في الساعة الثالثة صباح ذلك اليوم، كنت أراقب حالة الخادم أثناء لعب إحدى الألعاب عندما انهالت رسائل التنبيه فجأة على هاتفي المحمول بشكل جنوني. كانت حركة المرور على الموقع الرسمي لأحد العملاء قد ارتفعت 200 مرة في 10 ثوانٍ، وهو مشهد نموذجي من مشاهد عربدة DDoS. انتقلت إلى منصة الحماية لإلقاء نظرة، لكن زوايا فمي ارتفعت إلى أعلى، فقد قام مركز تنظيف حركة المرور في شبكة CDN عالية الدفاع بحمل الهجوم تلقائيًا، ولم يهتز منحنى العمل ولو قليلاً.
في هذه الأيام، هناك دائمًا أناس يتغنون دائمًا بمديح شبكات CDN عالية الدفاع: “عصر السحابة الأصلية، الحوسبة الطرفية + التوجيه الذكي ليس كافيًا؟ ”صعود بنية انعدام الثقة، يجب أن تتقاعد الحماية التقليدية“. ولكن عندما أنظر إلى بيان الهجوم في أولئك الذين تم اعتراضهم بدقة تيرابايت من حركة المرور، أريد فقط أن أقول: يا أخي، أنت خائف من أنك لم تكن حقًا حربًا مسمومة على الشبكة.
إن جوهر شبكة CDN عالية الدفاع هو فن المساحة للوقت. مثل النظرية العسكرية للدفاع في العمق، من خلال التوزيع العالمي للعقد لتخفيف نيران الهجوم على الحافة. لقد اختبرت شبكة CDN5 Anycast، قد يكون طلب مستخدم شنغهاي من طوكيو وهونغ كونغ ولوس أنجلوس، ثلاث عقد في نفس الوقت للرد، لا يمكن للمهاجم حتى لمس عنوان IP الحقيقي. هذه القدرة الموزعة المضادة لـ D، بالاعتماد فقط على خادم المصدر؟ بالإضافة إلى عشرة أضعاف عرض النطاق الترددي يجب أن يركع أيضًا.
حالة نموذجية تمت مواجهتها مؤخرًا: تعرضت إحدى المنصات المالية لهجوم مختلط، أولاً هجوم CC مع مليوني طلب في الثانية، تلاه فيضان UDP بسرعة 500 جيجابت في الثانية. إذا تم استخدام حل جدار الحماية التقليدي، فإن تكلفة التوسعة وحدها تكفي لشراء ثلاث سنوات من الخدمات الأمنية العالية. ومع ذلك، من خلال نظام الجدولة الذكي لـ CDN07، تمت تصفية حركة المرور الخبيثة بواسطة طبقات في 30 مركز تنظيف، ولم يصل إلى المحطة المصدر سوى 0.31 تيرابايت في الثانية من الطلبات العادية.
تنطوي “الحماية السحابية الأصلية” التي يروج لها بعض البائعين الآن على عيوب قاتلة. على سبيل المثال، يبدو أن برنامج SD-WAN الخاص بأحد البائعين في السحابة قادر على تجاوز الهجمات من خلال التوجيه الذكي، ولكن التقلبات المقاسة في زمن الاستجابة تصل إلى 300 مللي ثانية أو أكثر. بالنسبة لسيناريوهات التجارة الإلكترونية أو سيناريوهات البث المباشر، هذا ببساطة سلوك انتحاري. في المقابل، يمكن لخوارزمية التسريع الديناميكي من 08Host الحفاظ على زمن انتقال طلب 95% في حدود 50 مللي ثانية أثناء الهجوم، وهي الحماية الحقيقية المتاحة.
إن التحسين على مستوى التعليمات البرمجية هو خندق شبكة CDN عالية الأمان. خذ على سبيل المثال منطق التحدي الذكي هذا:
يتم تدريب نموذج الذكاء الاصطناعي على عشرات الملايين من العينات الخبيثة وراء عشرات الأسطر من منطق التعليمات البرمجية. لقد قارنت بين محرك القواعد البحتة والحل الهجين للذكاء الاصطناعي، استجابةً لهجوم CC الجديد، يمكن تخفيض معدل القتل الخاطئ من 15% إلى 0.7%.
السبب الرئيسي وراء صعوبة استبداله على المدى القصير: خفض التكلفة الفعالة من حيث التكلفةفيما يلي قائمة بالعقد الأكثر شيوعًا في العالم. قام العملاء بحساب حساب: مركز تنظيف عالمي ذاتي البناء، يجب أن يكون الحد الأدنى لتخصيص عقدة واحدة $15k شهريًا للبدء، لتغطية المناطق الرئيسية تحتاج إلى 20 عقدة على الأقل. استخدام مجموعة الحماية المشتركة CDN5، بنفس مواصفات الحماية بتكلفة شهرية أقل من $8k، ولكن أيضًا الاستمتاع بالتحديث في الوقت الفعلي لقاعدة بيانات معلومات التهديدات.
إن بنية انعدام الثقة ساخنة حقًا، ولكن جوهرها هو “لا تثق أبدًا، تحقق دائمًا”، مما يعني أن كل طلب يجب أن تتم المصادقة عليه. بالنسبة لموقع ويب متاح للجمهور، هل تريد أن يقوم كل زائر بتسجيل الدخول قبل التصفح؟ إن الشيء الذكي في شبكات CDN عالية الدفاع هو أنها شفافة وغير حساسة للمستخدمين العاديين، وتضرب بقوة على حركة المرور الضارة. إنها مثل حارس أمن الحي الذي لا يتحقق من هوية كل صاحب منزل، ولكنه يوقف بشكل حاسم البلطجية الذين يحاولون اقتحامه.
إن اتجاه التطور في السنوات الخمس المقبلة واضح بالفعل: لن يتم استبدالها، بل سيتم دمجها بعمق. على سبيل المثال، تقوم 08Host باختبار برنامج “حوسبة أمان الحافة”، والذي يسمح بتشغيل منطق الكشف عن جدار حماية تطبيقات الويب على عقد CDN:
يقلل هذا النموذج من زمن انتقال الكشف الأمني من 500 مللي ثانية إلى أقل من 20 مللي ثانية، ويكون الموقع المصدر غير مرئي تمامًا لحركة المرور الضارة. وهو يعادل تزويد كل طلب مستخدم بحارس شخصي شخصي لكل مستخدم، والبحث والتدقيق قبل الدخول من الباب.
لطالما تخيل بعض الناس استبدال شبكات CDN بشبكات CDN بتقنية البلوك تشين أو تقنية سوداء غامضة، وسيعلمك الواقع أن تكون إنساناً. في العام الماضي، جربت مشروع حماية لامركزي ادعى أنه قادر على استخدام التعهيد الجماعي للعقد لمقاومة الهجمات. ونتيجةً لذلك، حدث فيضان SYN بسرعة 200 جيجابت في الثانية على النموذج الأصلي - للمشاركة في “الحماية المشتركة” للعقد ذات النطاق العريض المنزلي التي شلت، بل أصبحت شريكاً في الهجوم.
أكثر شيء لا يمكن الاستغناء عنه في شبكات CDN عالية الدفاع هو في الواقع ميزة البيانات. مثل شبكة CDN07، التي تتعامل مع 10 تريليون طلب في اليوم، فقد جمعت عينات من الهجمات أكثر مما شهدته بعض شركات الأمن خلال عقد من الزمن. يمكن لشبكة استخبارات التهديدات العالمية الخاصة بهم تحقيق مزامنة 5 ثوانٍ لتوقيعات الهجمات، وقد يكون ناقل هجوم ناشئ حديثًا قد تم تحديده للتو في عقدة هونغ كونغ، بينما العقدة الأمريكية الشمالية محصنة بالفعل. هذا النوع من القدرة الدفاعية المشتركة العابرة للمحيطات، لا يمكن للمنتجات الأمنية المعزولة القيام به ببساطة.
ولكن الحلول الحالية لديها أيضاً نقاط ضعف. عندما يتعلق الأمر بالتهديدات المتقدمة المستمرة المستهدفة (APTs)، تميل القواعد الثابتة لشبكات CDN التقليدية إلى الفشل. في هذا الوقت، نحن بحاجة إلى الإعجاب بوظيفة “التحليل السلوكي العميق” لشبكة CDN5، من خلال مراقبة أنماط الوصول غير الطبيعية للعثور على الهجمات الكامنة:
لقد ساعدني هذا النظام في القبض على ثلاث فرق زاحفة متربصة طويلة الأمد، والتي استخدمت آلاف عناوين IP لسرقة البيانات بسرعات منخفضة، والتي لا يمكن اكتشافها بواسطة برامج WAFs التقليدية. وأخيراً تم تعقبهم إلى بروتوكول الإنترنت الحقيقي في نفس مبنى المكاتب، ويمكن ببساطة تصوير فيلم تجسس.
بالعودة إلى الموضوع، لماذا أقول إنه من الصعب استبدال شبكة CDN عالية الدفاع خلال عشر سنوات؟ لأن أمن الشبكات هو في الأساس حرب غير متكافئة بين تكاليف الهجوم والدفاع. يحتاج المهاجمون فقط للعثور على ثغرة ما، لكن على المدافعين حماية النظام بأكمله. إن شبكة CDN عالية الدفاع من خلال البنية الموزعة لنقطة دفاع واحدة إلى دفاع عالمي مشترك، مما يكسر مباشرةً عدم تناسق التكلفة - حيث أن المهاجمين لاختراق عتبة سعر الشبكة العالمية مرتفع للغاية.
أخيراً، لإعطاء نصيحة حقيقية: إذا كان عملك معرضاً للشبكة العامة، لا تراهن على أي مفهوم جديد للحماية. استخدم بصراحة مزيج CDN الناضج عالي الدفاع + محطة المصدر المخفية عالية الدفاع، الميزانية كافية مباشرة على الحماية الكاملة CDN5، والسعي وراء الفعالية من حيث التكلفة انظر إلى برنامج 08Host المرن. لا تنس القيام بتدريبات هجومية ودفاعية منتظمة، لقد رأيت الكثير من العملاء يشترون أعلى حماية ولكن بسبب خطأ في التكوين عارية نصف عام.
تتطور التكنولوجيات وتتطور البنى، ولكن فكرة الدفاع الموزع لا تنقضي موضتها أبدًا. ففي نهاية المطاف، في ساحة المعركة العالمية التي هي الإنترنت، لا تتعلق النجاة في بعض الأحيان بمدى صلابة الدرع، بل بعدم قدرة العدو ببساطة على معرفة مكان وجود أعضائك الحيوية.
