cdn ابر دراک چطور حملات DDOS را دفع می کند؟

CDN ابر دراک

حمله DDoS یکی از انواع رایج حملات سایبری است که در آن هکرها به وسیله بات‌نت‌ها حجم عظیمی از ترافیک را به سمت سرور ارسال می‌کنند. این نوع حملات اغلب با هدف از کار انداختن سرور و ناتوانی آن در ارائه خدمات به کاربران مجاز انجام می‌شود. در حمله DDoS منابع یک سرور از جمله پردازنده، پهنای باند، حافظه و … مورد هدف قرار می‌گیرد؛ در واقع در این نوع حملات هکرها از ظرفیت محدود سرورها سوءاستفاده می‌کنند. با درگیر کردن ظرفیت محدود سرور برای پاسخگویی به درخواست‌های بات‌نت‌ها، سرور دیگر توانایی پاسخگویی به کاربران مجاز را نخواهد داشت و در برخی موارد وبسایت به صورت کامل از دسترس خارج خواهد شد. با توجه به اینکه این نوع حملات می‌توانند از هر نقطه‌ای در جهان انجام شوند، تشخیص و دفع آنها نیز دشوار خواهد بود. در این مقاله از اَبر دِراک سعی داریم به انواع حملات DDoS و راهکارهای سرویس CDN اَبر دِراک برای مقابله با آنها بپردازیم. 

آنچه در این مقاله می‌خوانید:

حفاظت آنتی دیداس چیست؟

انواع حملات DDoS

حفاظت آنتی دیداس چیست؟

حفاظت آنتی دیداس یکی از انواع اقدامات امنیتی است که به طور اختصاصی برای تشخیص و خنثی کردن حملات DDoS طراحی شده است. در این نوع از حفاظت امنیتی با کمک سخت‌افزارها و نرم‌افزارهای تخصصی، ترافیک مخرب ناشی از حملات DDoS قبل از رسیدن به سرور شناسایی و مسدود می‌شود. در حالت کلی پیشگیری از حملات DDoS نسبت به اقدامات امنیتی پس از حمله هزینه کمتری را بر صاحبان یک کسب و کار اعمال می‌کند. حفاظت Anti-DDoS با تمرکز بر ترافیک ورودی وب‌سایت و مانیتور کردن آنها می‌تواند ترافیک مربوط به حملات DDoS را از ترافیک عادی وب‌سایت تشخیص دهد.

انواع حملات DDoS

حملات DDoS را می‌توان در 3 نوع اصلی طبقه‌بندی کرد که برای حفاظت در برابر هر کدام از آنها استراتژی‌های منحصربه‌فردی وجود دارد.

حملات DDoS مبتنی بر حجم (Volume-based DDoS attacks)

در این نوع حملات هکرها با افزایش ترافیک شبکه به دنبال از کار انداختن وب‌سایت یا شبکه مورد نظر هستند. در حملات مبتنی بر حجم تعداد زیادی درخواست به سمت شبکه ارسال می‌شود که به طور معمول این درخواست‌ها با مصرف پهنای باند بیش از حد و حجم بالای داده ارسال می شوند.

برای آشنایی بیشتر با این نوع حملات به مقاله آشنایی با انواع حملات Flood از اَبر دِراک مراجعه کنید.

به طور کلی، حملات DDoS مبتنی بر حجم برای کاهش کارایی و خدمات سرورها و شبکه‌ها مورد استفاده قرار می‌گیرند. برای دفع حملات DDoS مبتنی بر حجم به راهکارهایی مانند استفاده از سرویس CDN (Content Delivery Network)، استفاده از فناوری‌های امنیتی مانند سیستم حفاظت از حملات  DDoS (DDoS Protection Systems) و … نیاز است.

راهکار CDN اَبر دِراک برای مقابله با حملات DDoS مبتنی بر حجم

سی دی ان ایرانی اَبر دِراک یکی از راهکارهایی است که برای مقابله با حملات DDoS مبتنی بر حجم به کار می‌رود. به طور کلی سرویس‌های CDN ترافیک وب‌سایت را به نزدیک‌ترین سرور به کاربر ارجاع می‌دهند. این کار باعث کاهش حجم ترافیک در شبکه می‌شود. با تقسیم ترافیک بر روی تعداد زیادی سرور، بار کاری بر روی سرورها تقسیم شده و مصرف پهنای باند کنترل می‌شود. در cdn ایرانی اَبر دِراک امکاناتی مانند تشخیص الگوهای ترافیک و تشخیص حملات با استفاده از داده‌کاوی نیز وجود دارد. 

محدودسازی نرخ (rate limit) یکی از راهکارهای امنیتی تعبیه شده در سرویس CDN اَبر دِراک است که می‌تواند از سرور یا شبکه در برابر حملات حجمی DDoS محافظت کند. در این روش، ترافیک ورودی به شبکه با نرخ مشخصی محدود می‌شود و هر درخواست تنها پس از تایید شدن توسط این محدودیت‌ها، به سمت سرور اصلی ارسال می‌شود. کاربر می‌تواند نرخ این محدودیت‌ها را در پنل کاربری خود تنظیم کند.

برای اجرای این روش، سرویس CDN با استفاده از روش‌های مختلفی مانند فیلترینگ IP و URI، قابلیت تنظیم نرخ و محدودیت میزان درخواست‌هایی که یک مشتری به سرور اصلی می‌فرستد را فراهم می‌کند. به عنوان مثال، سرویس CDN اَبر دِراک می‌تواند تعداد درخواست‌هایی که از یک آی‌پی خاص به سرور اصلی فرستاده می‌شود را محدود کند. در راهکار امنیتی محدودسازی نرخ می‌توان حداکثر تعداد درخواست‌هایی را که یک کاربر در یک بازه زمانی مشخص می‌تواند ارسال کند را نیز مشخص نمود. در نتیجه، اجرای روش محدودسازی نرخ در سرویس CDN باعث کاهش حملات DDoS مبتنی بر حجم و کاهش بار سرور می‌شود و به بهبود کارایی و امنیت شبکه منجر می‌گردد.

حملات DDoS پروتکلی (Protocol-based DDoS Attacks)

در این نوع از حمله DDoS هکرها از ضعف‌های پروتکل شبکه استفاده کرده و حملات خود را با هدف اشغال پهنای باند شبکه و کند کردن عملکرد سرور انجام می‌دهند. در حملات پروتکلی مهاجم با استفاده از ضعف‌های موجود در پروتکل‌های شبکه، تلاش می‌کند تا با ارسال تعداد زیادی درخواست به سرور، پهنای باند شبکه را به طور کامل اشغال کند. حملات DDoS پروتکلی انواع مختلفی دارند که  HTTP Flood  یکی از رایج‌ترین آنهاست. در حملات HTTP Flood مهاجم با ارسال تعداد بالایی درخواست HTTP به سمت سرور، سعی در اشغال پهنای باند شبکه و کند کردن سرور دارد. فرد مهاجم در این نوع حمله، از تعداد زیادی دستگاه مجازی یا بات‌نت برای ارسال همزمان درخواست‌های‌ HTTP استفاده می‌کند تا بتواند پهنای باند شبکه را اشغال ‌کند.

راهکار CDN اَبر دِراک برای مقابله با حملات DDoS پروتکلی 

برای مقابله با حملات HTTP Flood در سرویس CDN اَبر دِراک، راهکارهای امنیتی مختلفی وجود دارد. یکی از این راهکارها استفاده از سیستم‌های تشخیص حملات است. این سیستم‌ها با بررسی پارامترهای مختلفی مانند تعداد درخواست‌ها، زمان و ترافیک مصرفی درخواست‌ها و … حملات را شناسایی و مسدود می‌کنند. راهکار دیگر استفاده از فناوری‌ Rate Limiting است. همانطور که در قسمت قبل توضیح دادیم در این روش، تعداد درخواست‌هایی که یک کاربر به سرور می‌فرستد محدود می‌شود. در نتیجه، فرد مهاجم نمی‌تواند با فرستادن تعداد زیادی درخواست HTTP، پهنای باند شبکه را به طور کامل اشغال کند. همچنین، سرویس CDN اَبر دِراک قابلیت تشخیص ترافیک نامعمول و حملات را داراست و با شناسایی این حملات، بلافاصله اقدام به مسدود کردن درخواست‌های مشکوک می‌کند.

یکی دیگر از راهکارهای CDN اَبر دِراک برای مقابله با حملات DDoS پروتکلی استفاده از مسیریابی Anycast است.  با استفاده از الگوریتم Anycast ترافیک شبکه به صورت هوشمند به بهترین مسیر هدایت می‌شود. در این نوع مسیریابی برای پیدا کردن بهترین مسیر، ظرفیت و سلامت سرور، فاصله بین گره سرور و بازدیدکننده وب و … محاسبه می‌شود. با مسیریابی Anycast  در صورت بروز حمله و ایجاد مشکل برای یک گره، ترافیک ورودی به گره‌های دیگر هدایت می‌شود.

به طور کلی برای مقابله با حملات HTTP Flood با استفاده از سرویس CDN، باید از ترکیبی از راهکارهای مختلف استفاده کرد تا بتوان به طور موثری از شبکه در برابر این حملات محافظت کرد.

حملات DDoS لایه برنامه (Application layer DDoS attack)

حملات DDoS لایه برنامه به صورت اختصاصی برای ایجاد اختلال در عملکرد وب‌سایت‌ها و برنامه‌های وب انجام می‌شوند. در این نوع حمله مهاجمان سعی می‌کنند با تولید ترافیک وب بالا در صفحات وب هدف، آنها را از دسترس خارج کنند. با توجه به اینکه حملات DDoS لایه برنامه، به شکل خاصی برای برنامه‌های وب ساخته شده‌اند، تاثیر این نوع حملات بر روی وب‌سایت‌ها بسیار مخرب است. از جمله روش‌هایی که مهاجمان برای ایجاد حملات DDoS لایه برنامه استفاده می‌کنند می‌توان به استفاده از فرم‌های غیرمجاز و نرم‌افزارهای نفوذ به برنامه‌های وب اشاره کرد. مهاجمان همچنین با استفاده از نرم‌افزارهای خاص، تعداد زیادی درخواست را به یک سرور وب ارسال می‌کنند تا بارگذاری صفحه وب با مشکل مواجه شود

راهکار CDN اَبر دِراک برای مقابله با حملات DDoS لایه برنامه

به منظور محافظت از وب‌سایت‌ها و برنامه‌های وب در برابر حملات DDoS لایه برنامه، شرکت‌های امنیتی مختلف راهکارهایی از جمله استفاده از CDN، استفاده از فایروال‌های وب و … را ارائه داده‌اند. استفاده از شبکه توزیع محتوا (CDN) می‌تواند یکی از راه‌های مؤثر برای مقابله با حملات DDoS لایه برنامه باشد. استفاده از CDN اَبر دِراک در برابر حملات DDoS به این دلیل موثر است که با توزیع بار کاری وب‌سایت بر روی سرورهای متعدد و قرار دادن آنها در مناطق جغرافیایی مختلف، حملات DDoS محدودتر شده و از آسیب به سرور اصلی جلوگیری می‌شود. همچنین، CDN‌ اَبر دِراک با استفاده از تکنولوژی‌های متعددی از جمله شناسایی حملات DDoS و توزیع بار به صورت هوشمند، می‌تواند به صورت خودکار و به سرعت به حملات DDoS  پاسخ دهد و از وب‌سایت‌ها و برنامه‌های وب شما حفاظت کند.

سوالات متداول

CDN چیست و چگونه به حفاظت در برابر DDoS کمک می کند؟

CDN یا شبکه توزیع محتوا یک شبکه از سرورهای مختلف است که به منظور بهبود سرعت و کارایی در دسترسی به محتوای وب ایجاد شده است. CDN ها با ایجاد نسخه‌های کش شده از محتوا در مراکز داده در سراسر جهان، به کاربران امکان می‌دهند تا بهترین نسخه را از منبعی که در نزدیکیشان قرار دارد دریافت کنند. 

آیا CDN ها می‌توانند از حملات DDoS جلوگیری کنند؟

CDNها با داشتن مراکز داده در سراسر جهان می‌توانند ترافیک ورودی به یک سرور یا شبکه را بین سرورهای مختلف تقسیم کنند که این امر باعث کاهش اثرات حملات DDoS می‌شود. از طرف دیگر با استفاده از ابزارهای مانیتورینگی که برخی از ارائه‌دهندگان CDN به کاربران ارائه می‌دهند می‌توان ترافیک ورودی وب‌سایت را به صورت کامل بررسی کرد، بر روی نرخ ورود به شبکه محدودیت‌هایی را اعمال کرد، IPهای مشکوک را مسدود نمود و …

آیا همه CDNها برای مقابله با حملات DDoS مناسب هستند؟

خیر، همه CDNها برای مقابله با حملات DDoS مناسب نیستند. برای مثال، ممکن است برخی از CDNها از یک شبکه توزیع محتوا با ظرفیت و تعداد مراکز داده محدود استفاده کنند که نتوانند در زمان حمله DDoS درخواست‌های ارسالی را مدیریت کنند. همچنین، برخی از CDNها تنها ابزارهای اولیه‌ای برای مقابله با حملات DDoS فراهم می‌کنند و در صورتی که حملات DDoS پیچیده‌تری بر روی شبکه اعمال شود،  قادر به مقاومت نخواهند بود. بنابراین، مهم است که قبل از انتخاب یک ارائه‌دهنده CDN برای وب‌سایت خود، اطمینان حاصل کنید که CDN انتخابی دارای ابزارهای کافی و مورد نیاز برای مقابله با حملات DDoS است.


منابع: 

https://www.imperva.com/learn/ddos/anti-ddos-protection/

https://www.alibabacloud.com/tech-news/ddos/gi6tclkgbk-does-cdn-have-anti-ddos-defense-capabilities

مقالات مرتبط

مدیریت لاگ

در این مقاله با مفهوم Log Management یا مدیریت لاگ آشنا