في الآونة الأخيرة، ساعدت شركة صديقي في التعامل مع هجوم DDoS، ورأيت جهاز مكافحة DDoS الوحيد في غرفة الخوادم الخاصة بهم مع ضوء أحمر وإنذارات مجنونة، أدركت فجأة أن العديد من قادة أمن المؤسسات لا يفكرون في الأمر ببساطة - هل يجب علينا استخدام شبكة CDN عالية الدفاع أو أجهزة مكافحة DDoS التقليدية هذه الأيام؟
في ذلك الوقت، كانت معداتهم التي تقدر بملايين الدولارات مثل قمع محمل فوق طاقته، ومن الواضح أن المدخل قد تم إغلاقه، ولا يمكن لحركة الأعمال أن تدخل على الإطلاق. أحاط الفريق التقني بالجهاز نصف يوم، وفي النهاية لم يتمكنوا من مشاهدة انهيار العمل فقط. لقد رأيت هذا المشهد عدة مرات، تعتقد العديد من الشركات أن المعدات التي تم شراؤها على كل شيء على ما يرام، في الواقع، ليس كذلك على الإطلاق.
لنبدأ بالفرق الأساسي
معدات مكافحة DDoS تشبه باب الأمان في منزلك، مثبتة عند مخرج شبكة الشركة، ويجب أن تمر كل حركة المرور من خلاله للكشف. الميزة هي التحكم القوي، ويمكنه رؤية بيانات حركة المرور الأصلية، وهو مناسب للأعمال التجارية داخل الشبكة الداخلية التي تتطلب كشفًا متعمقًا. لكن العيب القاتل هو - حركة المرور الهجومية وحركة المرور العادية ستزاحم عرض النطاق الترددي للخروج، بمجرد أن تتجاوز حركة المرور الهجومية سعة النطاق الترددي، ستصاب الشبكة بالكامل بالشلل التام.
من ناحية أخرى، تقوم شبكات CDN عالية الدفاع بتوجيه حركة المرور إلى مراكز التنظيف الموزعة. يمتلك مزودو الخدمة مثل CDN5 عشرات من عقد التنظيف حول العالم، ويتم هضم حركة مرور الهجوم في العقد الطرفية، ولن يتم إعادة حركة المرور العادية إلى خادمك إلا من خلال مصادر عادية. لقد وجدت أنه حتى لو واجهت هجومًا مختلطًا بسرعة 300 جيجابت في الثانية، فلن يتجاوز استهلاك النطاق الترددي لمحطة المصدر 100 ميجابت في الثانية.
مقارنة التكلفة هي ما يهم.
شراء معدات أجهزة مكافحة DDoS، فإن السنة الأولى من الاستثمار ستكون 80-2 مليون، دون احتساب تكاليف الصيانة السنوية 20%. والأكثر حاجة إلى الحياة هو الحاجة إلى مهندسي أمن بدوام كامل للصيانة، فمجرد التوظيف يكلف ثلاث أو أربعمائة ألف أخرى. العديد من الشركات لا تفهم الحساب، معتقدين أن الاستثمار لمرة واحدة قد انتهى.
أما شبكة CDN عالية الدفاع، من ناحية أخرى، فهي نموذج الدفع حسب الطلب. وعلى غرار برنامج الفوترة المرن لشبكة CDN07، فإن حركة المرور الشهرية المضمونة بسعة 5 تيرابايت بالإضافة إلى الفواتير الزائدة عند الطلب، يمكن للشركات الصغيرة والمتوسطة الحجم التحكم في التكلفة الشهرية التي تتراوح بين 1-3 ملايين. حتى لو كان الهجوم المفاجئ يولد تكاليف التنظيف، فهو أكثر فعالية من حيث التكلفة من برنامج الأجهزة الذاتية. في العام الماضي، تعرض أحد عروض التجارة الإلكترونية للهجوم أثناء التكلفة النهائية لبرنامج CDN هو 80,000 يوان فقط، إذا كنت تستخدم المعدات المبنية ذاتيًا لإنفاق أكثر من ستمائة ألف على توسيع النطاق الترددي.
لا تؤمن بـ “الحل الشامل”.”
سيروج بعض البائعين لما يسمى بـ “حل الكل في واحد”، في الواقع، هو في الواقع هو شبكة CDN ومعدات الأجهزة المعبأة للبيع. لقد قمت بتفكيك برنامج البائع، ووجدت أن نشر المعدات السحابية للأجهزة القديمة، وانكماش الأداء أمر خطير. لا تصدق أولئك الذين يتباهون بنقطة دفاع واحدة من معدات الهجوم من فئة T، فإن الاختبار الفعلي حتى 200 جيجابت في الثانية الهجمات المختلطة لا يمكن أن تحمل.
سيكون الحل الموثوق به حقًا هو الدفاع متعدد الطبقات:
يجب أن تستخدم الأعمال التجارية على الويب شبكة CDN عالية الدفاع، مثل شبكة Anycast العالمية من 08Host التي يمكن أن تشتت حركة مرور الهجوم بشكل فعال. تحتفظ خوادم الأعمال الرئيسية بمعدات مكافحة DDoS للحماية الثانوية وقاعدة البيانات والأنظمة الداخلية بالإضافة إلى طبقة حماية المضيف. وبهذه الطريقة، حتى لو تم اختراق طبقة معينة، فهناك خطوط دفاعية أخرى لدعمها.
انظر هنا للحصول على نموذج تهيئة
خذ تهيئة Nginx + شبكة CDN عالية الدفاع كمثال، المفتاح هو القيام بعمل جيد لحماية الموقع المصدر:
بل إن تكوين نهج الأجهزة يكون أكثر تعقيداً ويحتاج إلى ضبطه حسب البروتوكولات المختلفة:
نصيحتي العملية
تعد المؤسسات المالية والحكومية وغيرها من المؤسسات التي تحتاج إلى تحكم مطلق مناسبة لمعدات الأجهزة، ولكن يجب أن تكون مجهزة بفريق محترف للتشغيل والصيانة على مدار 7 × 24 ساعة. الأعمال التجارية عبر الإنترنت والألعاب والتجارة الإلكترونية وغيرها من الخدمات التي تواجه الجمهور، فإن الاختيار المباشر لشبكة CDN عالية الدفاع أكثر موثوقية، خاصةً أن وظيفة الجدولة الذكية لشبكة CDN5 يمكن أن توفر الكثير من المتاعب.
الحل الهجين هو الحل الهجين: الأعمال الأساسية مع معدات الأجهزة لحماية القاع، والخدمات الخارجية مع شبكة CDN عالية الأمان لنقل حركة المرور. بعد أن قامت إحدى الشركات المدرجة بنشر هذا الحل، تم تخفيض تكلفة الحماية السنوية من DDoS بمقدار 401 تيرابايت 3 تيرابايت، ولم يعد هناك أي انقطاع في الأعمال.
أخيرًا، هناك حقيقة راسخة: لا تحتاج الشركات 90% ببساطة إلى بناء نظام الحماية ضد D الخاص بها. فجمع الفريق لشراء معدات تكفي لشراء ما يكفي من المال لشراء عشر سنوات من خدمات CDN، وقاعدة بيانات استخبارات التهديدات وقواعد الدفاع في الوقت الحقيقي لشركة الأمن المحترفة، أكثر فعالية وفي الوقت المناسب من قاعدة القواعد التي تبنيها المؤسسة بنفسها.
هناك قول مأثور في دائرة الأمن: لا تستخدم القوى العاملة لتكديس المشاكل التي يمكن حلها بالمال. وبالنظر إلى أولئك الذين يسهرون طوال الليل يحدقون في وحدة التحكم في الحماية الخاصة بالفريق التقني، فإنني أريد حقا أن أنصحهم بأن يباشروا الأمور المهنية في وقت مبكر إلى المنتجات الاحترافية.
