واجهت مؤخرًا لمساعدة العملاء على التعامل مع حدث DDoS السيناريو الكلاسيكي - تم اختراق الأعمال فجأة، وتعرضت محطة المصدر IP وحتى خادم قاعدة البيانات إلى الانهيار. في هذه الأيام، حتى شبكة CDN يجب أن ‘تمنع زملاء الفريق’، يدعي بعض مزودي الخدمة تسريعًا عالميًا، وعاد الهجوم مباشرة إلى مصدر عنوان IP المكشوف، ما يسمى بالدفاع العالي هو وضع.
اختيار الأعمال التجارية في الخارج لشبكات CDN عالية الدفاع ليس على الإطلاق لمعرفة من لديه عدد كبير من العقد، المفتاح للنظر في قدرة التنظيف واستراتيجية جدولة الشبكة. لقد تعاملت مع العديد من حالات الشركات متعددة الجنسيات، ووجدت أن 80% من العملاء مزروعون في ثلاث حفر: السعي الأعمى وراء الحزم منخفضة السعر، والدعاية الساذجة ‘الحماية غير المحدودة"، وتجاهل تشفير رابط العودة. في العام الماضي، كان هناك عرض ترويجي للتجارة الإلكترونية خلال انهيار حركة المرور بسرعة 700 جيجابت في الثانية، بسبب استخدام شبكة CDN رخيصة، لم تصل حركة المرور الهجومية إلى مركز التنظيف الذي منع شبكة العمود الفقري عبر الحدود.
بعد اختبار أكثر من عشرين مزودًا للخدمة، قمت بفحص ثلاثة مزودين يمكنهم حقًا لعب دور شبكة CDN عالية الدفاع. التركيز على أربعة أبعاد: كثافة تغطية مركز التنظيف، وخوارزمية تسريع TCP، ووقت الاستجابة للطوارئ في حالات الضعف، وما إذا كان يدعم اتجاه الصين الأمثل. لا تؤمن بميزات وحدة التحكم الفاخرة هذه، فالقدرة على مكافحة الهجمات تعتمد على البنية التحتية الأساسية.
دعونا نبدأ مع CDN5، وهي شركة ألمانية مخضرمة. لقد قامت عائلتهم ببناء مراكز التنظيف الخاصة بهم على مستوى Tb في ثلاثة مراكز أساسية في فرانكفورت وسنغافورة ولوس أنجلوس، وهم جيدون بشكل خاص في التعامل مع هجمات طبقة التطبيقات. لقد قمت بمحاكاة فيضان HTTP العام الماضي باستخدام أداة اختبار الضغط، ويمكن لنظام التوجيه الذكي الخاص بهم إرسال حركة المرور إلى عقد التنظيف في غضون 3 ثوانٍ. والأهم من ذلك هو توفير حماية زائفة لعناوين IP المصدر، فلا يمكن للمهاجم ببساطة لمس موقع الخادم الحقيقي.
يتطلب مثال التكوين تغييرات على تكوين nginx لمطابقة رمز الأمان الخاص بهم:
لا تكشف عن عنوان IP المصدر مباشرةً! تأتي شبكة Anycast الخاصة بهم مزودة بمنفذ للتخفي، ولن يؤدي اختبار اختبار اختبار اسم النطاق إلا إلى إرجاع عنوان IP الخاص بعقدة التنظيف في الاختبار الفعلي. باهظة الثمن ولكنها ذات قيمة مقابل المال، تبدأ أقل باقة من 299 يورو شهريًا، وهي مناسبة للأعمال المالية.
الميزة الثانية الموصى بها CDN07، أكبر ميزة لهذا الانحراف في تغطية العقدة الأمريكية الأمريكية - 187 نقطة POP حول العالم مدمجة في عقد AWS و GCP و Azure المتطورة. مناسبة بشكل خاص لحركة المرور المفاجئة الضخمة والمباشرة والألعاب، لقد ساعدت عميل ألعاب ذات مرة في تكوين وظيفة التسريع الديناميكية الخاصة بهم، ووقت استجابة المستخدمين الأوروبيين والأمريكيين مباشرة من 380 مللي ثانية إلى 89 مللي ثانية.
يتم تحديث قاعدة قواعد WAF الخاصة بهم بسرعة كبيرة، ويمكنك أن ترى قواعد جديدة للحماية من الثغرات الأمنية تُضاف كل أسبوع. تذكر أن تشغل خاصية ‘تحدي الروبوتات" الخاصة بهم، وسيتم التحقق أولاً من حركة مرور الهجمات المشتبه بها بواسطة JS قبل إطلاقها. حظر الاختبار بفعالية هجوم الزاحف 90%، ولكن لاحظ أن هذا قد يؤثر على بعض محركات البحث المضمنة.
يتطلب تكوين دوال الحافة الخاصة بهم كتابة جزء بسيط من المنطق:
الآن إلى 08Host الثالث، مزود الخدمة السنغافوري هذا مناسب بشكل خاص لأعمال آسيا والمحيط الهادئ. فهم في اليابان وتايوان وهونج كونج يخططون عددًا كبيرًا من خطوط CN2 المحسنة، وسرعة الوصول المحلية تضاهي سرعة الوصول المحلية لشبكة CDN المحلية.
لقد اختبرت بالفعل خوارزمية تسريع TCP الخاصة بهم، ولا تزال تحافظ على نقل مستقر على رابط عابر للحدود بمعدل فقدان حزم يبلغ 151 TP3T. وحدة التحكم بسيطة للغاية، مع ثلاثة مفاتيح فقط: حماية DDoS، والضغط الذكي، وحظر المنطقة. وهو مثالي لفرق الشركات الناشئة التي لا ترغب في الانشغال بالتفاصيل التقنية، كما أن سعر 59 دولارًا شهريًا يتضمن أيضًا رصيد حماية 2 تيرابايت في الثانية.
لاحظ تأكد من تشغيل خاصية ‘العودة الآمنة إلى المصدر":
الآن إلى توصيات الاختيار الرئيسية. الأعمال المالية تفضل CDN5، وشهادة الامتثال الخاصة بهم هي الأكثر اكتمالاً؛ اختيار فيديو الألعاب CDN07، والقدرة على تحمل حركة المرور المتدفقة هي الأقوى؛ يختار مستخدمو آسيا والمحيط الهادئ بشكل أساسي 08Host، وتحسين زمن الوصول في الواقع. لا تنخدع بخطاب ‘الحماية غير المحدودة"، فجميع شبكات CDN عالية الدفاع لها حد خفي، أكثر من حركة المرور المصنفة مباشرةً مسار لاغية.
أخيرًا، يتم التذكير ببعض المزالق: تجنب استخدام حزم بروتوكول الإنترنت المشتركة، وإلا فمن السهل أن يتورط الجيران؛ تأكد من اختبار ما إذا كان تشفير رابط الإرجاع فعالاً حقًا؛ تحقق من نطاق إعلانات BGP لمزود الخدمة، وكلما زاد عدد شبكات ASN التي تغطيها عقدة التطهير، كان ذلك أفضل. في العام الماضي، اختار أحد العملاء شبكة CDN متخصصة معينة لتوفير المال، وكانت النتيجة أن حركة المرور الهجومية تم حجبها من قبل مشغل المنبع بعد 300G مباشرة.
يعتمد تأثير الحماية الحقيقي أيضًا على القتال الفعلي. يوصى بإجراء اختبار ضغط المحاكاة قبل أن يكون العمل متصلاً بالإنترنت، وعادةً ما أستخدم وضع الهجوم المختلط: SYN Flood + HTTP Slowloris + زاحف URI عشوائي. وبمجرد قياس عيوب قاعدة WAF الخاصة بشبكة CDN المعروفة، تم تجاوز حماية الذكاء الاصطناعي الخاصة بهم حتى بواسطة ملف تعريف ارتباط خاص.
في الوقت الحاضر يقدم هؤلاء المزودون تجارب مجانية، ولكن تذكر أن تتحقق دائمًا من المقاييس الرئيسية خلال فترة الاختبار: معدل إعادة إرسال TCP من عقد هونغ كونغ إلى لوس أنجلوس، وزمن الاستجابة من مراكز التنظيف الأوروبية، وتوجيه BGP من العقد الآسيوية إلى China Mobile. إن الرسوم البيانية الجميلة للمراقبة التي يعرضها بعض البائعين هي في الواقع مسارات توضيحية محسّنة.
في النهاية، فإن شبكة CDN عالية الأمان ليست سوى جزء من نظام الأمان، ولكن أيضًا مع جدار حماية تطبيقات الويب وبنية انعدام الثقة وعملية الاستجابة للطوارئ. في المرة الأخيرة التي رأيت فيها حالة شنيعة، أنفق العميل الكثير من المال لشراء أفضل شبكة CDN، ولكن بسبب تسرب شفرة المصدر أدى إلى انكشاف بروتوكول الإنترنت لمحطة المصدر - وهذا يشبه شراء باب مضاد للرصاص ولكن المفتاح مدسوس في الباب.
