عندما توليت لأول مرة تشغيل وصيانة الموقع الإلكتروني الرسمي للشركة، كان الاستيقاظ في منتصف الليل بسبب رسائل الإنذار أمرًا شائعًا. تنبيه تعطّل العمل باللون الأحمر الدموي على الشاشة، لا يمكن تسجيل الدخول إلى الخلفية، العمل مشلول تمامًا - لا داعي للتخمين، إنه نظام SYN Flood مرة أخرى. هذا الشيء مثل جيش من الزومبي في عالم الشبكة، مع تراكم نصف الاتصال على الخادم الخاص بك، ولكن أيضًا لا تترك دليلاً كاملاً. الشيء الأكثر إثارة للشفقة هو أن جدران الحماية التقليدية غالبًا ما تقتل المستخدمين الحقيقيين عن طريق الخطأ، وهذا الجانب من الهجوم لم يتوقف، والجانب الآخر من هاتف شكاوى العملاء قد انفجر.
في وقت لاحق، وضعت في السوق السائدة عالية الدفاع CDN يتم اختبارها مرة واحدة، وجدت أن يمكن أن تمنع مفتاح SYN Flood لرؤية نقطتين: دقة الكشف عن اتصال TCP وآلية التحقق من IP المصدر. بعض البائعين ينفخون في السماء، فإن المواجهة الفعلية مع هجمات حركة المرور الكثيفة مباشرة مستلقية بشكل مباشر، ليست جيدة مثل iptables الخاصة بهم يصعب حملها.
أين هو غثيان الطوفان المتزامن؟ يستفيد من عيب مصافحة TCP ثلاث مرات لإرسال طلبات نصف اتصال بشكل محموم. تتطلب المصافحة العادية أن يرسل العميل SYN، ويرد الخادم بـ SYN-ACK، ويرد العميل بـ ACK، لكن المهاجم دائمًا ما يعلق في الخطوة الثانية لا يرد. موارد الخادم مشغولة بهذه ”اتصالات الزومبي”، ولا يمكن للمستخدمين الجدد ببساطة الضغط عليها. والأفضل من ذلك هو أن بروتوكول الإنترنت المصدر للهجوم كله مزوّر، لذلك لا يمكنك حتى العثور على مكان العدو الحقيقي.
في السنوات الأولى بالكاد تعاملنا مع هذا الأمر مع ضبط معلمات نواة لينكس:
ولكن هذا لا يمكن أن يتحمل سوى حجم هجوم بعشرات الآلاف من الحزم في الثانية، وواجهت أكثر من 300 جيجابت في الثانية من DDoS ببساطة من أجل لا شيء. ذات مرة بعد أن تم اختراقه جلست القرفصاء في غرفة الخادم أثناء إعادة تشغيل الخادم وأنا ألعن ، أفهم تمامًا أنه يجب أن يكون على البرنامج الاحترافي.
الكشف عن اتصال TCP هو الصفقة الحقيقية لشبكات CDN عالية الدفاعالفجوة الخوارزمية بين السماء والأرض. لا تنظر إلى كل ما يسمى بـ ”التنظيف الذكي”، فجوة الخوارزمية بين السماء والأرض. لقد اختبرت نظام CDN07، الذي يمكنه تحديد خصائص حزمة SYN غير الطبيعية في غضون 3 ثوانٍ:
لكن أكثرها قسوة هي تقنية محاكاة مكدس بروتوكول 08Host - فهي تستخدم خوارزميات تكيفية لضبط حجم نافذة TCP ديناميكيًا، وسيتبع المستخدم الحقيقي مواصفات البروتوكول لإكمال المصافحة، وستقوم أداة الهجوم بإرسال حزمة مشوهة مكشوفة مباشرة.
يعد التحقق من مصدر IP المصدر أمرًا صعبًا بعض الشيء.نهج CDN5 أكثر ذكاءً. يحظر بعض البائعين ببساطة وبشكل تقريبي مقاطع بروتوكول الإنترنت، وغالبًا ما يتم قتل عنوان بوابة المشغل عن طريق الخطأ أيضًا. نهج CDN5 أكثر ذكاءً: لا يتم ذلك مباشرةً بعد اكتشاف اعتراض بروتوكول الإنترنت المشبوه، ولكن يتم تحويله أولاً إلى بيئة وضع الحماية لإكمال التحقق من التحدي:
وقد وجد الاختبار الفعلي أن هذه المجموعة من التركيبات يمكنها تصفية 99% IP المزورة، والـ 1% المتبقية من خلال الفحص الثانوي لمكتبة بصمة TCP. في العام الماضي، حملنا فيضان SYN العام الماضي 5.8 مليون QPS على أحد عشر مزدوجًا، ولم يزد زمن انتقال العمل إلا بمقدار 3 ميلي ثانية.
انظر الآن إلى جوهر الحماية من فيضان SYN هو لعبة التكلفة بين المهاجمين والمدافعين. يستأجر المهاجم شبكة الروبوتات مقابل عشرات الدولارات في الساعة، ويتعين على شبكة CDN عالية الدفاع استخدام قدر هائل من النطاق الترددي والحسابي لحملها بقوة.08انخرطت شركة هوست مؤخرًا في تعاون عقدة البلوك تشين (Blockchain)، وعُقد الحافة العالمية معًا للتحقق من صحة عنوان IP المصدر، وتكلفة الهجوم إلى آلاف الدولارات في الساعة، مما يثني الغالبية العظمى من المخترقين بشكل مباشر.
بالطبع لا يوجد حل مثالي. فقد حظرنا في إحدى المرات شريحة IP الخاصة بشركة كبيرة لأن أجهزة الكمبيوتر الخاصة بموظفيها كانت مصابة بأحصنة طروادة وتحولت إلى عقد زومبي. في وقت لاحق، أضفنا وحدة تعلم ذكية، واعتمدنا سياسة متساهلة لشرائح IP للشركات متعددة الجنسيات لتقليل المعدل الإيجابي الخاطئ من خلال التحليل السلوكي بدلاً من مجرد تصفية IP.
نصيحة من القلب لأقرانكأفضل شيء يمكن القيام به هو اختيار شبكة CDN عالية الدفاع وعدم الاكتفاء بالنظر إلى أرقام النطاق الترددي فحسب، بل التركيز على اختبار توافق مكدس TCP الخاص بهم ودقة التحقق من بروتوكول الإنترنت المصدر. من الأفضل أن تقوم بمحاكاة سيناريو الهجوم بنفسك: استخدم hping3 لإرسال حزم SYN مع عناوين IP عشوائية المصدر، وانظر كم مرة يتم تشغيل قواعد الحماية. لا تنسَ أن تتحقق مما إذا كانت خدمات HTTPS متأثرة، فبعض صفحات التحدي الخاصة بالبائعين ستعطل مصافحة SSL.
في هذه الأيام حتى CDN يجب على CDN ”منع زملاء الفريق” - مصنع كبير يفتخر بـ ”حماية الذكاء الاصطناعي” هو في الواقع خطوط تبديل الخلفية اليدوية، جاء الهجوم ليتحسس لضبط المسار. لا يزال يتعين علينا إعداد عدد قليل من مزودي الخدمة، ونحن نستخدم CDN5 للقيام بالتسريع اليومي، 08Host متخصص في تحمل هجمات حركة المرور الكثيفة، يمكن للحظات الحرجة أن تنقذ الأرواح حقًا.
في نهاية المطاف، الحماية من الفيضانات هي عملية تلاعب مستمرة. قد يتم اختراق الخوارزميات التي تعمل اليوم من قبل المخترقين في الشهر المقبل، لذلك يجب أن نحافظ على التكنولوجيا التكرارية. لقد اختبرنا مؤخرًا بنية انعدام الثقة مقترنة ببنية انعدام الثقة مع عشوائية منافذ TCP، والتي تحوّل منافذ الاستماع للخوادم إلى أهداف متحركة بحيث لا يستطيع المهاجمون حتى العثور على مصافحة. لا مجال للخوض في تفاصيل بعض هذه الأمور، ولكن تذكر شيئاً واحداً: فكر دائماً قبل المهاجم بخطوتين.
