نحوه جلوگيري از حمله DDOS
امروز ميخواهيم چند گام و روش حل مسئلهاي را كه در مقابل يك حمله DDoS در يك سايت كوچك تجارت الكترونيك وردپرس داشتيم به شما نشان دهيم. حملههاي DDoS ممكن است ناگهان ظاهر شده و سايتهاي كوچكتر معمولا شكنندهتر هستند، چرا كه هنگام رخ دادن چنين حملهاي، به طور كامل آماده نيستند. اجازه دهيد يك سوال مطرح كنيم. اگر سايت شما فردا مورد حمله قرار بگيرد چه خواهيد كرد؟ اگر هيچ ايدهاي نداريد، احتمالا بايد اين مقاله را نشانگذاري كرده و بخوانيد.
حمله DDoS چيست؟
DDoS عبارت مخفف حمله منع سرور توزيع شده است. هدف اوليه حمله DDoS اين است كه سرور وب شما را بيش از حد شلوغ كرده و آن را فلج كرده يا از كار بيندازند. يكي از موارد نااميدكننده اين حملهها اين است كه به طور عمومي حملهكننده چيزي به دست نياورده و چيزي هم هك نميشود. مشكل بزرگ DDoS شلوغ شدن بيش از حد آن براي بارگذاري است. به احتمال بسيار زياد خواهيد ديد كه پهناي باند شما به ميزان قابل توجهي بالا رفته و اين ميتواند براي شما صدها يا حتي هزاران دلار هزينه در پي داشته باشد. اگر در يك ميزبان (هاست) ارزانتر يا اشتراكي هستيد، ممكن است به راحتي منجر به تعليق حساب شما شود.
در ۲۱ اكتبر ۲۰۱۶، بزرگترين حمله DDoS (مرتبط با DNS) تاريخ رخ داد و سايتهاي بزرگي مانند PayPal، Spotify، Twitter، Reddit و eBay را پايين كشيد. حتي بعضي آن را روز نابودي DNS در اينترنت خواندند. با رشد اينترنت، افزايش حملههاي DDoS با يك نرخ هشدار دهنده موضوع تعجبآوري نيست. در واقع با توجه به دادههاي تهيه شده از easyDNS، حملههاي DDos طي زمان بدتر ميشوند. براي بعضي سايتها تنها زمان مطرح است تا با چنين حملهاي روبهرو شوند.
توقف يك حمله DDoS در يك سايت كوچك دانلودهاي ديجيتال آسان
در اين مطالعه موردي، يك سايت تجارت الكترونيك كوچك داريم كه EDD اجرا ميكرد. اين سايت به طور معمول در پهناي باند، روزانه تنها ۳۰ تا ۴۰ MB توليد ميكرد و چند صد بازديد كننده داشت. در ژوئن گذشته، ناگهان شروع به استفاده بسيار از پهناي باند كرده و گوگل Analytics نيز هيچ ترافيك مضاعفي را نشان نميداد. سايت ناگهان به انتقال روزانه ۱۵ الي ۱۹ GB داده در روز رسيد. افزايشي ۴۶۵۰ درصدي! اين تنها يك افزايش كوچك در بات ترافيك نيست.
پس از ديدن اين افزايش، لاگهاي سرور بايد بررسي ميشدند تا موضوع شناسايي شود. اين دسته مسائل به راحتي ممكن است از كنترل خارج شوند. اطلاعات ۷ روز گذشته نشان دادند كه صفحه، حساب يا سايت ۵۱۱۰۰۰ بار خوانده شده بودند و در مجموع ۶۶ GB ترافيك ايجاد كرده بودند. اين آمار براي سايتي است كه در ماه به طور معمول كمي بيش از ۱ GB داده ايجاد ميكند. پس فورا متوجه شديم كه اتفاقي رخ داده است.
تحليل IP هاي ۱۰ مشتري برتر در ۷ روز آخر فعاليتهاي مشكوكي را نشان ميداد. اكثر آنها بالاي ۱۰۰۰۰ درخواست داده بودند و تعداد اين مشتريان كم بود. به ياد داشته باشيد اين سايت كوچكي است كه در ماه به طور مجموع بايد تنها چند هزار درخواست داشته باشد.
براي كسب داده هميشه ميتوانيد به گوگل اعتماد كنيد. با ورود تعدادي از اين IP ها در جستوجوي گوگل، متوجه شديم كه اكثر آنها تنها آدرسهاي پروكسي هستند. يعني كسي به احتمال بالا ميخواسته ترافيك خود را پنهان كند.
تغيير آدرسها
اولين كاري كه كرديم تغيير آدرس صفحه يا حساب به چيز متفاوتي بود. اين هميشه معيار اول خوبي است. اما اين حمله را تنها براي مدت زمان كوتاهي متوقف كرد تا آنها آدرس جديد را پيدا كنند. به ياد داشته باشيد كه چون اين يك سايت تجارت الكترونيك است، بايد صفحه حساب عمومي داشته باشد. به طور مشخص در يك وبلاگ ساده، تغيير آدرس لاگين وردپرس و پنهان كردن كامل آن ميتواند بسياري از اين حملهها را متوقف كند، اما در اين مورد كارساز نخواهد بود. ما به اين كار امنيت وردپرس به وسيله ابهام ميگوييم.
هك يا حمله جستوجوي فراگير؟
موضوع ديگري كه ميتوانيد در اين موقعيتها تاييد كنيد اين است كه اين يك تلاش براي هك نيست و در اين مورد نيز نبود. لاگ وقايعنگاري ايمني وردپرس يك افزونه عالي براي نظارت و بررسي اين است كه آيا تلاش ناموفقي براي ورود به يك صفحه وجود داشته يا خير. همچنين ميتوانيد لاگهاي خود را چك كنيد تا ببينيد آيا فعاليتهاي پسين در تعداد بالا رخ داده است يا خير. به نظر ميرسيد اين تنها يك حمله DDoS ساده است كه در آن به سادگي انبوهي از ترافيك به يك بخش از سايت فرستاده شده و تلاش شده تا بيش از حد شلوغ شود.
بلاك IP
اگر در حال كار روي سرور خود هستيد، گام بعدي احتمالا اين خواهد بود كه يك افزونه بلاك IP يا firewall مانند WordFence را نصب كنيد. اما مانند ديگر هاستهاي مديريت شده وردپرس، به دلايل مختلف اينجا اجازه فعاليت چنين افزونههايي را نميدهيم. اول از همه اين كه ممكن است تاثير بسيار زيادي بر عملكرد شما داشته باشند. به خصوص بر قابليتهاي اسكن. دوم اين كه ما با پلتفرم ابر گوگل، از متعادلسازهاي بار استفاده ميكنيم كه سبب ميشود بسياري از قابليتهاي بلاك كننده IP افزونهها، آنطور كه قرار بوده كار كند، جواب ندهد.
از اين رو ما ابزار خودمان را ساختيم. ميتوانيد به راحتي با وارد كردن دستي آدرسهاي IP با استفاده از IP Deny tool در داشبورد MyKinsta ، آدرسها را بلاك كنيد. همچنين ميتوانيد هميشه با تيم پشتيباني ما تماس برقرار كنيد چرا كه ما هميشه از بلاك جغرافيايي حمايت ميكنيم.
اما بسته به مدت زمان و مقياس حمله، بلاك كردن IP ها ميتواند يك فرآيند تمام ناشدني باشد كه در غالب موارد به سرعت لازم مسئله را حل نميكند. بسياري از حملات DDoS زماني كه از يك ناحيه بلاك ميشوند، از يك ناحيه ديگر سر در ميآورند يا آدرسهاي پروكسي يا IP را تغيير ميدهند. پس در اين مثال بهره بردن از راهحل DDoS كه بتواند فرآيند را با قوانين از پيش ساخته و كامپايل شده خودكار كند از دادههايي به ارزش چند سال منطقي خواهد بود.
انتقال سايت به كلاودفلر راهگشا نبود
در بسياري مواقع كلاودفلر در توقف بعضي ترافيك باتهاي ساده خوب عمل ميكند اما وقتي برنامه مجاني در كار باشد، محافظ DDoS آنها بهترين نيست. در واقع ما سايت را به كلاودفلر منتقل كرديم و ترافيكهاي مشكوك بيشتري اضافه شدند. هر چند فكر ميكنيم اين تنها به خاطر افزايش تلاشهاي آنها در اثر حمله بوده است. همانطور كه ميبينيد درخواستها به حدود ۵۰ هزار در ساعت نزديك ميشد. بخش CDN آنها عالي كار ميكند اما اگر نيازهاي بيشتري داريد، احتمالا بايد هزينه بپردازيد.
سپس «محدود كردن نرخ» را در سايت اجرا كرديم. محدود كردن نرخ به شما امكان اين را ميدهد كه ترافيك مبتني بر قوانين را مطابق يك آدرس ايجاد كرده و سپس فعاليتها را مطابق با آن محدود يا لغو كنيد. اين قابليت را ميتوانيد در برنامه مجاني فعال كنيد و به ازاي هر ۱۰ هزار درخواست بايد ۰۵/۰ دلار بپردازيد. اما در نرخي كه ما درخواستها را ميديديم، هر ماه ۳۶ ميليون درخواست وجود داشت كه خود ۱۸۰ دلار براي هر ماه هزينه در پي داشت. پس مشخصا اين راهحلي نبود كه مشكل را درست كند. و البته كه تمام راههاي قوانين الگويي را امتحان كرديم.
توجه: هزينه محدود كردن نرخ بر اساس تعداد درخواستهاي خوب (نه بلاك شده) تعيين ميشود. درخواستهاي خوبي كه با قوانين تعريف شده شما در طول تمام وبسايتهايتان تطابق دارند.اما در اين مورد جواب نميداد.
قدم بعدي كه از قبل ميدانستيم پيش روي خود داريم، نگاه به يك برنامه فايروال حقيقي وب بود. بسياري از كابران اين را نميدانند، اما برنامه رايگان كلاودفلر شامل اين مورد نميشود و اين موضوعي است كه اين روزها براي متوقف كردن حملات DDoS لازم است. پس گزينه بعدي بهروز رساني برنامه كلاودفلر به نسخه حرفهاي با ۲۰ دلار در ماه بود. اين جايي است كه بايد كمي زمان گذاشته و راهحلهاي ثالث را نيز مقايسه كنيم.
مقايسه كلاودفلر با سوكوري
از ديد ما، در حال حاضر بهترين راهحلها براي برنامه فايروال وبي كه اجراي آنها در هر نوع سايتي آسان است، كلاودفلر و سوكوري هستند. ما به هيچ يك از اين دو شركت وابستگي نداريم، اما اگر نگاهي به اين دو بيندازيد خواهيد ديد كه در سوكوري به ازاي هزينه خود امكانات بهتري دريافت ميكنيد. بياييد به برنامه اين دو كه هر يك ماهيانه ۲۰ دلار هزينه دارند نگاهي بيندازيم.
كلاودفلر
با برنامه حرفهاي كلاودفلر تنها ميتوانيد محافظ DDoS لايههاي ۳ و ۴ را داشته باشيد (در خصوص لايههاي ۳ و ۴ حملات DDoS اينجا بيشتر بخوانيد). اين كمك ميكند تا حملاتTCP SYN، UDP و ICMP را در سرور لبه متوقف كنيد تا به سرور اصلي شما نرسند. براي استفاده از محافط لايه ۷ بايد به برنامه ۲۰۰ دلار در ماه بهروز رساني كنيد. به ياد داشته باشيد كه اين يك سايت بسيار كوچك تجارت الكترونيك است پس ۲۰۰ دلار در ماه بسيار هزينهبر خواهد بود و فراتر از هزينههاي هاست سايت است.
سوكوري
با برنامه ۲۰ دلار در ماه سوكوري، در كنار محافط DDoS لايههاي ۳ و ۴، محافظ لايه ۷ را نيز خواهيد داشت. اين به شما كمك ميكند كه تغييرات ناگهاني در ترافيك را خودكار شناسايي كرده و شما را از سيلهاي POST و حملههاي DNS محور محافظت ميكند و اين حملات هيچ وقت به سرور اصلي شما نميرسند. پس از همان ابتدا، كاهش حملات DDoS بهتري را با سوكوري خواهيد ديد و در اين مثال، ما براي حملات سيلي HTTP به لايه ۷ نياز داشتيم.
حمله سيلي HTTP يك نوع حمله لايه ۷ است كه از درخواستهاي معتبر GET يا POST استفاه ميكند تا مانند بازيابيهاي معمول داده در آدرس طي بخشهاي SSL (عكس، اطلاعات و …)، اطلاعات به دست بياورد. سيل GET/POST يك حمله حجمي است كه از بستههاي ويروسي، تكنيكهاي جاسوسي يا انعكاسي استفاده نميكند.
سوكوري همچنين در برنامه ۷۰ دلار در ماه خود تعادلساز بار را نيز ارائه ميدهد در حالي كه كلاودفلر بخشهاي پرداختي كمي دارد كه مربوط به جنبههاي مختلف اين ويژگي باشد. بخشهايي مانند قيمتگذاري استفاده محور كه در آن به تعادلسازي بارگذاري بر حسب موقعيت جغرافيايي نياز داريد.
هر دوي آنها قابليتهاي مشابهي دارند مانند اين ويژگي كه ميتوانند به صفحات خاصي يا بلاك كردن IP ها و … چالشي را اضافه كنند. اما تا جايي كه به محافظت DDoS مربوط ميشود، سوكوري امكانات بيشتري ارائه ميدهد. ما همچنين رابط كاربري ليستسياه سوكوري و نحوه تنظيمات بخشهاي خاصي را در مقايسه با كلاودفلر واقعا ميپسنديم.
و به ياد داشته باشيد، هيچ شركتي نميتواند محافظت DDoS 100 درصدي را براي شما تضمين كند. تنها كاري كه آنها ميتوانند انجام دهند اين است كه به شما كمك كنند به طور خودكار آنها را متوقف كنيد.
انتقال سايت به سوكوري
انتقال سايت به سوكوري بسيار ساده است. به مانند كلاودفلر، به طور فني چيزي وجود ندارد كه بخواهيد نصب كنيد، چرا كه مانند يك سرويس پروكسي كامل عمل ميكند. اين يعني شما DNS هاي خود را به سمت آنها هدايت ميكنيد و سپس آنها به هاست شما هدايت ميشوند و اساسا برنامه فايروال وب (WAF) در اين ميان قرار ميگيرد.
به عقيده ما داشبورد آنها به جذابيت يا مدرني كلاودفلر نيست، اما زماني كه پاي WAF در ميان باشد، تنها چيزي كه بايد اهميت داشته باشد خوب كار كردن آن است. همانطور كه در پايين مشاهده ميكنيد، به طور كلي IP ميزبان فعلي شما را شناسايي كرده و آنها براي شما يك فايروال تهيه ميكنند. اين چيزي است كه شما DNS خود را به سمتش هدايت ميكنيد (يك ركورد اسمي + ركورد AAAA).
شما ميتوانيد در چند دقيقه در سوكوري كار را شروع كنيد كه در خصوص حمله DDoS فعلي اتفاق خوبي است. تنها زمان انتظار براي اشاعه DNS است. آنها يك CDN انيكست HTTP/2 را نيز لحاظ ميكنند. پس اين چيزي بيشتر از يك فايروال است. همچنين ميتواند به افزايش سرعت سايت وردپرس شما كمك كند. اما شما ميتوانيد در سوكوري به طور اختياري از CDN خود مانند KeyCDN به راحتي استفاده كنيد.
آنها يك گواهي رايگان SSL را با Let’s Encrypt لحاظ ميكنند اما ميتوانيد گواهي خود را نيز آپلود كنيد. نكته منفي اين است كه Let’s Encrypt خودكار نبوده و شما بايد يك تيكت ايجاد كنيد. اما فرآيند رايج گواهي SSL آنها سريع است. يك راهنمايي ديگر براي عملكرد اين است كه احتمالا بايد گزينه كشينگ سايت را فعال كنيد. اين باعث ميشود به جاي استفاده از حافظه كش سوكوري، كش سرور اصلي شما حفظ شود. به احتمال بسيار زياد تنظيمات كش را در حال حاضر همانطور كه ميخواهيد در در هاست وردپرس خود داريد.
- شنبه ۲۷ بهمن ۹۷ ۱۰:۲۹
- ۱۷ بازديد
- ۰ نظر