أتذكر في العام الماضي كان هناك منصة اجتماعية، لأن هجوم CC مباشرة إلى نظام التعليقات جفّ، كنت كعضو في الاستجابة للطوارئ، تم استدعائي في وقت متأخر من الليل، وشاهدت مخططات المراقبة مثل الأفعوانية ارتفعت، وانفجر حمل الخادم على الفور على الطاولة، هذا المشهد حمضي حقًا.
ما المشكلة الكبيرة في هجوم CC هذا؟ إنه مجرد الكثير من الطلبات، أليس كذلك؟ ولكن في الحقيقة واجهت حقا أن تعرف، فإنه يختار الضربة السفلية الناعمة - مثل واجهة التعليق على الرسائل، هذا المكان تفاعل المستخدم متكرر، وقاعدة البيانات تقرأ وتكتب كثيرا، بمجرد طوفان من الطلبات الخاطئة التي غمرت، والاستجابة بطيئة، أو الخدمة بأكملها معطلة، المستخدم يلعن المسألة الصغيرة، مصداقية العلامة التجارية المحطمة هي النهاية الحقيقية للخط.
لقد وجدت أن الكثير من الفرق اعتقدت أن الكثير من الفرق اعتقدت أن CDN على وسادة عالية، وجاءت نتائج هجوم CC، و CDN أول من ركع - لأن التكوين لم يكن على ما يرام، لم يتم تصفية حركة المرور نظيفة، ولكن أصبح متواطئا. في هذه الأيام، حتى شبكة CDN يجب أن تكون ‘مضادة للفرق‘، لا تصدق أن تلك "الحماية ذات المفتاح الواحد" للكلمات الشبحية، والدفاع الدقيق يجب أن تفعل ذلك بنفسك.
تكمن جذور المشكلة في حقيقة أن هجمات CC تحاكي سلوك المستخدم الحقيقي، مثل عمليات إرسال التعليقات عالية التردد وتحديث الصفحات، حيث قد تقتل جدران الحماية التقليدية عن طريق الخطأ حركة المرور العادية، ولا يمكن لاستراتيجيات التخزين المؤقت لشبكات CDN العادية حظر الطلبات الديناميكية. عادةً ما تكون واجهات تعليقات الرسائل هي نقاط نهاية واجهة برمجة التطبيقات، مثل/API/تعليقات/منشوريستخدم المهاجم شبكة الروبوتات لإرسال طلبات POST مجنونة، كل منها يحتوي على القليل من البيانات التافهة، الخادم فقط لمعالجة هذه الطلبات على وحدة المعالجة المركزية ممتلئ بالكامل، يتم أخذ تجمع اتصال قاعدة البيانات، يتم التشويش على المستخدم العادي بشكل طبيعي.
على سبيل المثال، ذات مرة ساعدت تطبيقًا اجتماعيًا في إجراء تدقيق، واجهة التعليقات الخاصة بهم لم تحد من السرعة، في دقيقة واحدة يمكن لنفس عنوان IP إرسال مئات التعليقات، تم اختراق النتائج باستخدام فرشاة برية لتجمع عناوين IP الوكيلة، ذروة QPS (استعلامات في الثانية) تسارعت إلى 100,000 +، الخادم مباشرة 503. وبالنظر إلى السجلات بعد ذلك، فإن معظم الطلبات وكيل المستخدم مزورة، عنوان IP المصدر في جميع أنحاء العالم، ولكن النمط متناسق للغاية - فترات زمنية قصيرة، حزم صغيرة، غرض واضح.
لذلك يجب أن يكون الحل متعدد الطبقات: الاعتماد أولاً على شبكة CDN لنقل معظم حركة المرور، ثم النهاية الخلفية للقيام بالقواعد الدقيقة.CDN الاختيار هو المفتاح، لقد قارنت بين عدد قليل - CDN5 في التخزين المؤقت الذكي ومرونة توسيع الثور، ومناسب بشكل خاص لحركة المرور المفاجئة ؛ CDN07 يتم تحديث قاعدة قواعد جدار حماية تطبيقات الويب (WAF) بسرعة؛ 08استضافة قواعد مخصصة مرنة وفعالة من حيث التكلفة ومرنة للفرق ذات الميزانيات المحدودة. تحديد ميزات CC تلقائياً؛ 08استضافة قواعد مخصصة مرنة وفعالة من حيث التكلفة ومرنة ومناسبة للفرق ذات الميزانيات المحدودة. ولكن بغض النظر عمن تختاره، يجب تعديل التكوين يدوياً.
الخطوة الأولى هي تعيين تحديد المعدل في وحدة تحكم إدارة CDN. على سبيل المثال، بالنسبة لـ/api/comments/**المسار، تعيين عنوان IP واحد يصل إلى 5 طلبات في الثانية، بعد رمز حالة الإرجاع 429. واجهة تكوين CDN5 بديهية، وغالبًا ما أقوم بتعيينها:
لا تقم بتعيين صارم للغاية، وإلا سيتعرض المستخدمون الحقيقيون للأذى عن طريق الخطأ إذا نشروا تعليقاتهم بشكل أسرع - لقد وقفت على هذه الحفرة، ذات مرة تم تعيين الحد الأدنى إلى 3، ونتيجة لذلك، عندما أقيم الحدث، كان المستخدمون يحبون بشكل كبير، وتم حظر الطلبات العادية، وتم ضبط رقم هاتف الشكوى. لاحقًا، تعلمت الدرس وعدلته ديناميكيًا بالاقتران مع مستودع سمعة بروتوكول الإنترنت.
الخطوة الثانية هي تمكين تحدي CAPTCHA. بالنسبة لحركة المرور المشبوهة، مثل عدد كبير من الطلبات من نفس عنوان IP لفترة قصيرة من الزمن، فإن أول اختبار CAPTCHA منبثق لإبطاء وتيرة الهجوم. يدعم CDN07 هذه الميزة، وتكوين الانتباه لعدم التأثير على تجربة المستخدم: طلبات POST فقط هي التي تسري مفعولها، ويتم تحرير طلب GET (مثل قراءة التعليقات). مثال على الكود:
لقد اختبرته ووجدت أنه يمكنه القضاء على هجوم 90% السهل على CC، لكن الهجمات المتقدمة ستستخدم OCR لكسر كلمة التحقق من الحروف (captcha)، لذا يجب إقرانها بوسائل أخرى.
الخطوة الثالثة هي القائمة السوداء لعناوين بروتوكول الإنترنت والحظر الجغرافي، وعادةً ما تستخدم هجمات CC عادةً مضيفين سحابيين أو عناوين IP وكيل، ويتم تحديث القائمة السوداء في الوقت الفعلي من خلال مصادر معلومات التهديدات مثل AbuseIPDB. 08Host يسمح بتحميل قوائم عناوين IP المخصصة، وقد كتبتُ برنامجاً نصياً لمزامنتها بانتظام:
كما أن الحجب الجغرافي مفيد جدًا - إذا كان العمل يخدم محليًا فقط، فاحظر عناوين IP الخارجية فقط، ولكن احذر من قتل مستخدمي VPN عن طريق الخطأ، فمن الأفضل ترك قناة مدرجة في القائمة البيضاء.
الخطوة الرابعة، تحسين استراتيجية ذاكرة التخزين المؤقت. يمكن تخزين الموارد الثابتة (مثل الصور الرمزية و CSS) لفترة أطول، أما الواجهات الديناميكية (مثل إرسال التعليقات) فتقوم بتعيين ذاكرة تخزين مؤقت قصيرة أو تعطيل ذاكرة التخزين المؤقت، مما يجبر حركة المرور على الانتقال إلى اكتشاف WAF:
وبهذه الطريقة يعود كل طلب تعليق إلى المصدر للكشف، مما يزيد من وقت الاستجابة ولكن السلامة أولاً. أقترح استخدام المعالجة غير المتزامنة - يرسل المستخدمون التعليقات ثم يعودون بالنجاح أولاً، معالجة قائمة الانتظار في الخلفية، لتقليل الضغط في الوقت الحقيقي.
الخطوة الخامسة هي تقوية الواجهة الخلفية؛ شبكات CDN ليست رصاصًا فضيًا، وفي النهاية يجب أن يعود الدفاع إلى الخوادم؛ أضف وحدة تقييد التدفق إلى طبقة Nginx، على سبيل المثال، معالحد_المنطقة_المحدودة:
تعني هذه القاعدة أن الحد الأقصى لعدد الطلبات لكل عنوان IP في الثانية هو 5، ويسمح أن يكون الاندفاع 10، متجاوزًا بذلك 503 المباشر. لا تضبط معلمة الاندفاع بشكل عشوائي - لقد قمت ذات مرة بتعيينها بشكل كبير جدًا، وعندما جاء الهجوم، كانت قائمة الانتظار متراكمة وانفجرت الذاكرة. بالإضافة إلى مراقبة السجلات، والضبط في الوقت الحقيقي.
وأخيراً، المراقبة والاستجابة. تعيين قواعد التنبيه: إشعار عبر الرسائل النصية القصيرة عند زيادة معدل الخطأ في QPS، وتجاوز معدل الخطأ 5xx. أدوات مثل Prometheus+Grafana، مثال تكوين كانبان:
لا تنتظر حتى تسوء الأمور قبل التحقق - قم بتدريب أسبوعي للهجوم والدفاع لمحاكاة هجوم CC لاختبار فعالية الدفاع. اعتاد فريقي على القيام بذلك طوال الوقت، ابحث عن نقطة زمنية لفحص الواجهة ومعرفة ما إذا كانت القواعد قد تم تفعيلها.
باختصار، تهيئة شبكة CDN عالية الأمان الاجتماعي ليست مهمة لمرة واحدة، عليك الاستمرار في التكرار. CDN5، CDN07، CDN08Host لها خريفها الخاص، لكن الفكرة الأساسية هي نفسها: دفاع متعدد الطبقات، قواعد دقيقة، مراقبة في الوقت الحقيقي. تذكر أن الأمان عملية وليس منتجاً. مراجعات المستخدم صغيرة، خلف نظام الثقة، محطمة ومن ثم يمكن أن يكون إصلاحها صعباً.
تصرف الآن: تحقق من تهيئة شبكة CDN الخاصة بك، هل تم تعيين حد المعدل، هل تم تحديث القائمة السوداء لعناوين IP؟ إذا لم تكن قد فعلت ذلك، فقد يأتي القراصنة لـ ‘الترحيب" بك الليلة. لا تتردد في ترك تعليق إذا كانت لديك أي أسئلة - لا تدع واجهة التعليق تصبح منطقة كوارث.
