سرفصل های مهم

جلوگیری از حملات DDoS


در حملات DDoS یا منع سرویس توزیع یافته، مهاجم قصد دارد سرویس دهی شما به کاربران عادی را مختل کند. معمولاً مهاجمین از روش های مختلفی جهت حمله به زیرساخت ها استفاده می کنند؛ و البته تنها وبسایت های بزرگ و برندهای شناخته شده نیستند که در معرض این گونه اقدامات مخرب قرار دارند.

این حملات در لایه های 3 ، 4 و 7 رخ داده و باعث هدر رفت منابع زیرساختی، از دسترس خارج شدن سرور، کندی فرآیند پاسخ دهی و غیره می شوند. به چند مثال از حملات در لایه های OSI توجه کنید:

آشنایی با مدل OSI

OSI Layer Example of DDoS attacks
Layers 3 and 4

UDP flood attack

SYN floods

ACK floods

ICMP flood attack

SNMP flood attack

Protocol violation attacks

DNS amplification attack

DNS Garbage Flood

DNS Query flood

Layer 7

HTTP flood attack

WordPress pingback attack

HULK attack

LOIC attack

Slowloris attack

Mirai and Mirai-variant HTTP attacks

محافظت در برابر حملات لایه 3 و 4

در حالت پیش فرض، با توجه به قوانین از پیش تعریف شده در شبکه توزیع محتوای میزبان کلود، تمامی حملات DDoS در لایه شبکه (3 و 4) به طور خودکار دفع خواهند شد. این تنظیمات امنیتی در پنل میزبان کلود بخش محافظت از حملات DDoS، "استراتژی سپر" نام دارد.

برای استفاده از این ویژگی نیاز به اقدام خاصی نبوده و میزبان کلود بلافاصله پس از اتصال دامنه به CDN، از سایت شما در برابر حملات در این لایه ها محافظت خواهد کرد.

اما برای دفاع در برابر حملات پیشرفته تر و در لایه های بالاتر مدل OSI باید استراتژی امنیتی قوی تری اتخاذ کنید.

آشنایی با حملات DDoS در لایه های 3، 4 و 7

محافظت در برابر حملات لایه 7

برای محافظت در برابر حملات لایه 7 می توانید از سه استراتژی امنیتی پیشرفته در پنل میزبان کلود استفاده کنید. این سه استراتژی میزان سخت گیری امنیتی را با چالش های مختلف افزایش می دهند؛

یعنی در "استراتژی جنگنده" از چالش کوکی برای شناسایی هویت رباتی کاربر استفاده می شود؛ در "استراتژی ژنرال" از چالش JS برای شناسایی ربات هایی که رفتار انسانی را تقلید می کنند، استفاده شده و در نهایت در "استراتژی قلعه" از پیشرفته ترین چالش یعنی چالش کپچا (Captcha) جهت اعتبارسنجی کاربران کمک گرفته خواهد شد.

در پلان های پیشرفته و سازمانی، می توانید هر کدام از این چالش ها را به عنوان یک استراتژی امنیتی برای مقابله با حملات DDoS اتخاذ کنید. اما در پلان های پایین تر امکان فعالسازی چالش کپچا وجود ندارد.

زمان اعتبار چالش

زمان اعتبار چالش یعنی اعتبارسنجی انجام شده ی کاربر تا چه مدت معتبر شناخته شده و دسترسی وی مجاز محسوب شود. برای مثال اگر زمان اعتبار را روی یک هفته قرار دهید، کاربر تا یک هفته با چالش مجدد مواجه نخواهد شد.

فعال سازی قوانین سفارشی

در نظر داشته باشی که با فعال سازی هر کدام از پلن های اعلام شده بالا پلن فعال شده به صورت کامل برای آدرس وبسایت شما اعمال میگردد.

در صورتی که قصد داشته باشید که محافظت در مقابل حملات DDOS را صورتی که قصد داشته باشید که محافظت در مقابل حملات DDOS را برای مسیر خاص و همچنین ماژول و آی پی مشخصی اعمال فرمایید و یا قوانین انتخاب شده در پلن های بالا را برای مسیر خاصی غیر فعال نمایید می توانید از قوانین سفاشی در پایین صفحه استفاده فرمایید.

برای این منظور می بایست گزینه ایجاد قانون جدید را انتخاب فرمایید.

در پنجره باز شده مربوط به ایجاد قانون سفارشی میتوانید مسیر،madule ، آی پی،کشور و اولیت قانون خود را مشخص نمایید.

همچنین در پایان می بایست انتخاب کنید که قانون تنظیم شده جهت محافظت آن مسیر و یا عدم محافظت مسیر مشخص شده اعمال گردد.

بعد از ذخیره قانون ایجاد میگردد و شما همواره می توانید با استفاده از گزینه Deploy این قانون را فعال و یا غیر فعال فرمایید.