هي نفسها: تحسين المشهد، جنبًا إلى جنب مع العمل، والتكيف الديناميكي. لا تصدق أولئك الذين يزعمون أن دعاية “مفتاح واحد للحماية”، فالأمن هذا الأمر ليس حلًا سحريًا أبدًا.
بشكل عام، يعد تقليل المعدل الإيجابي الخاطئ مهمة هندسية تتطلب استثمارًا مستمرًا. فهو يختبر كلاً من القوة التقنية لمزود الخدمة، وكذلك درجة عناية فريق التشغيل والصيانة. الآن أنا أكثر ما أخشاه أن أسمع أحدهم يقول “نحن على شبكة CDN عالية الدفاع على الأمن”، في الواقع، في البداية فقط، الجزء الخلفي من الضبط هو الحدث الرئيسي.
إذا كنت تعاني من صداع سوء الحجب، فمن المستحسن أن تبدأ بتحليل السجل لفرز خصائص الطلبات التي أسيء حظرها قبل تعديل القواعد بطريقة مستهدفة. تذكّر أن استراتيجية الحماية الجيدة يجب أن تكون مثل السكين الجراحي، بحيث تزيل التهديد بدقة مع الحفاظ على أكبر قدر ممكن من الأنسجة السليمة. كان ينبغي التخلص من هذا النوع من الحلول الفضفاضة ذات المقاس الواحد الذي يناسب الجميع منذ وقت طويل.
ففي نهاية المطاف، من الصعب بما فيه الكفاية القيام بالأعمال التجارية هذه الأيام، فلا تدع الأمان يصبح القشة الأخيرة التي تسحق تجربة المستخدم.
