د 2020 په لومړیو دوو ربعو کې، د DDoS بریدونو شمیر نږدې درې چنده شوی، چې 65٪ یې د "لوډ ټیسټ" لومړنۍ هڅې دي چې په اسانۍ سره د کوچني آنلاین پلورنځیو، فورمونو، بلاګونو، او رسنیو د بې دفاع سایټونو "غیر فعال" کوي.
د DDoS خوندي کوربه توب څنګه غوره کړئ؟ تاسو باید څه ته پاملرنه وکړئ او تاسو باید د څه لپاره چمتووالی ونیسئ ترڅو په ناخوښ حالت کې پای ته ونه رسئ؟
(د "خړ" بازار موندنې په وړاندې واکسین کول)
د DDoS بریدونو ترسره کولو لپاره د وسایلو شتون او ډول ډول شتون د آنلاین خدماتو مالکین مجبوروي چې د ګواښ سره د مقابلې لپاره مناسب اقدامات وکړي. تاسو باید د DDoS محافظت په اړه فکر وکړئ نه د لومړۍ ناکامۍ وروسته، او حتی د زیربنا د غلطی زغم زیاتولو لپاره د اقداماتو د یوې برخې په توګه نه، مګر د ځای پرځای کولو لپاره د سایټ غوره کولو په مرحله کې (د کوربه چمتو کونکي یا د معلوماتو مرکز).
د DDoS بریدونه د پروتوکولونو پراساس طبقه بندي شوي چې زیان منونکي یې د خلاص سیسټمونو انټرنېکشن (OSI) ماډل کچې ته کارول کیږي:
- چینل (L2)
- شبکه (L3)
- ټرانسپورټ (L4)
- تطبیق شوی (L7).
د امنیتي سیسټمونو له نظره، دوی په دوو ګروپونو کې عمومي کیدی شي: د زیربنا کچې بریدونه (L2-L4) او د غوښتنلیک کچې بریدونه (L7). دا د ترافیک تحلیل الګوریتمونو اجرا کولو ترتیب او کمپیوټري پیچلتیا له امله دی: هرڅومره چې موږ د IP پیکټ ته ګورو ، هومره کمپیوټري ځواک ته اړتیا ده.
په عموم کې، په ریښتیني وخت کې د ټرافیک پروسس کولو په وخت کې د محاسبې اصلاح کولو ستونزه د مقالو جلا لړۍ لپاره موضوع ده. اوس راځئ یوازې تصور وکړو چې دلته یو څه بادل چمتو کونکي شتون لري چې په مشروط ډول لامحدود کمپیوټري سرچینې لري چې کولی شي سایټونه د غوښتنلیک کچې بریدونو څخه خوندي کړي (پشمول ).
د DDoS بریدونو څخه د کوربه توب امنیت درجې ټاکلو لپاره 3 اصلي پوښتنې
راځئ چې د DDoS بریدونو پروړاندې د ساتنې لپاره د خدماتو شرایط او د کوربه چمتو کونکي د خدماتو کچې تړون (SLA) وګورو. ایا دوی لاندې پوښتنو ته ځوابونه لري:
- کوم تخنیکي محدودیتونه د خدمت چمتو کونکي لخوا بیان شوي؟?
- څه پیښیږي کله چې پیرودونکي له حد څخه تیریږي؟
- د کوربه توب چمتو کونکی څنګه د DDoS بریدونو (ټیکنالوژۍ، حلونو، عرضه کونکو) په وړاندې محافظت رامینځته کوي؟
که تاسو دا معلومات نه وي موندلي، نو دا یو دلیل دی چې یا د خدماتو چمتو کونکي جديیت په اړه فکر وکړئ، یا پخپله د DDoS بنسټیز محافظت (L3-4) تنظیم کړئ. د مثال په توګه، د ځانګړي امنیت چمتو کونکي شبکې سره فزیکي اړیکه امر کړئ.
مهم! د ریورس پراکسي په کارولو سره د غوښتنلیک کچې بریدونو پروړاندې محافظت چمتو کولو کې هیڅ معنی شتون نلري که ستاسو کوربه چمتو کونکی نشي کولی د زیربنا کچې بریدونو پروړاندې محافظت چمتو کړي: د شبکې تجهیزات به ډیر بار شي او شتون نلري ، پشمول د کلاوډ چمتو کونکي پراکسي سرورونو (انځور) 1).
شکل 1. د کوربه چمتو کونکي شبکې مستقیم برید
او دوی ته اجازه مه ورکوئ چې تاسو ته د افسانې کیسې ووایی چې د سرور اصلي IP پته د امنیت چمتو کونکي بادل شاته پټ دی ، پدې معنی چې دا په مستقیم ډول برید کول ناممکن دي. له لسو څخه په نهو قضیو کې، دا به د برید کونکي لپاره ستونزمن نه وي چې د سرور اصلي IP پته یا لږترلږه د کوربه چمتو کونکي شبکه ومومي ترڅو د بشپړ ډیټا مرکز "تجارت" وکړي.
هکران څنګه د ریښتیني IP پتې په لټه کې عمل کوي
د سپیلر لاندې د ریښتیني IP پتې موندلو لپاره ډیری میتودونه دي (د معلوماتو هدفونو لپاره ورکړل شوي).
طریقه 1: په خلاصو سرچینو کې لټون وکړئ
تاسو کولی شئ خپل لټون د آنلاین خدمت سره پیل کړئ: دا تیاره ویب ، د سند شریکولو پلیټ فارمونه ، د Whois ډیټا پروسس کوي ، د عامه معلوماتو لیک او ډیری نورې سرچینې لټوي.
که، د ځینو نښو (HTTP سرلیکونو، Whois ډیټا، او نور) پر بنسټ، دا ممکنه وه چې معلومه کړي چې د سایټ محافظت د Cloudflare په کارولو سره تنظیم شوی، نو تاسو کولی شئ د اصلي IP لټون پیل کړئ.، کوم چې د Cloudflare شاته موقعیت لرونکي سایټونو شاوخوا 3 ملیون IP پتې لري.
د SSL سند او خدمت کارول تاسو کولی شئ ډیری ګټور معلومات ومومئ، په شمول د سایټ اصلي IP پته. د خپلې سرچینې لپاره د غوښتنې رامینځته کولو لپاره ، د سندونو ټب ته لاړشئ او دننه کړئ:
_parsed.names: نومسایټ او tags.raw: باوري
د SSL سند په کارولو سره د سرورونو IP پتې لټون کولو لپاره ، تاسو باید په لاسي ډول د ډیری وسیلو سره د ډراپ ډاون لیست ته لاړشئ (د "سپړنې" ټب ، بیا "IPv4 کوربه" غوره کړئ).
میتود 2: DNS
د DNS ریکارډ بدلونونو تاریخ لټون یو زوړ، ثابت میتود دی. د سایټ پخوانی IP پته کولی شي دا روښانه کړي چې کوم کوربه توب (یا د معلوماتو مرکز) دا موقعیت درلود. د آنلاین خدماتو په مینځ کې د کارونې اسانتیا له مخې ، لاندې یې څرګند دي: и .
کله چې تاسو تنظیمات بدل کړئ ، سایټ به سمدلاسه د کلاوډ امنیت چمتو کونکي یا CDN IP پته ونه کاروي ، مګر د یو څه وخت لپاره به مستقیم کار وکړي. پدې حالت کې ، احتمال شتون لري چې د IP پتې بدلونونو تاریخ ذخیره کولو لپاره آنلاین خدمات د سایټ د سرچینې پتې په اړه معلومات ولري.
که چیرې د زاړه DNS سرور نوم پرته بل څه شتون ونلري، نو بیا د ځانګړو اسانتیاوو (dig، host یا nslookup) په کارولو سره تاسو کولی شئ د سایټ د ډومین نوم لخوا د IP پتې غوښتنه وکړئ، د بیلګې په توګه:
_dig @old_dns_server_name نومسایټ
طریقه 3: بریښنالیک
د میتود مفکوره دا ده چې د فیډبیک / راجسټریشن فارم (یا کوم بل میتود چې تاسو ته اجازه درکوي د لیک لیږل پیل کړئ) وکاروئ ترڅو خپل بریښنالیک ته یو لیک ترلاسه کړئ او سرلیکونه چیک کړئ ، په ځانګړي توګه د "ترلاسه شوي" ساحه .
د بریښنالیک سرلیک اکثرا د MX ریکارډ اصلي IP پته لري (د بریښنالیک تبادلې سرور) ، کوم چې په هدف کې د نورو سرورونو موندلو لپاره د پیل ټکی کیدی شي.
د اتوماتیک وسیلې لټون
د Cloudflare شیلډ شاته د IP لټون سافټویر ډیری وختونه د دریو دندو لپاره کار کوي:
- د DNSdumpster.com په کارولو سره د DNS غلط ترتیب لپاره سکین کول؛
- د Crimeflare.com ډیټابیس سکین؛
- د لغت لټون میتود په کارولو سره د فرعي ډومینونو لټون.
د فرعي ډومینونو موندل اکثرا د دریو څخه خورا اغیزمن انتخاب دی - د سایټ مالک کولی شي د اصلي سایټ ساتنه وکړي او فرعي ډومینونه په مستقیم ډول پریږدي. د چک کولو ترټولو اسانه لاره کارول دي .
برسېره پردې، داسې اسانتیاوې شتون لري چې یوازې د فرعي ډومینونو لټون لپاره د لغت لټون او په خلاص سرچینو کې لټون کولو لپاره ډیزاین شوي، د بیلګې په توګه: او یا .
لټون څنګه په عمل کې پیښیږي
د مثال په توګه، راځئ چې د Cloudflare په کارولو سره سایټ seo.com واخلو، کوم چې موږ به د یو مشهور خدمت په کارولو سره ومومئ (تاسو ته اجازه درکوي دواړه ټیکنالوژي / انجنونه / CMS وټاکئ په کوم کې چې سایټ کار کوي، او برعکس - د کارول شوي ټیکنالوژیو لخوا د سایټونو لټون).
کله چې تاسو د "IPv4 کوربه" ټب باندې کلیک وکړئ، خدمت به د سند په کارولو سره د کوربه توب لیست وښيي. د هغه موندلو لپاره چې تاسو ورته اړتیا لرئ، د پرانیستې پورټ 443 سره IP پته وګورئ. که چیرې دا مطلوب سایټ ته وګرځي، نو کار بشپړ شوی، که نه نو تاسو اړتیا لرئ چې د سایټ د ډومین نوم د "میزبان" سرلیک کې اضافه کړئ. د HTTP غوښتنه (د مثال په توګه، * curl -H "میزبان: site_name" *).
زموږ په قضیه کې، د سینسیس ډیټابیس کې لټون هیڅ شی ندی ورکړی، نو موږ پرمخ ځو.
موږ به د خدمت له لارې د DNS لټون ترسره کړو.
د CloudFail افادیت په کارولو سره د DNS سرورونو لیست کې ذکر شوي پتې په لټون کولو سره ، موږ کاري سرچینې ومومئ. پایله به په څو ثانیو کې چمتو شي.
یوازې د خلاص ډیټا او ساده وسیلو په کارولو سره ، موږ د ویب سرور اصلي IP پته مشخص کړه. د برید کونکي لپاره پاتې د تخنیک مسله ده.
راځئ چې د کوربه چمتو کونکي غوره کولو ته راستون شو. د پیرودونکي لپاره د خدماتو ګټې ارزولو لپاره، موږ به د DDoS بریدونو په وړاندې د ساتنې احتمالي میتودونه په پام کې ونیسو.
څنګه د کوربه توب چمتو کونکی خپل محافظت رامینځته کوي
- د فلټر کولو تجهیزاتو سره د خپل محافظت سیسټم (شکل 2).
اړتیا لري:
۱.۱. د ترافیکو فلټر کولو تجهیزات او د سافټویر جوازونه؛
1.2. د دې ملاتړ او عملیاتو لپاره بشپړ وخت متخصصین؛
1.3. د انټرنیټ لاسرسي چینلونه چې د بریدونو ترلاسه کولو لپاره کافي وي؛
1.4. د "جنک" ترافیک ترلاسه کولو لپاره د پام وړ پری پیډ چینل بینډ ویت.
شکل 2. د کوربه چمتو کونکي خپل امنیت سیسټم
که موږ تشریح شوي سیسټم د سلګونو Gbps عصري DDoS بریدونو پروړاندې د محافظت وسیلې په توګه وګورو ، نو دا ډول سیسټم به ډیرې پیسې مصرف کړي. ایا د کوربه توب چمتو کونکي داسې محافظت لري؟ ایا هغه چمتو دی چې د "جنک" ترافیک لپاره پیسې ورکړي؟ په ښکاره ډول، دا ډول اقتصادي ماډل د چمتو کونکي لپاره غیر ګټور دی که چیرې تعرفې د اضافي تادیاتو لپاره چمتو نه کړي. - ریورس پراکسي (یوازې د ویب پاڼو او ځینې غوښتنلیکونو لپاره). د یو شمیر سره سره عرضه کوونکی د مستقیم DDoS بریدونو په وړاندې د خوندیتوب تضمین نه کوي (شکل 1 وګورئ). د کوربه توب چمتو کونکي ډیری وختونه د درملنې په توګه ورته حل وړاندیز کوي ، د امنیت چمتو کونکي ته مسؤلیت لیږدوي.
- د ځانګړي کلاوډ چمتو کونکي خدمتونه (د دې د فلټر کولو شبکې کارول) د OSI په ټولو کچو کې د DDoS بریدونو پروړاندې محافظت لپاره (شکل 3).
شکل 3. د ځانګړي چمتو کونکي په کارولو سره د DDoS بریدونو پروړاندې پراخه محافظت
د دواړو خواوو ژور ادغام او د لوړې کچې تخنیکي وړتیا په غاړه لري. د ټرافیک فلټر کولو خدماتو بهر سورس کول د کوربه چمتو کونکي ته اجازه ورکوي چې د پیرودونکي لپاره د اضافي خدماتو نرخ کم کړي.
مهم! هرڅومره چې د چمتو شوي خدماتو تخنیکي ځانګړتیاوې په تفصیل سره بیان شوي ، د ځنډیدو په صورت کې د دوی پلي کولو یا جبران غوښتنه کولو چانس ډیر دی.
د دریو اصلي میتودونو سربیره، ډیری ترکیبونه او ترکیبونه شتون لري. کله چې د کوربه توب غوره کول، د پیرودونکي لپاره دا مهمه ده چې په یاد ولرئ چې پریکړه به نه یوازې د تضمین شوي بلاک شوي بریدونو اندازې او د فلټر کولو دقت پورې اړه ولري، بلکې د غبرګون سرعت، او همدارنګه د معلوماتو مینځپانګې (د بند شوي بریدونو لیست، عمومي احصایې، او نور).
په یاد ولرئ چې په نړۍ کې یوازې یو څو کوربه چمتو کونکي کولی شي په خپله د منلو وړ محافظت چمتو کړي؛ په نورو قضیو کې همکاري او تخنیکي سواد مرسته کوي. په دې توګه، د DDoS بریدونو په وړاندې د محافظت تنظیم کولو بنسټیزو اصولو پوهیدل به د سایټ مالک ته اجازه ورکړي چې د بازار موندنې چلونو کې راښکته نشي او "په پوک کې سور" ونه اخلي.
سرچینه: www.habr.com