في الآونة الأخيرة، كنت أساعد العديد من الشركات الناشئة في أعمالهم عبر الإنترنت، ووجدت أن العديد منهم عانوا من هجمات DDoS بعد بدء أعمالهم مباشرة، وقد أصيبوا بالشلل بمجرد تعرضهم للهجمات. كان المدير قلقًا للغاية لدرجة أنه قفز على قدميه: “نحن نستخدم موردًا سحابيًا له حمايته الخاصة!” فك التهيئة وألقِ نظرة، أيها الرجل الطيب، الإصدار الأساسي من سعة التنظيف 5 جيجابت في الثانية، لا يكفي للقراصنة للتحمية.
لقد تم تصنيع الهجمات الإلكترونية منذ فترة طويلة هذه الأيام. حيث يتم تسعير عرض الهجوم على موقع ما بسعر 50 دولارًا أمريكيًا بشكل صريح لتعطيل أعمالك لمدة ساعة. هل تتوقع حماية أساسية من بائع سحابي؟ إنه يعادل صد مدفع جاتلينج بدرع ورقي.
في حالات الهجمات المرورية الكثيفة التي تعاملت معها، ارتكب فريق 90% خطأً فادحًا - الانتظار حتى يصابوا بالشلل قبل الإسراع في إيجاد حل. تعطل العمل لمدة ثلاث ساعات، وكانت الخسارة كافية لشراء ثلاث سنوات من خدمات الدفاع العالي. دروس الدم تخبرنا: يجب أن يصبح الوصول إلى شبكة CDN عالية الدفاع إجراءً قياسيًا قبل الإطلاق، وليس إجراءً علاجيًا بعد وقوعه.
القيمة الأساسية لشبكات CDN عالية الدفاع ليست التسارع، بل التمويه. الأمر أشبه بارتداء قناع مضاد للرصاص على الخادم - حيث يتم إخفاء عنوان IP الحقيقي، وتمر كل حركة المرور أولاً عبر عقدة التنظيف العالمية. سيضرب المخترقون دائمًا عقدة CDN، ومحطة المصدر الخاصة بك مختبئة في الظلام ومستقرة.
مجرد مساعدة محطة التجارة الإلكترونية على تحمل 380 جيجابت في الثانية من الهجمات المختلطة، وجد الاختبار أن شبكة CDN المهيأة بشكل صحيح يمكنها تصفية 99% من حركة المرور غير المرغوب فيها. اليوم، بالطريقة الأكثر وضوحًا، فإن عملية تكوين CDN عالية الدفاع CDN لتفكيك فهم. بعد العملية، ستكون نصف ساعة قادرة على السماح للموقع بارتداء سترة واقية من الرصاص.
أولاً، دعنا نلقي بعض الماء البارد: لا تصدق إعلانات “الحماية بنقرة واحدة”. لقد اختبرت ميزات التهيئة التلقائية لثلاثة بائعين رئيسيين، ولا يمكن لأي منهم أن يلائم سيناريوهات العمل بشكل مثالي. فإما أن تكون قواعد التخزين المؤقت غير معقولة، أو أن سياسة الحماية فضفاضة/ضيقة للغاية. التكوين اليدوي هو الحل الأفضل دائماً.
الخطوة الأولى في اختيار الأكثر تحريضاً. هناك ثلاث مدارس رئيسية للمنتجات عالية الدفاع في السوق:نوع الشركة المصنعة التقليدية(CDN5، CDN07),القوالب النمطية الملزمة لمقدمي الخدمات السحابية(ريون معين، سحابة تينسنت معينة),واقي متخصص(08Host، إلخ). من المثير للاهتمام معرفة كيفية مقارنة البيانات المقاسة:
تتمتع عُقد البائعين التقليديين بتغطية واسعة، ولكن درجة التخصيص منخفضة. يمكن الضغط على زمن انتقال عقد CDN5 في آسيا والمحيط الهادئ إلى أقل من 80 مللي ثانية، ولكن قدرة التنظيف الأوروبية ضعيفة؛ خوارزمية تسريع TCP الخاصة بـ CDN07 سريعة حقًا، ولكن خلفية التكوين معادية للبشر.
أكبر مأزق في الصور النمطية المجمعة لبائعي السحابة هو أنك - تعتقد أنك تشتري دفاعًا عاليًا مستقلاً، ولكن في الواقع لا يزال مجموعة مشتركة. قد تكون فترة الذروة “عملاء ذهبيين” للاستيلاء على الموارد. في العام الماضي عانت شركة Double Eleven، وهي شركة تجارة إلكترونية من هذه الخسارة.
نوع الحماية المتخصصة مثل 08Host، الفوز في استراتيجية الحماية جيد. دعم قوالب الحماية المخصصة حسب نوع العمل (التجارة الإلكترونية/الألعاب/المالية)، ولكن السعر غالبًا ما يكون باهظًا 30%.
اقتراحاتي للاختيارات هيالأعمال التجارية الرئيسية في آسيا والمحيط الهادئ تختار CDN5، والأعمال التجارية العالمية مع CDN07، وحماية المستوى المالي تحتاج إلى النظر في 08Host.
حدد الشركة المصنعة وانتقل مباشرة إلى وحدة التحكم. ركز على أربعة معايير:طريقة إرجاع المصدر、قواعد ذاكرة التخزين المؤقت、فئة الحماية、حد النطاق الترددي. هناك ألغام مدفونة في كل خيار هنا.
بمجرد تكوين العميل في اليوم التالي تم اختراق محطة المصدر، تحقق إلى النهاية وجدت أن اختيار “العودة الشفافة إلى المصدر” - المخترق من خلال عقدة CDN المضادة للتحقق من عقدة CDN للحصول على IP الحقيقي. يجب تحديد وضع “عودة الوكيل إلى المصدر”، بحيث تكون شبكة CDN كوسيط لعزل حركة المرور.
رابط ربط اسم النطاق هو أكثر تفاصيل الاختبار. يقوم العديد من الأشخاص بملء CNAME مباشرةً ويعتقدون أن الأمر قد تم، لكنهم ينسون التحقق من حالة الدقة. يجب أن يكون الموقف الصحيح:
بعد ذلك، قم بتكوين سياسة مصدر الإرجاع. يجب أن يستخدم عنوان IP الخاص بالمحطة المصدر عنوان IP الخاص بالشبكة الداخلية أو عنوان IP الخاص بالقائمة البيضاء لجدار الحماية، لمنع انكشاف عنوان IP العام. كانت هناك حالات قام فيها المخترقون بفحص عناوين IP الخاصة بمقاطع CDN بعنف للتحقق من موقع المصدر، لأن عنوان IP العام كان يستخدم للعودة إلى المصدر.
تكوين ذاكرة التخزين المؤقت أمر بالغ الأهمية للأداء. يوصى بإعداد ذاكرة تخزين مؤقت لمدة 30 يومًا للموارد الثابتة وإيقاف تشغيل ذاكرة التخزين المؤقت لواجهات برمجة التطبيقات الديناميكية. هناك سوء فهم كلاسيكي: بعض الأشخاص قاموا بتخزين واجهة تسجيل الدخول مؤقتًا، ونتيجة لذلك، فإن جميع عمليات تسجيل دخول المستخدم هي أرقام تسلسلية. استخدم هذه القاعدة لتجنب المأساة:
قواعد WAF ليست صارمة كالأفضل، لقد رأيت بعض الأشخاص يفتحون الوضع الصارم الكامل، كما يتم حظر المستخدم العادي. يوصى باتخاذ ثلاث خطوات:حماية متوسطة للاستخدام الأولي,توثيق أنماط حركة التعلم,الانتقال إلى استراتيجية مخصصة بعد أسبوعين。
هناك ثلاثة عناصر حماية إلزامية يجب فتحها:الحماية من هجوم CC(يتم الاعتراض تلقائيًا على الطلبات التي تزيد عن 200 طلب في الثانية),الإغلاق الجغرافي(الحجب المباشر لقطاعات IP غير منطقة العمل),اعتراض الروبوتات الخبيثةيقوم برنامج 08Host للتعرّف على الروبوتات بعمل جيد بشكل خاص في التمييز بين محركات البحث وبرامج الزحف الضارة.
هناك قطعة أثرية مخفية في الإعدادات المتقدمة:عتبات التحقق من صحة الإنسان والآلةيمكنك تعيين “نفس الوصول إلى IP 50 مرة في الدقيقة لتشغيل رمز التحقق”. يمكنك تعيين "نفس الوصول إلى نفس عنوان IP 50 مرة في الدقيقة لتشغيل رمز التحقق"، يمكن للاختبار الفعلي أن يمنع هجوم 80% CC. لكن لا تضبطه منخفضًا جدًا، وإلا سيلعن مستخدمو الهاتف المحمول.
اختبر دائمًا في النهاية! تحقق من أن الحماية تعمل من خلال محاكاة هجوم باستخدام الأداة:
تحقق من تقرير الهجوم على وحدة تحكم CDN، عادةً يجب أن ترى حركة مرور الهجوم يتم تنظيفها وضغط الخادم المصدر لا يتحرك. إذا رأيت طفرات في وحدة المعالجة المركزية في المصدر، تحقق من تكوين المصدر.
لا تنس ضبط الإنذارات. يوصى بتشغيل “تنظيف حركة المرور في غضون 5 دقائق تتجاوز 10G” و “تجاوز عرض النطاق الترددي العائد إلى المصدر 100Mbps” إنذارين للعتبة. إذا تعرضت للهجوم في الثالثة صباحًا، فلا يزال بإمكانك الاستجابة في الوقت المناسب.
بعد هذه الخطوات الخمس، يكون موقعك قادراً على تحمل معظم الهجمات التقليدية. لكن تذكر أنه لا يوجد نظام أمان مطلق. في الشهر الماضي، واجهت هجومًا منحرفًا: استخدم المخترقون عشرات الآلاف من عناوين IP الحقيقية للهواتف المحمولة لإطلاق طلب بطيء، متجاوزين تقريبًا سياسة الأمان العالية. في النهاية، لم يتم إيقافه إلا بالاعتماد على التحليل السلوكي الذكي لـ 08Host.
إن شبكة CDN عالية الدفاع تشتري الوقت بشكل أساسي - مما يؤدي إلى جر المخترق إلى حرب استنزاف حتى يتخلى عن الهجوم. لذا فإن احتياطي النطاق الترددي مهم للغاية. يوصى بحجز هامش عرض النطاق الترددي 20% على أساس يومي، وتوسيع السعة مؤقتًا عند مواجهة هجوم، وتوسيع مرونة CDN5 يقوم بعمل جيد، خمس دقائق لإضافة نطاق حماية 1T.
وأخيراً، الحقيقة: هجوم 90% الناجح نابع من خطأ في التكوين. إن التدقيق المنتظم لقواعد CDN والتحقق من سجلات موقع المصدر بحثاً عن وصول مباشر غير عادي أكثر أهمية من شراء حزم حماية باهظة الثمن. ففي النهاية، غالباً ما يتم اختراق أقوى الحصون من الداخل.
اذهب وتحقق من تكوين CDN الخاص بك الآن. لا تنتظر حدوث هجوم قبل أن تندم على ذلك - مع هذه الأمور الأمنية، دائمًا ما يكون هناك الكثير من التكرار في الأوقات العادية والقليل جدًا من الكراهية عندما تسوء الأمور.
