في الآونة الأخيرة، يسألني العديد من الأصدقاء الذين يقومون بالتطبيقات الاجتماعية نفس السؤال: هل تدعم شبكة CDN عالية الأمان في النهاية دعم IPv6؟ هذا السؤال جيد جدًا، بعد كل شيء، الآن فقط تطبيق اجتماعي يجب أن يتعامل مع مجموعة متنوعة من هجمات الشبكة، لا يوجد CDN عالي الأمان موثوق به يعمل ببساطة عاريًا. ولكن الأهم من ذلك، IPv6 هذا الشيء ليس “المستقبل”، ولكن “الآن على” معيار التكنولوجيا.
سأبدأ بالخلاصةيجب أن تدعم شبكة CDN اجتماعية عالية الدفاع عالية الموثوقية حقًا IPv6، ويجب أن يكون دعمًا أصليًا، وليس هذا النوع من حلول إعادة التوجيه غير المجدية!لقد اختبرت العديد منها. لا تستمع إلى بعض البائعين الذين ينفخون في “توافق IPv6”، لقد اختبرت العديد منها، وبعضها عبارة عن حركة مرور IPv6 إلى IPv4 ثم معالجتها، ناهيك عن الكمون العالي، كما أن سياسة الأمان من السهل أن تفوتك الحكم، إنها مجرد خداع للناس.
لماذا تحتاج التطبيقات الاجتماعية على وجه الخصوص إلى دعم IPv6؟ ببساطة، لأن عدد المستخدمين موجود. الآن في جنوب شرق آسيا وأفريقيا والأسواق الناشئة الأخرى، يبلغ معدل انتشار IPv6 في جنوب شرق آسيا وأفريقيا والأسواق الناشئة الأخرى حوالي 701 تيرابايت في الثانية، إذا كنت تدعم IPv4 فقط، فهذا يعادل التخلي عن موجة كبيرة من المستخدمين بشكل فعال. ناهيك عن أن بعض المشغلين الوطنيين لا يعطون حتى عناوين IPv6 فقط بشكل افتراضي، فكيف تسمح للمستخدمين الآخرين بالوصول إليها؟ كيف تتوقع منهم الوصول إليها؟
من الناحية النظرية، من الصعب تنفيذ هجمات DDoS لأن IPv6 يحتوي على مساحة عنوان كبيرة، أليس كذلك؟ لكن الحقيقة هي أن القراصنة يركزون الآن على IPv6 على وجه التحديد لأن العديد من الشركات ببساطة لا تقوم بعمل جيد في الحماية. لقد التقيت بشركة اجتماعية العام الماضي، حماية IPv4 للقيام مثل البرميل، كانت نتائج دخول IPv6 في غربال - المهاجمون مباشرة مع هجمات IPv6 CC، تم شل العقد على الفور.
لذا، عند اختيار شبكة CDN عالية الدفاع، لا تسأل فقط عن “هل تدعم IPv6”، ولكن اسأل عن هذه التفاصيل: هل هي شبكة مزدوجة أصلية أو تحويل NAT، وهل قواعد حماية IPv6 متوافقة مع IPv4؟ هل هناك سياسة جدار حماية IPv6 منفصلة؟ هل ستتضاعف تكلفة النطاق الترددي؟ كل هذه هي النقاط المعرفية المتبادلة لدروس الدم والدموع.
خذ على سبيل المثال CDN5 الذي نستخدمه، فهو عبارة عن مكدس مزدوج أصلي قوي. كل عقدة تستمع إلى كل من IPv4 و IPv6، وقواعد الحماية متزامنة تماماً. لقد استخدمت أداة الاختبار عمدًا لمحاكاة هجوم IPv6 SYN Flood، وكانت نتيجة وقت إنذار الزناد أسرع من IPv4 200 مللي ثانية - لأن شريحة مرشح الأجهزة لديهم محسّنة لرسائل IPv6.
كما أنه سهل التكوين، ولا حاجة لكتابة مجموعة منفصلة من القواعد ل IPv6. على سبيل المثال، يمكن أن يغطي إعداد حماية CC في WAF البروتوكولات المزدوجة بسطر واحد من التعليمات البرمجية:
لكن بعض البائعين أكثر إثارة للشفقة. على سبيل المثال، هناك مزود معين يسمى CDN07، يقول ظاهرياً أنه يدعم IPv6، ولكنه في الواقع يستخدم وضع التحويل بالوكيل. يجب أن تنتقل حركة المرور أولاً إلى خادم التحويل الخاص بهم، ثم يتم إعادة توجيهها إلى المصدر. ويزيد زمن الاستجابة بمقدار 50 مللي ثانية، ناهيك عن أنه، نظرًا لأن تجمع NAT صغير جدًا، غالبًا ما تنفد المنافذ في فترة الذروة، مما يؤدي إلى حدوث أخطاء 502. التقطت لاحقًا حزمًا واكتشفت أن رأس الاستجابة يحتوي في الواقع على حقول "X-Forwarded-For: 2001:db8::1" التي من الواضح أنها لم يتم تحويلها، وهو أمر شنيع.
هناك 08Host أكثر يأسًا، الصفحة الترويجية مكتوب عليها بأحرف كبيرة “دعم كامل لـ IPv6”، نتائج خدمة العملاء، عليك إضافة أموال لشراء “الإصدار المحسن للمؤسسات” لفتحه. الإصدار الأساسي من شبكة CDN عالية الدفاع حتى بروتوكولات الشبكة المستقبلية يجب أن تدفع مبلغاً إضافياً؟ في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”.
في الواقع، تكمن الصعوبة الرئيسية لحماية IPv6 في أن مساحة العنوان كبيرة جدًا لدرجة أن آلية القائمة السوداء التقليدية غير فعالة بسهولة. على سبيل المثال، في IPv4، يمكنك حظر مقطع /24 للتأثير على 256 عنوان IP على الأكثر، ولكن في IPv6، يمكنك حظر مقطع /64 - أي 18.4 مليار عنوان، من يجرؤ على فعل ذلك؟ لذلك يجب أن يعتمد الحل الحقيقي الموثوق به على التحليل السلوكي + التعلم الآلي.
استراتيجيتنا الحالية هي مزيج من تسجيل السمعة ونمذجة حركة المرور في الوقت الفعلي. على سبيل المثال، إذا ظهر 1000 طلب اتصال في نفس المقطع /64، فإنه يؤدي مباشرةً إلى تقييد التدفق المرن بدلاً من الحظر الصارم. تبدو هذه المجموعة من القواعد على هذا النحو تقريبًا عند تهيئتها على CDN5:
ولكي نكون صادقين، لا يوجد الكثير من البائعين الذين يجرؤون على القول بأنهم اخترقوا الدفاع العالي IPv6 بالكامل. بالإضافة إلى CDN5 الذي تفاخرت به للتو، فإن المصنعين الدوليين الآخرين ليسا سيئين، ولكن العقد المحلية قليلة جداً، ولا يمكن أن يدعم التأخير متطلبات الوقت الحقيقي للتطبيقات الاجتماعية. على أي حال، عند اختيار نموذج، تأكد من الاختبار، ركز على ثلاث نقاط: تقلبات زمن انتقال IPv6، والوقت الفعال للحماية، وهيكل التكلفة.
أخيرًا، يعتقد بعض العملاء دائمًا أن IPv6 هو “طريق بديل” ولا يريدون استثمار الموارد. ونتيجة لذلك، فإنهم ينتظرون حقًا حتى يتم استنفاد عنوان IPv4 أو ضربه قبل أن يسارعوا إلى الترحيل، ومن ثم تكون تكلفة التحويل أعلى. سيكون من الأفضل اختيار شبكة CDN ذات المكدس المزدوج الكامل، والحصول عليها دفعة واحدة.
وباختصار، إذا كانت شبكة CDN عالية الدفاع للتطبيقات الاجتماعية لا تدعم الإصدار IPv6 الأصلي، فيمكنك أن تمر بشكل أساسي. الأمر لا يتعلق بالتكنولوجيا المتخلفة، فهي ببساطة لا تهدف إلى خدمتك لفترة طويلة - حتى التكيف الأساسي للشبكة المستقبلية لا يمكن القيام به، ولكن هل تجرؤ على فرض رسوم على الدفاع العالي؟
