سرفصل های مهم
جلوگیری از حملات DDoS
در حملات DDoS یا منع سرویس توزیع یافته، مهاجم قصد دارد سرویس دهی شما به کاربران عادی را مختل کند. معمولاً مهاجمین از روش های مختلفی جهت حمله به زیرساخت ها استفاده می کنند؛ و البته تنها وبسایت های بزرگ و برندهای شناخته شده نیستند که در معرض این گونه اقدامات مخرب قرار دارند.
این حملات در لایه های 3 ، 4 و 7 رخ داده و باعث هدر رفت منابع زیرساختی، از دسترس خارج شدن سرور، کندی فرآیند پاسخ دهی و غیره می شوند. به چند مثال از حملات در لایه های OSI توجه کنید:
| OSI Layer | Example of DDoS attacks |
|---|---|
| Layers 3 and 4 |
UDP flood attack SYN floods ACK floods ICMP flood attack SNMP flood attack Protocol violation attacks DNS amplification attack DNS Garbage Flood DNS Query flood |
| Layer 7 |
HTTP flood attack WordPress pingback attack HULK attack LOIC attack Slowloris attack Mirai and Mirai-variant HTTP attacks |
محافظت در برابر حملات لایه 3 و 4
در حالت پیش فرض، با توجه به قوانین از پیش تعریف شده در شبکه توزیع محتوای میزبان کلود، تمامی حملات DDoS در لایه شبکه (3 و 4) به طور خودکار دفع خواهند شد. این تنظیمات امنیتی در پنل میزبان کلود بخش محافظت از حملات DDoS، "استراتژی سپر" نام دارد.
برای استفاده از این ویژگی نیاز به اقدام خاصی نبوده و میزبان کلود بلافاصله پس از اتصال دامنه به CDN، از سایت شما در برابر حملات در این لایه ها محافظت خواهد کرد.
اما برای دفاع در برابر حملات پیشرفته تر و در لایه های بالاتر مدل OSI باید استراتژی امنیتی قوی تری اتخاذ کنید.
آشنایی با حملات DDoS در لایه های 3، 4 و 7
محافظت در برابر حملات لایه 7
برای محافظت در برابر حملات لایه 7 می توانید از سه استراتژی امنیتی پیشرفته در پنل میزبان کلود استفاده کنید. این سه استراتژی میزان سخت گیری امنیتی را با چالش های مختلف افزایش می دهند؛
یعنی در "استراتژی جنگنده" از چالش کوکی برای شناسایی هویت رباتی کاربر استفاده می شود؛ در "استراتژی ژنرال" از چالش JS برای شناسایی ربات هایی که رفتار انسانی را تقلید می کنند، استفاده شده و در نهایت در "استراتژی قلعه" از پیشرفته ترین چالش یعنی چالش کپچا (Captcha) جهت اعتبارسنجی کاربران کمک گرفته خواهد شد.
- چالش کوکی: در این چالش، یک کوکی از سمت میزبان کلود برای مرورگر کاربر ارسال شده و از مرورگر خواسته می شود تا درخواست را مجدداً همراه با کوکی دریافتی، ارسال کند (Response status code:307). سپس پس از بررسی درخواست دوم، اگر کوکی به درستی برگردانده شده باشد، دسترسی به سایت مجاز شناخته خواهد شد. این چالش ربات های نه چندان پیشرفته را به سادگی شناسایی کرده و دسترسی آنها را مسدود می کند.
- چالش JS: همانند چالش کوکی، در این چالش نیز پس از دریافت اولین درخواست، میزبان کلود یک فایل جاوا اسکریپت برای مرورگر ارسال می کند و از مرورگر می خواهد تا چالش AES Encryption را تکمیل کند. در صورت بازگرداندن صحیح این چالش، میزبان کلود کاربر را مجاز شناخته و دسترسی به سایت را مهیا می کند. این چالش توسط مرورگر انجام شده و نیازی به اقدام توسط کاربر نخواهد بود.
- چالش کپچا: به کمک این چالش پیشرفته، به کاربران یک چالش تصویری نمایش داده شده و با توجه به تغییرات رندوم و مکرر تصاویر، و نیاز به هوش انسانی برای حل چالش، دسترسی ربات ها به سایت شما مسدود خواهد شد. البته برای استفاده از این چالش باری سمت سرور شما ارسال نخواهد شد. در این چالش از حروف، اعداد و کاراکترهای متغیر برای کشف و تعامل توسط کاربر استفاده می شود.
در پلان های پیشرفته و سازمانی، می توانید هر کدام از این چالش ها را به عنوان یک استراتژی امنیتی برای مقابله با حملات DDoS اتخاذ کنید. اما در پلان های پایین تر امکان فعالسازی چالش کپچا وجود ندارد.
زمان اعتبار چالش
زمان اعتبار چالش یعنی اعتبارسنجی انجام شده ی کاربر تا چه مدت معتبر شناخته شده و دسترسی وی مجاز محسوب شود. برای مثال اگر زمان اعتبار را روی یک هفته قرار دهید، کاربر تا یک هفته با چالش مجدد مواجه نخواهد شد.
فعالسازی ماژول محافظت از DDoS برای صفحات
در صورتی که مایلید برای یک صفحه یا مسیر خاص از قوانین و استراتژی های امنیتی محافظت DDoS استفاده کنید، کافیست پس از کلیک بر روی منوی CDN ابری، به قسمت "قوانین صفحات" مراجعه کرده و در صفحه باز شده، آدرس صفحه مورد نظر را وارد کنید.
سپس مقابل آدرس صفحه، روی آیکن افزودن قانون کلیک کرده و در منوی باز شده، گزینه Security Level را انتخاب کنید.
در نهایت کافیست استراتژی مورد نظر را اتخاذ کنید.
راهنمای استفاده از محصولات
شبکه توزیع محتوا CDN
سرور ابری (Cloud Server)
