في الساعة الثالثة صباحًا في ذلك الصباح، اهتز هاتفي المحمول فجأة بجنون - اتصل بي رئيس قسم الأعمال مباشرة، وتغير صوته: "الموقع الرسمي والخدمات الأساسية كلها معطلة، وانفجرت شكاوى المستخدمين! لقد قفزت على الفور من السرير، حتى النعال لا يمكنني ارتداء النعال للاندفاع إلى الكمبيوتر، واتصال SSH لأرى، رجل جيد، بطاقة شبكة الخادم ممتلئة مباشرة، حركة مرور UDP الواردة مثل كلب مسعور ارتفعت إلى 4 جيجابت في الثانية.
إن فيضان UDP هذا الشيء، في عائلة هجمات DDoS هو بالتأكيد "عمل قذر محترف. إنه ليس مثل فيضان SYN، ولكنه أيضًا "محتوى تقني" من خلال القوة الغاشمة البحتة. يستخدم المهاجم الطبيعة غير المتصلة لبروتوكول UDP لانتحال عدد كبير من عناوين IP المصدر لإرسال حزم غير صحيحة إلى الخادم المستهدف. بينما يحاول الخادم معالجة هذه الطلبات غير الصالحة، يتم استنزاف موارده بسرعة، ولا يمكن أن تأتي طلبات المستخدم العادية. الأمر الأكثر إثارة للاشمئزاز هو أن هجمات تضخيم الانعكاس أصبحت شائعة الآن، مثل NTP وDNS وانعكاس ميمكاشد، حيث يمكن للمهاجم أن يستنزف مئات الجيجابايتات من حركة المرور باستخدام أنبوب مائي صغير، وهو أمر فعال للغاية من حيث التكلفة.
لماذا تسحب جدران الحماية التقليدية في كثير من الأحيان المنشعب في مواجهة مثل هذه الهجمات؟ لقد وجدت أن جدران حماية الأجهزة التي تعتمد عليها العديد من المؤسسات تتعطل على الفور تقريبًا عند التعامل مع فيضانات UDP التي تزيد عن 1 جيجابت في الثانية. يركز تصميمها على الكشف عن الحالة، لكن UDP نفسه عديم الحالة، لذا يتعين على جدار الحماية أن يستهلك الكثير من وحدة المعالجة المركزية والذاكرة لمحاولة إنشاء "جلسة زائفة"، وفي النهاية ينجر إلى الموت أولاً. لهذا السبب يعتمد الناس أكثر فأكثر على شبكات CDN عالية الوضوح لتحمل العبء - توجيه حركة المرور إلى مراكز التنظيف الموزعة عالمياً، بعيداً عن مواقع المصدر الخاصة بهم.
الدفاع ضد فيضان CDN UDP عالي الدفاع، يعتمد الأساس على حيلتين: تنظيف حركة المرور وتصفية المنافذ. لكن هاتين الكلمتين تبدوان بسيطتين، فخلف الماء عميق جداً. مستوى تنفيذ البائعين المختلفين، وهذا مختلف حقًا.
لنبدأ بتطهير حركة المرور. هذا ليس مجرد "تعال بقدر ما تستطيع وخسر بقدر ما تستطيع". يتمتع مركز التنظيف عالي الجودة بقدرة هائلة على التعلم الأساسي لحركة المرور عند المدخل مباشرةً. من خلال التحليل في الوقت الحقيقي، يمكنه أن يحدد بدقة في غضون 3-5 ثوانٍ ما هي حركة المرور العادية للأعمال (مثل صوت الألعاب ومؤتمرات الفيديو) وما هو الفيضان الخبيث. على سبيل المثال، يمكن لشبكة التنظيف العالمية CDN5، وقد رأيتها شخصيًا في هجوم انعكاس NTP لأكثر من 300 جيجابت في الثانية، أن تكتمل في غضون 10 ثوانٍ من الجر والتنظيف، وتكون حركة المرور النهائية إلى المحطة المصدر صفر تقريبًا.
استراتيجية التنظيف الخاصة بهم ذات طبقات. الطبقة الأولى هي الفحص الخشن: تعتمد بشكل مباشر على بروتوكول BGP لسحب حركة مرور الهجمات المشتبه بها ديناميكيًا إلى مركز التنظيف الموزع. الطبقة الثانية هي تحليل البروتوكول: تحليل متعمق لمحتوى حزمة UDP. على سبيل المثال، حزمة استعلام DNS، طول الحزمة العادية ومحتواها له نمط محدد، في حين أن حزمة الهجوم غالبًا ما تكون مشوشة أو مليئة بحمولات كبيرة الحجم. الطبقة الثالثة هي تحديد المعدل: يتم التحكم في عدد حزم UDP لكل وحدة زمنية لمصدر IP أو منفذ مستهدف محدد بواسطة عتبة ديناميكية. باستخدام هذه المجموعة، يتم تصفية معظم حركة المرور المشوشة.
ومن الشركات الأخرى الجديرة بالذكر شركة CDN07، التي تتخصص في "نموذج التعلم الذكي". فبدلاً من مجرد وضع عتبات ثابتة، فإنها تتعلم باستمرار نموذج حركة مرور الأعمال لكل عميل من خلال نماذج التعلم الآلي. على سبيل المثال، إذا كان نشاطك التجاري عبارة عن أجهزة إنترنت الأشياء التي تُبلغ عن البيانات، فعادةً ما تكون حزم صغيرة وتردد منخفض واتصالات طويلة. بمجرد وجود حركة مرور UDP ذات التردد العالي والحزم الكبيرة، سيقوم النموذج على الفور بالإبلاغ عنها على أنها حالة شاذة، وهو أمر أكثر حساسية من وضع القواعد يدويًا. بعد أن انتقل أحد عملائي إلى CDN07، انخفض المعدل الإيجابي الخاطئ إلى الصفر تقريبًا.
تنظيف حركة المرور لا يكفي، فترشيح المنافذ هو خط دفاع رئيسي آخر. مفهومه بسيط للغاية: لا تطلق سوى المنافذ الضرورية للعمل، وتوقف جميع المنافذ الأخرى. ومع ذلك، في الواقع، العديد من العمليات والصيانة بسبب الخوف من المتاعب، مباشرةً في نطاق منافذ CDN UDP عالية الدفاع التي تم تعيينها على 0:65535 (كلها مفتوحة)، وهو ما يعادل الباب مفتوح تمامًا، وضغط التنظيف ضخم.
الشيء الصحيح الذي يجب القيام به هو التقارب الشديد بين المنافذ. على سبيل المثال، إذا كان عملك عبارة عن خدمات DNS فقط، فافتح منفذ UDP 53 فقط. إذا كانت مؤتمرات الفيديو، فقد تفتح فقط بعض نطاقات المنافذ لاتفاقيات RTP/RTCP. يجب أن توفر شبكة CDN عالية الدفاع تكوينًا مرنًا لقواعد تصفية المنافذ، وأن تدعم قطاعات المنافذ المجمعة والمنافذ الفردية، وأن تكون قادرة على تعيين سياسات تنظيف مختلفة لمنافذ مختلفة.
إليك مثال على التكوين الذي أستخدمه عادةً، استنادًا إلى واجهة برمجة تطبيقات CDN5 (محاكاة):
لا تصدق أولئك البائعين الذين يخبرونك بأنه "لا بأس من فتح جميع المنافذ، فنحن جيدون جدًا في التنظيف". في هذه الأيام، حتى شبكات CDN يجب أن "تمنع زملاء الفريق"، وتقليل سطح الهجوم بشكل استباقي هو السبيل إلى ذلك. لقد ساعدت أحد العملاء ذات مرة على القيام بالتحسين، فقط من مجموعة كاملة من منافذ UDP المفتوحة التي تم تضييق نطاقها إلى 3 منافذ تحتاجها الشركة بالفعل، انخفضت تكلفة عرض النطاق الترددي للهجوم في الشهر التالي بمقدار 601 تيرابايت 3 تيرابايت.
أما بالنسبة لشركة 08Host الناشئة، فإن استراتيجيتها مختلفة بعض الشيء. ينصب التركيز الرئيسي على تقنية "التخفي في المنافذ". بالنسبة لمنافذ UDP غير المفتوحة للعمل، فإنها لا تستجيب مباشرة على مستوى مركز التنظيف، بدلاً من استقبالها ثم إسقاطها. بهذه الطريقة، لا يمكن للمهاجمين حتى اكتشاف إمكانية الوصول إلى المنفذ، ناهيك عن شن هجوم فعال. هذا فعال بشكل خاص في تقليل ضوضاء حركة المرور في الخلفية.
بطبيعة الحال، لا توجد تقنية واحدة هي الحل السحري. من الناحية العملية، يجب أن يكون ربط السياسات متعدد الطبقات. نظام الدفاع الخاص بي عادةً ما يكون: تصفية المنافذ (الطبقة 1) + التحقق من امتثال البروتوكول (الطبقة 2) + تحديد المعدل والبصمات الديناميكية (الطبقة 3) + تخفيف حركة مرور Anycast العالمية (الطبقة 4). مع طبقة التصفية هذه، ما يأتي إلى المصدر هو بالفعل حركة مرور واضحة وعادية.
في النهاية، لا يسعني إلا أن أبصق جملة: تنتظر العديد من الشركات دائمًا حتى تصاب بالشلل قبل أن تفكر في شراء دفاعات عالية. في الواقع، يجب أن تقوم عادةً بعمل جيد في العمل الأساسي، مثل القيود الصارمة على منافذ UDP، واختيار قوة بائعي التنظيف الكبار (لا تكن جشعًا لرخص الثمن)، والقيام بتدريبات الهجوم والدفاع بانتظام، لن يختفي فيضان UDP، بل سيصبح أكثر شراسة. ولكن ما دمت تفهم آليته وتستخدم قدرات التنظيف والتصفية الخاصة بشبكة CDN، يمكنك أن تحول نفسك من "الضربة السلبية" إلى "الدفاع النشط".
الأمن هو في الأساس لعبة تكلفة. فالمهاجمون لا يملكون موارد غير محدودة. عندما تسحب تكلفة الهجوم عالية بما فيه الكفاية، سيذهبون بطبيعة الحال للعثور على برسيمون أكثر ليونة للقرص. وامتلاك شبكة CDN عالية الدفاع بشكل صحيح هو أحد أصعب الأوراق في لعبتك.
