يعرف أولئك الذين انخرطوا في هذا المجال مدى عمق مياه صناعة الشطرنج، فالهجمات الموزعة تضرب كالكلب المسعور، ولكن الأكثر خبثًا هي تلك الهجمات البطيئة التي تطحنك ببطء - فهي ليست هجومًا مدويًا مثل هجوم الفيضان، بل مثل غليان ضفدع في ماء فاتر، وبحلول الوقت الذي تدرك فيه ذلك، تكون الخوادم قد شُلت منذ فترة طويلة.
في العام الماضي، ساعدت منصة شطرنج في العام الماضي في الاستجابة لحالات الطوارئ، وكان تشغيلها وصيانتها في البداية واثقًا أيضًا: “عرض النطاق الترددي كافٍ، وقواعد جدار الحماية مكدسة أيضًا”. نتيجة إلقاء نظرة على الشاشة، لم تنفجر وحدة المعالجة المركزية، ولم ترتفع حركة المرور، لكن المستخدم عالق في اللعن. أخيرًا، تحليل الحزمة فقط لتجد أن هناك IP ببطء كل 30 ثانية لإرسال رأس حزمة HTTP، قرصة الاتصال في أيدي الموتى لا تترك، خادم بالمئات من هذه الاتصالات لاستنفاد الموارد.
الشيء السيئ في هجوم HTTP البطيء هذا هو أنه يبدو “طبيعيًا” للغاية. قد يسمح جدار الحماية التقليدي بذلك، لأن كل طلب بمفرده يتوافق مع مواصفات البروتوكول. لكن المهاجم يعتمد على هذا “البطيء” لاستنفاد تجمع الاتصالات، وتجمع مؤشرات الترابط، وفي النهاية منع المستخدمين العاديين من الوصول.
لا تعتمد على جدار حماية الأجهزة لإصلاح ذلك.. لقد اختبرت بالفعل أن علامة تجارية معينة من جدار حماية الأجهزة بملايين الدولارات مع السياسة الافتراضية لا تستجيب تقريبًا لهجمات Slowloris - لأنها تكتشف طفرات حركة المرور وليس فترات الاتصال. ما يمكن أن يتحمل العبء حقًا هو أيضًا شبكة CDN عالية الأمان للشطرنج مع التحكم الدقيق في المهلة والتحليل السلوكي.
لنبدأ بإعداد مهلة الطلب. الأمر لا يتعلق فقط بتغيير "مهلة_مهلة_الحفظ" في Nginx. عليك أن تقسمها إلى عدة أبعاد بناءً على خصائص العمل: مهلة إنشاء الاتصال، مهلة استقبال الرأس، مهلة إرسال الجسم، مهلة الاتصال الخامل. على سبيل المثال، بالنسبة لأعمال الشطرنج، يجب أن يكتمل طلب HTTP العام في غضون ثانيتين، وقد يحافظ اتصال WS الطويل على مستوى الدقائق، ولكن يجب أن تكون هناك آلية لنبض القلب تحت الغطاء.
إذا أخذنا تهيئة Nginx كمثال، عادةً ما أضعها على هذا النحو:
لكن هذا وحده لا يكفي. فبعض المهاجمين يرسلون الجسم عمداً بمعدل بطيء، مثل 1 بايت في الثانية. هذه المرة تحتاج إلى إعداد سياسة عامة للتحكم في التدفق في عقدة حافة CDN. مثل CDN5 هذا المنزل قام هذا المنزل بالانهيار: 10 ثوانٍ لم يمر حجم الجسم الافتراضي (مثل 1 كيلوبايت) مفصول مباشرة، ولا يستغرق تجمع الاتصال الخلفي.
والأصعب من ذلك هو اعتراض السلوك الشاذ. يصعب الدفاع ضد الهجمات البطيئة لأن الطلب الواحد يبدو غير ضار. ولكن إذا نظرت إلى الطلبات المتعددة في سياقها، فإن الشيطان يكمن في التفاصيل.
عادةً ما ألتقط الحالات الشاذة في ثلاثة أبعاد:سرعة الاتصال(لا يستمر المستخدمون العاديون في إنشاء اتصالات جديدة دون إرسال طلبات),معدل الإرسال(لا يستغرق المستخدمون العاديون 10 دقائق لاجتياز حزمة تسجيل الدخول),توزيع زمن البقاء على قيد الحياة(بينما تتقلب جلسات مستخدم الشطرنج عادة، تميل اتصالات الهجوم إلى الاستقرار بشكل غير عادي).
قام فريق خوارزمية CDN07 بتطوير مجموعة من مكتبات الميزات المصممة خصيصًا لالتقاط هذا النوع من السلوك “البطيء المزيف”. على سبيل المثال، يتم الكشف عن بروتوكول إنترنت لبناء اتصال كل 10 ثوانٍ، لكن كل اتصال يرسل 5 بايت فقط ثم يبقى صامتاً، أكثر من 10 مرات متتالية مباشرةً في عملية التحدي. معدل القتل المقاس أقل من 0.1%، ولكن يمكن اعتراض متغيرات الهجوم البطيء 99%.
حيلة أخرى هي إجراء فحص لسلامة البروتوكول. في الواقع العديد من أدوات الهجوم البطيء لديها تطبيقات بروتوكول معيبة (على سبيل المثال، فقدان بعض حقول الرؤوس عمداً). يمكننا بناء منطق المجموع الاختباري مسبقًا على شبكة CDN:
بالطبع، يجب تطبيق الاستراتيجية المذكورة أعلاه بمرونة. على سبيل المثال، يجب التعامل مع واجهات واجهة برمجة التطبيقات والاتصالات الطويلة لـ WS بشكل مختلف. 08Host تقوم العقد الخاصة بالشطرنج بتحديد ذكي: استخدم مهلة صارمة (10 ثوانٍ) لمسار /api/، واسمح بالاتصالات الطويلة لمسار /ws/ ولكن اطلب ألا تزيد الفترة الفاصلة بين حزم نبضات القلب عن 25 ثانية.
لا تنجرف وراء حل واحد. كان هناك عميل اشترى ذات مرة شبكة CDN من إحدى الشركات المصنعة الكبرى واعتقد أن كل شيء سيكون على ما يرام، ولكن النتيجة كانت أن Slowloris كان مثقوبًا. في وقت لاحق، وجد أن إعداد المهلة الافتراضي لشبكة CDN كان فضفاضًا جدًا (كان مسموحًا بـ 120 ثانية من الاتصال الخامل). في وقت لاحق، عملنا مع سياسة CDN5 المخصصة لتقليل عتبة المهلة إلى 15 ثانية، وفي الوقت نفسه قمنا بتمكين “وضع تعلم الاتصال البطيء” - أولاً إطلاق 24 ساعة لإنشاء خط أساس، ثم اعتراض عناوين IP التي تنحرف عن سلوك خط الأساس تلقائيًا.
أخيرًا، أود أن أذكر مأزقًا: إعدادات المهلة الشديدة للغاية قد تضر عن طريق الخطأ بمستخدمي الشبكة البطيئين. تتمثل تجربتي في الجمع بين السياسة الجغرافية، على سبيل المثال، بالنسبة للمستخدمين المحليين مع مهلة موحدة مدتها 10 ثوانٍ، بالنسبة لمستخدمي جنوب شرق آسيا للتخفيف إلى 20 ثانية، وفي الوقت نفسه مع خوارزمية مركز الثقل لتحديد - إذا كان عنوان IP الخاص بالمستخدم بعيدًا جدًا عن المسافة الفعلية ولكن زمن الاستجابة منخفض جدًا، فإن احتمال أن يكون ذلك تزويرًا لحركة المرور عبر الحدود.
في الممارسة العملية أحب أيضًا دفن بعض المخاطر المخفية. على سبيل المثال، في تكوين CDN الممزوج في بعض النطاقات الباردة كطعم، سيتم فحص هذه النطاقات فقط من قبل المهاجم، ولن يزورها المستخدمون العاديون أبدًا. بمجرد اكتشاف بطء محاولات الاتصال في هذه النطاقات ، قم بحظر مقطع ASN بأكمله مباشرةً. ساعدتني هذه الحيلة في إيقاف عدة موجات من الهجمات المستهدفة.
في النهاية، إن الوقاية من الهجمات البطيئة مثل اصطياد الصراصير، لا يمكن الاعتماد فقط على الحجب الصعب، عليك أن تتعلم “الاستماع إلى صوت الموقف”.ميزة CDN هي أنه يمكن رؤية حركة المرور العالمية، جنبًا إلى جنب مع التحكم في المهلة والتحليل السلوكي، ويمكن العثور عليها غالبًا في الهجوم المبكر على الشتلات. ولكن تذكر، لا يوجد حل واحد لكل شيء، قد يتم تجاوز القواعد الفعالة اليوم في الشهر المقبل، لذا تأكد من ترك قناة للبحث اليدوي والحكم - حكم الآلة 70% المشبوه على دفع الإنذار، بحيث يتخذ الناس القرار النهائي.
إذا كنت تستخدم CDN07 أو 08Host، تذكر أن تبحث في الواجهة الخلفية للعثور على وحدة الحماية من الهجمات البطيئة (بعضها مخفي في “الأمان المتقدم” أو “القواعد المخصصة”). معظم العملاء لا يعرفون حتى أن هذه الميزات موجودة، وهي مضيعة للقسط السنوي. على كل حال، في هذه الأيام، حتى شبكة CDN يجب أن “تمنع زملاء الفريق” - ليس لمنع المهاجمين، بل لمنع عدم استخدامك أنت.
