أتذكر في الصيف الماضي، كان لديّ موقع تجارة إلكترونية لعميل قديم أصيب بالشلل فجأة، وارتفعت حركة المرور إلى درجة لا تصدق، وتعطلت الخلفية مباشرة، ثم أقدر حقًا، فقط الاعتماد على أجهزة الخادم لحمل DDoS هو ببساطة فرس النبي.
في هذه الأيام، يقوم المهاجمون بنقل مئات الجيجابايتات من حركة المرور في هذه الأيام، ناهيك عن الشركات الصغيرة، حتى الشركات الكبرى التي تقوم بتصنيعها.
لذا، سأتحدث اليوم عن شبكة CDN عالية الأمان وحماية DNS لهذين الأخوين - يبدو أنهما يحميان أمن اسم النطاق، ولكن مستوى الدفاع ليس نفس الشيء على الإطلاق، ولكن يجب أن يتطابق أيضًا مع استخدامهما.
لا تصدق تلك الشركات المصنعة التي تنفخ في “الحل الشامل”، فقد وجدت أن العديد من الحفر بسبب عدم فهمهم للفرق قبل أن يخطو.
دعونا نتحدث عن شبكة CDN عالية الأمان، هذا الشيء هو “مركز تنظيف حركة المرور”، حيث يتم حظر الطلب الخبيث في الخارج، ولا يضع حركة مرور نظيفة إلا في محطة المصدر.
مستوى دفاعها بشكل رئيسي في طبقة الشبكة وطبقة التطبيق، مثل فيضان SYN، وفيضان HTTP، هذه الهجمات الشائعة، تعتمد على العقد العالمية الموزعة لحمل الضغط.
ولكن شبكة CDN عالية الدفاع لديها نقطة ضعف: فهي لا تستطيع إدارة مستوى DNS من العث.
الأمر يشبه وجود باب أمان مثبت على بابك الأمامي (CDN)، ولكن إذا قام اللص بتزوير ثقب المفتاح مباشرة (استعلام DNS)، فإن الباب لا ينفع حتى لو كان صعبًا.
أما حماية DNS، من ناحية أخرى، فهي مصممة خصيصًا للتعامل مع مشاكل حل أسماء النطاقات، مثل اختطاف DNS وهجمات تضخيم DNS وما إلى ذلك.
يتدخل في جلسة البحث عن DNS للتحقق من شرعية الطلب ومنع توجيه اسم النطاق إلى عنوان IP خبيث.
لقد رأيت الكثير من الحالات، أنفقت الشركة الكثير من المال على شبكة CDN عالية الدفاع، وتم طعن نتائج DNS، وتم حل اسم النطاق مباشرة إلى موقع التصيد، والبكاء بعد فوات الأوان.
لذا فإن الأمر لا يتعلق على الإطلاق بمن يحل محل من، بل هو تكاملي - أحدهما يحمي حركة المرور، والآخر يحمي الإعراب.
بعد ذلك، سوف أقوم بتفصيل الاختلافات وأستعرض فوضى السوق الحالية.
نقاط القوة الأساسية لشبكات CDN عالية الدفاع هي التخزين المؤقت والتسريع، بالإضافة إلى تنظيف حركة المرور الضارة.
على سبيل المثال، إذا كنت تستخدم CDN5، فإن عقدهم تغطي نطاقًا واسعًا، وقد اختبرت ذلك، ويمكن الضغط على التأخير في المنطقة الآسيوية إلى أقل من 50 مللي ثانية، كما أن استراتيجية منع هجمات CC مرنة للغاية.
ولكن لا تتوقع أن تكون قوية للغاية - لا يزال يتعين على عمليات البحث عن DNS أن تذهب إلى محلل عام، مما يجعلها عيبًا.
على العكس من ذلك، تعمل حماية DNS، مثل الخدمات التي تقدمها CDN07، على تعزيز أمان الدقة على وجه التحديد وتدعم توقيعات DNSSEC لمنع تسمم ذاكرة التخزين المؤقت.
لكنه لا يتعامل مع هجمات طبقة التطبيقات، على سبيل المثال إذا تعرض موقعك لحقن SQL، فإن حماية DNS غير مجدية.
والأمر الأكثر إثارة للشفقة هنا هو أن بعض البائعين يقومون بتغليف CDN الأساسي على أنه “دفاع عالي” للبيع، ولكن في الواقع قدرة التنظيف ضعيفة إلى دفعة.
قمت بقياس واحدة العام الماضي، الدفاع الاسمي 500 جرام، والفعلي أقل من 100 جرام على الركبتين، وكان الزبون يلقي اللعنات مباشرة.
لذا، نعم، لا تصدق الأرقام الموجودة على الصفحة الترويجية، عليك أن تنظر إلى البيانات الفعلية - أشياء مثل زمن انتقال التنظيف، وتكرار العقدة، ودعم البروتوكول.
أنتقل الآن إلى مقارنة محددة: لنفترض أن اسم النطاق الخاص بك هو example.com، مع حماية عالية الأمان لشبكة CDN و DNS على التوالي كيفية التهيئة.
بالنظر إلى الجزء الخاص بشبكة CDN عالية الدفاع أولاً، يجب عليك عمومًا تعديل سجلات DNS لتوجيه CNAME إلى اسم نطاق بائع CDN.
في حالة CDN5، ستعطيك وحدة التحكم الخاصة بهم اسمًا مستعارًا، مثل.cdn5.net على سبيل المثال.
يمكنك تغييره بهذه الطريقة في إعدادات DNS:
بهذه الطريقة تنتقل حركة المرور إلى عقدة CDN5 أولاً ثم تعود إلى المصدر بعد التنظيف.
لكن لاحظ أن هذا على مستوى حركة المرور فقط - لا يزال استعلام DNS نفسه مكشوفًا.
حان الوقت للحصول على حماية DNS.
على سبيل المثال، مع خدمة حماية DNS الخاصة بـ 08Host، فهي توفر خوادم DNS موثوقة، وتدعم شبكة Anycast، وتأثير مضاد للفيضانات المضادة للاستعلامات جيد.
قم بتكوينه لتوجيه سجل NS إلى خادمهم:
لقد قمتُ بقياسه، وكان وقت استجابة 08Host في حدود 20 مللي ثانية في المتوسط، وهو مزوَّد بخاصية تخفيف حدة DDoS، وهو أكثر أمانًا من استخدام DNS العام.
ومع ذلك، يجب استخدام الخدمتين معًا وإلا فإنهما نصف أمنيتين.
لقد ساعدت عميلًا ماليًا ذات مرة على نشر مزيج من CDN07 لشبكة CDN عالية الدفاع و 08Host لحماية DNS، وقد نجح الأمر بشكل رائع.
تم تقسيم حركة مرور الهجوم أولاً وتنظيفها بواسطة عقد CDN07، وتم التحقق من استعلامات DNS بواسطة 08Host، ولم يتم العبث بالنطاق مرة أخرى.
مقارنة البيانات: الاستخدام الفردي لشبكة CDN عالية الدفاع، يمكن أن يصل معدل نجاح هجوم DNS إلى 30%؛ بالإضافة إلى حماية DNS، مباشرة إلى 1% أدناه.
لكن هذه التهيئة لا تقوم بالتوصيل والتشغيل فقط، بل عليك ضبط المعلمات.
على سبيل المثال، يجب تحسين قواعد التخزين المؤقت لشبكة CDN عالية الأمان، وعدم تخزين الطلبات الديناميكية مؤقتًا أيضًا، وإلا سينخفض تسجيل دخول المستخدم دائمًا.
عادةً ما أقوم بإعداده بهذه الطريقة:
هناك أيضًا إعداد TTL - في حماية DNS، يميل TTL القصير جدًا إلى تفاقم ضغط الاستعلام، والطويل جدًا إلى بطء الاسترداد.
أقترح قيمة وسطية، 300 ثانية مثلاً، لتحقيق التوازن بين السلامة والأداء.
في الوقت الحاضر، هناك اتجاه في السوق بأن “خوادم DNS الذكية” يمكن أن تحل محل كل شيء، وهو محض هراء.
يمكن لنظام أسماء النطاقات الذكي في أفضل الأحوال أن يقوم بموازنة التحميل، أو أن يواجه بالفعل DDoS على نطاق واسع، أو أن يعتمد على الحماية الاحترافية.
في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء العمل” - بعض بائعي شبكات CDN المجانية يبيعون بيانات المستخدمين سراً، هل تعتقد أن الحفرة ليست حفرة؟
لذلك عند اختيار مزود الخدمة، ابحث عن شهادات الامتثال مثل ISO27001 ولا تختار الأرخص فقط.
وخلاصة القول، إن الحماية عالية الأمان لشبكات CDN ونظام أسماء النطاقات DNS كل منهما بطريقته الخاصة، أحدهما ضد إغراق حركة المرور والآخر ضد التلاعب في الدقة.
أسماء النطاقات آمنة مثل ارتداء الدروع - شبكات CDN هي حراس القلب، وأسماء النطاقات هي الأقفال التي يمكن أن تُطعن فيها قطعة واحدة فقط.
النشر الفعلي، أولاً من احتياجات العمل: إذا كانت محطة تجارة إلكترونية، تسريع وتنظيف ثقيل، CDN5 هذا النوع من الجيد؛ إذا كانت فئة حكومية، أولوية أمان DNS، 08Host أكثر استقرارًا.
كلمة تحذيرية أخيرة: لا يوجد حل سحري للأمان، فأنت بحاجة إلى طبقات من الدفاع، وعمليات تدقيق منتظمة، ولا تنتظر حدوث خطأ ما قبل أن تربت على ظهرك.
لقد عملت في هذا المجال لأكثر من عقد من الزمان وتعلمت مجموعة من الدروس اللعينة - وآمل أن تساعدك الدروس التي أشاركها اليوم على اتخاذ الطريق الأقل سفراً.
إذا كان لديك أي أسئلة، فلا تتردد في مشاركتي في قسم التعليقات وسنتحدث عن ذلك معًا.
