في الربعين الأولين من عام 2020، تضاعف عدد هجمات DDoS ثلاث مرات تقريبًا، وكان 65% منها عبارة عن محاولات بدائية لـ "اختبار التحميل" الذي يعمل بسهولة على "تعطيل" المواقع التي لا حول لها ولا قوة للمتاجر الصغيرة عبر الإنترنت والمنتديات والمدونات ووسائل الإعلام.
كيف تختار الاستضافة المحمية ضد DDoS؟ ما الذي يجب أن تنتبه إليه وما الذي يجب أن تستعد له حتى لا ينتهي بك الأمر في موقف غير سار؟
(التطعيم ضد التسويق "الرمادي" في الداخل)
إن توفر الأدوات وتنوعها لتنفيذ هجمات DDoS يجبر أصحاب الخدمات عبر الإنترنت على اتخاذ التدابير المناسبة لمواجهة التهديد. يجب أن تفكر في حماية DDoS ليس بعد الفشل الأول، وليس حتى كجزء من مجموعة من التدابير لزيادة التسامح مع الأخطاء في البنية التحتية، ولكن في مرحلة اختيار موقع للتنسيب (موفر الاستضافة أو مركز البيانات).
يتم تصنيف هجمات DDoS اعتمادًا على البروتوكولات التي يتم استغلال ثغراتها الأمنية إلى مستويات نموذج ربط الأنظمة المفتوحة (OSI):
- قناة (L2)،
- الشبكة (L3)،
- النقل (L4)،
- مطبق (L7).
من وجهة نظر أنظمة الأمان، يمكن تعميمها في مجموعتين: الهجمات على مستوى البنية التحتية (L2-L4) والهجمات على مستوى التطبيق (L7). ويرجع ذلك إلى تسلسل تنفيذ خوارزميات تحليل حركة المرور والتعقيد الحسابي: كلما نظرنا بشكل أعمق في حزمة IP، زادت الحاجة إلى قوة الحوسبة.
بشكل عام، تعد مشكلة تحسين الحسابات عند معالجة حركة المرور في الوقت الفعلي موضوعًا لسلسلة منفصلة من المقالات. الآن دعونا نتخيل أن هناك مزودًا سحابيًا يتمتع بموارد حوسبة غير محدودة مشروطة يمكنها حماية المواقع من الهجمات على مستوى التطبيق (بما في ذلك ).
3 أسئلة رئيسية لتحديد درجة أمان الاستضافة ضد هجمات DDoS
دعونا نلقي نظرة على شروط الخدمة للحماية من هجمات DDoS واتفاقية مستوى الخدمة (SLA) الخاصة بموفر الاستضافة. هل تحتوي على إجابات للأسئلة التالية:
- ما هي القيود الفنية التي ذكرها مزود الخدمة؟?
- ماذا يحدث عندما يتجاوز العميل الحدود؟
- كيف يمكن لموفر الاستضافة بناء الحماية ضد هجمات DDoS (التقنيات والحلول والموردين)؟
إذا لم تجد هذه المعلومات، فهذا سبب للتفكير في مدى خطورة مزود الخدمة، أو تنظيم حماية DDoS الأساسية (L3-4) بنفسك. على سبيل المثال، اطلب اتصالاً فعليًا بشبكة مزود أمان متخصص.
المهم! لا فائدة من توفير الحماية ضد الهجمات على مستوى التطبيق باستخدام Reverse Proxy إذا كان موفر الاستضافة الخاص بك غير قادر على توفير الحماية ضد الهجمات على مستوى البنية التحتية: سيتم تحميل معدات الشبكة بشكل زائد وتصبح غير متوفرة، بما في ذلك خوادم الوكيل الخاصة بموفر السحابة (الشكل 1).
الشكل 1. الهجوم المباشر على شبكة مزود الاستضافة
ولا تدعهم يحاولون إخبارك بالحكايات الخيالية التي تقول إن عنوان IP الحقيقي للخادم مخفي خلف سحابة مزود الأمان، مما يعني أنه من المستحيل مهاجمته مباشرة. في تسع حالات من أصل عشر، لن يكون من الصعب على المهاجم العثور على عنوان IP الحقيقي للخادم أو على الأقل شبكة موفر الاستضافة من أجل "تدمير" مركز البيانات بأكمله.
كيف يتصرف المتسللون بحثًا عن عنوان IP حقيقي
يوجد أسفل المفسدين عدة طرق للعثور على عنوان IP حقيقي (مقدم لأغراض إعلامية).
الطريقة الأولى: البحث في المصادر المفتوحة
يمكنك بدء البحث باستخدام الخدمة عبر الإنترنت: يبحث في الويب المظلم ومنصات مشاركة المستندات ويعالج بيانات Whois وتسريبات البيانات العامة والعديد من المصادر الأخرى.
إذا كان من الممكن، بناءً على بعض العلامات (ترويسات HTTP، وبيانات Whois، وما إلى ذلك)، تحديد أن حماية الموقع منظمة باستخدام Cloudflare، فيمكنك البدء في البحث عن عنوان IP الحقيقي منوالذي يحتوي على حوالي 3 ملايين عنوان IP للمواقع الموجودة خلف Cloudflare.
باستخدام شهادة وخدمة SSL يمكنك العثور على الكثير من المعلومات المفيدة، بما في ذلك عنوان IP الحقيقي للموقع. لإنشاء طلب لموردك، انتقل إلى علامة التبويب "الشهادات" وأدخل:
_parsed.names: الاسمالموقع وtags.raw: موثوق به
للبحث عن عناوين IP للخوادم باستخدام شهادة SSL، سيتعين عليك تصفح القائمة المنسدلة يدويًا باستخدام العديد من الأدوات (علامة التبويب "استكشاف"، ثم تحديد "مضيفو IPv4").
الطريقة الثانية: نظام أسماء النطاقات (DNS).
يعد البحث في تاريخ تغييرات سجل DNS طريقة قديمة ومثبتة. يمكن لعنوان IP السابق للموقع أن يوضح الاستضافة (أو مركز البيانات) الموجود عليه. ومن بين الخدمات الإلكترونية من حيث سهولة الاستخدام، يبرز ما يلي: и .
عند تغيير الإعدادات، لن يستخدم الموقع على الفور عنوان IP الخاص بموفر الأمان السحابي أو CDN، ولكنه سيعمل بشكل مباشر لبعض الوقت. في هذه الحالة، هناك احتمال أن تحتوي الخدمات عبر الإنترنت لتخزين محفوظات تغييرات عنوان IP على معلومات حول عنوان المصدر للموقع.
إذا لم يكن هناك سوى اسم خادم DNS القديم، فباستخدام أدوات مساعدة خاصة (حفر أو مضيف أو NSLOOKUP) يمكنك طلب عنوان IP حسب اسم مجال الموقع، على سبيل المثال:
_digاسم @old_dns_server_nameсайта
الطريقة الثالثة: البريد الإلكتروني
فكرة الطريقة هي استخدام نموذج الملاحظات/التسجيل (أو أي طريقة أخرى تسمح لك ببدء إرسال خطاب) لتلقي خطاب إلى بريدك الإلكتروني والتحقق من العناوين، ولا سيما حقل "تم الاستلام" .
غالبًا ما يحتوي رأس البريد الإلكتروني على عنوان IP الفعلي لسجل MX (خادم تبادل البريد الإلكتروني)، والذي يمكن أن يكون نقطة بداية للعثور على خوادم أخرى على الهدف.
أدوات أتمتة البحث
غالبًا ما يعمل برنامج البحث عن IP الموجود خلف درع Cloudflare في ثلاث مهام:
- البحث عن التكوين الخاطئ لنظام DNS باستخدام DNSDumpster.com؛
- فحص قاعدة بيانات Crimeflare.com؛
- البحث عن النطاقات الفرعية باستخدام طريقة البحث في القاموس.
غالبًا ما يكون العثور على النطاقات الفرعية هو الخيار الأكثر فعالية من بين الخيارات الثلاثة - يمكن لمالك الموقع حماية الموقع الرئيسي وترك النطاقات الفرعية تعمل مباشرة. أسهل طريقة للتحقق هي الاستخدام .
بالإضافة إلى ذلك، هناك أدوات مساعدة مصممة فقط للبحث في النطاقات الفرعية باستخدام البحث في القاموس والبحث في المصادر المفتوحة، على سبيل المثال: أو .
كيف يحدث البحث في الممارسة العملية
على سبيل المثال لنأخذ موقع seo.com باستخدام Cloudflare والذي سنجده باستخدام خدمة معروفة (يسمح لك بتحديد التقنيات / المحركات / نظام إدارة المحتوى (CMS) الذي يعمل عليه الموقع، والعكس - البحث عن المواقع حسب التقنيات المستخدمة).
عند النقر فوق علامة التبويب "مضيفو IPv4"، ستعرض الخدمة قائمة بالمضيفين الذين يستخدمون الشهادة. للعثور على العنوان الذي تحتاجه، ابحث عن عنوان IP بمنفذ مفتوح 443. إذا أعاد التوجيه إلى الموقع المطلوب، فستكون المهمة قد اكتملت، وإلا فستحتاج إلى إضافة اسم المجال الخاص بالموقع إلى رأس "المضيف" الخاص بالموقع. طلب HTTP (على سبيل المثال، *curl -H "Host: site_name" *).
في حالتنا، لم يعط البحث في قاعدة بيانات Censys أي شيء، لذلك ننتقل إلى أبعد من ذلك.
سنقوم بإجراء بحث DNS من خلال الخدمة.
من خلال البحث في العناوين المذكورة في قوائم خوادم DNS باستخدام الأداة المساعدة CloudFail، نجد موارد العمل. ستكون النتيجة جاهزة في بضع ثوان.
باستخدام البيانات المفتوحة والأدوات البسيطة فقط، حددنا عنوان IP الحقيقي لخادم الويب. أما الباقي بالنسبة للمهاجم فهو مسألة تقنية.
دعنا نعود إلى اختيار مزود الاستضافة. لتقييم فائدة الخدمة للعميل، سننظر في الطرق الممكنة للحماية ضد هجمات DDoS.
كيف يبني مزود الاستضافة الحماية الخاصة به
- نظام الحماية الخاص مع معدات التصفية (الشكل 2).
يتطلب:
1.1. معدات تصفية حركة المرور وتراخيص البرامج؛
1.2. متخصصون بدوام كامل لدعمها وتشغيلها؛
1.3. قنوات الوصول إلى الإنترنت التي ستكون كافية لاستقبال الهجمات؛
1.4. عرض نطاق ترددي كبير للقناة المدفوعة مسبقًا لتلقي حركة المرور "غير المرغوب فيها".
الشكل 2. نظام الأمان الخاص بمزود الاستضافة
إذا اعتبرنا النظام الموصوف وسيلة للحماية من هجمات DDoS الحديثة بمئات جيجابت في الثانية، فإن مثل هذا النظام سيكلف الكثير من المال. هل يتمتع مزود الاستضافة بهذه الحماية؟ هل هو مستعد لدفع ثمن حركة المرور "غير المرغوب فيها"؟ من الواضح أن مثل هذا النموذج الاقتصادي غير مربح للمزود إذا كانت التعريفات لا تنص على مدفوعات إضافية. - Reverse Proxy (لمواقع الويب وبعض التطبيقات فقط). رغم عدد ، لا يضمن المورد الحماية ضد هجمات DDoS المباشرة (انظر الشكل 1). غالبًا ما يقدم مقدمو خدمات الاستضافة حلاً كعلاج سحري، حيث ينقلون المسؤولية إلى مزود الأمان.
- خدمات مزود سحابي متخصص (استخدام شبكة التصفية الخاصة به) للحماية من هجمات DDoS على جميع مستويات OSI (الشكل 3).
الشكل 3. حماية شاملة ضد هجمات DDoS باستخدام مزود متخصص
يفترض التكامل العميق ومستوى عال من الكفاءة الفنية لكلا الطرفين. يتيح الاستعانة بمصادر خارجية لخدمات تصفية حركة المرور لمزود الاستضافة تقليل سعر الخدمات الإضافية للعميل.
المهم! كلما تم وصف الخصائص التقنية للخدمة المقدمة بشكل أكثر تفصيلاً، زادت فرصة المطالبة بتنفيذها أو التعويض عنها في حالة التوقف.
بالإضافة إلى الطرق الثلاثة الرئيسية، هناك العديد من المجموعات والمجموعات. عند اختيار الاستضافة، من المهم أن يتذكر العميل أن القرار لن يعتمد فقط على حجم الهجمات المحظورة المضمونة ودقة التصفية، ولكن أيضًا على سرعة الاستجابة، بالإضافة إلى محتوى المعلومات (قائمة الهجمات المحظورة، إحصائيات عامة، الخ).
تذكر أن عددًا قليلاً فقط من موفري خدمات الاستضافة في العالم قادرون على توفير مستوى مقبول من الحماية بمفردهم؛ وفي حالات أخرى، يساعد التعاون والمعرفة التقنية في ذلك. وبالتالي، فإن فهم المبادئ الأساسية لتنظيم الحماية ضد هجمات DDoS سيسمح لمالك الموقع بعدم الوقوع في فخ الحيل التسويقية وعدم شراء "خنزير في كزة".
المصدر: www.habr.com