Get best of the week

تجاوز الوكيل العكسي - تقنية للحماية عن بُعد وتحسين الموقع دون تغيير سجلات DNS A



على مدار الشهر الماضي ، نما متوسط ​​الحمل على موارد الإنترنت بشكل كبير بسبب الانتقال الواسع النطاق إلى العمل والتدريب عن بُعد (انظر بالضبط كيف تقرأ مقالنا "الجائحة وحركة المرور - وجهة نظر من مشغل الاتصالات . " خدمات التدريب عند طلب توصيل الطعام في مثل هذه الظروف ، والضرر الاقتصادي المحتمل الناجم عن عدم توفر المورد ، بما في ذلك بسبب هجمات DDoS ، خاصة عالية ما هو الحل الذي تختاره للدفاع عن مشروعها

في المواد التي ستجدها:

  • قيود الحماية من خلال الوكيل العكسي الكلاسيكي مع تغيير سجلات DNS A ، والتي غالبًا ما يصمت عنها مقدمو الخدمة.
  • ما الحل الذي يجب عليك اختياره لتجنب المخاطر المرتبطة بهذه القيود؟
  • حالة حقيقية مع حماية مشروع كبير ، دون نقل وتغيير سجلات A.
  • توصيات عامة لتنظيم حماية موارد الإنترنت.

لذا ، أول شيء أولاً. لقد قررت حماية مشروعك المتنامي من هجمات DDoS. أساس أي حماية هو تحليل وتصفية حركة المرور الواردة. ولكن من أجل مسح حركة المرور ، يجب توصيلها أولاً إلى مركز التنظيف. في ما يلي ، بموجب "قرار الحماية" ، سنعني مزيجًا من التقنيات لتسليم وتنقية حركة المرور.

على الأرجح ، سيعتمد الحل الأول الذي يأتي إليك على تقنية الوكيل العكسي مع تغيير سجلات DNS A. لذلك ، سنأخذ أولاً بعين الاعتبار مبدأ التكنولوجيا وقدراتها (إذا كنت على دراية بالوكيل العكسي - لا تتردد في تخطي هذين القسمين) والقيود المرتبطة بتسليم حركة المرور (لا ينبغي تخطي ذلك). ثم سنوضح كيف يمكن التحايل على هذه القيود بمثال حالة حقيقية. في النهاية ، سنقدم بعض التوصيات العامة حول كيفية حماية مورد الإنترنت.

وكيل عكسي - كيف يعمل


هنا ننظر إلى الوكيل العكسي كوسيلة لإيصال حركة المرور. مخطط عملها معروف جيدًا للجميع ، ولكن من المستحيل ببساطة عدم ذكره هنا.



  1. تغيير سجلات DNS A - بدلاً من عنوان IP الخاص بخادم الويب ، يشار إلى عنوان IP الخاص بالخادم الوكيل. توزيع التغييرات حول العالم (انتشار DNS).
  2. يطلب نظام تشغيل الزائر عنوان IP المطابق لاسم المجال للموقع (تحليل DNS).
  3. يستجيب خادم DNS للطلب عن طريق الإبلاغ عن عنوان IP للخادم الوكيل.
  4. يفتح متصفح الزائر جلسة HTTP (s) ويرسل الطلبات إلى الخادم الوكيل ، الذي يعيد إنشاء اتصال بخادم الويب المستهدف ويمرر الطلبات إليه.

ميزات الوكيل العكسي


ما الفرص التي توفر حلولًا تعمل من خلال الوكيل العكسي مع تغيير سجل A؟

  • مراقبة الطلبات وحماية الموقع من الهجمات على مستوى التطبيق. تتيح لك التقنية معالجة كل طلب على مستوى التطبيق يصل إلى الخادم الهدف.
  • قم بتقليل الحمل على خادم الويب المستهدف وتسريع الموقع. على الخوادم الوكيلة ، يمكنك ضغط البيانات وتخزينها مؤقتًا - وهذا هو أساس عمل شبكة توصيل المحتوى (CDN).
  • موازنة تحميل مرنة بين عدة خوادم ويب مستهدفة. تتيح لك التقنية توزيع حمولة طلبات المعالجة بين أجهزة متعددة. هذا يحسن مرونة النظام والأداء.
  • سهل الاتصال. لتمكين الحماية ، ما عليك سوى تغيير سجلات DNS A وانتظر حتى تصبح التغييرات نافذة المفعول. النقل ، الأجهزة والبرامج الجديدة ليست مطلوبة.
  • إخفاء عنوان IP الحقيقي لخادم الويب الهدف. يستخدم الزائر عنوان IP لخادم الوكيل للاتصال به ، ويتلقى إجابات منه ، مما يضمن عدم الكشف عن هوية مورد الويب الهدف.

قيود الوكيل العكسي


تحتوي هذه التقنية على عدد من العثرات ، وهي ليست من المعتاد التحدث عنها. تشمل حدوده:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



بدأت تظهر عيوب حلول الحماية من هجمات DDoS التي تستند إلى "الوكيل العكسي" العكسي حيث يواجه مشروع متزايد عددًا متزايدًا من قيود التكنولوجيا. ما هي الحلول التقنية التي يمكنها تسوية أو تقليل مخاطر عدم إمكانية الوصول إلى الموقع بسبب العيوب المذكورة؟ - اقرأ أدناه.

تجاوز الوكيل العكسي


دعونا نلقي نظرة على المشكلة بمثال حقيقي من ممارستنا. في العام الماضي ، اتصل بنا عميل كبير بقائمة محددة من متطلبات خدمات الحماية. لا يمكننا الكشف عن اسم الشركة لأسباب واضحة ، ولكن احتياجات العميل - يرجى:

  • حماية المواقع من الهجمات على مستوى التطبيق.
  • لإزالة جزء من الحمل من خوادم الويب المستهدفة وتسريع تحميل المواقع - لدى العميل الكثير من المحتوى الثابت ، وهو مهتم بتخزين البيانات وضغطها على عقد CDN.
  • توفير الحماية ضد الهجمات المباشرة على عنوان / شبكة IP (الحماية ضد هجمات DDoS على مستويات OS3 L3-L4). 
  • يجب أن تتصل الخدمات دون تغيير عناوين IP الخارجية للموارد. العميل لديه AS وكتل العناوين الخاصة به.
  • يجب أن تتم إدارة خدمات معالجة حركة المرور والتحول إلى القنوات الاحتياطية في الوقت الفعلي - مستوى توافر الموارد أمر بالغ الأهمية للعميل.

تتيح لك الحلول المستندة إلى الوكيل العكسي "الكلاسيكي" مع تغيير سجلات DNS A إغلاق أول عنصرين من القائمة.

تتيح لك خدمات مثل الاستضافة الآمنة والخوادم الافتراضية والمخصصة حماية نفسك من الهجمات على مستويات OS3 L3-L7 ، ولكنها تتطلب الانتقال ويعني استخدام موفر أمان واحد. ماذا أفعل؟

حماية DDoS داخل الشبكة مع الخدمات المحمية


يتيح لك تثبيت معدات التصفية في شبكتك حماية الخدمات على مستويات L3-L7 OSI وإدارة قواعد التصفية بحرية. تتحمل رأس مال كبير (CaPex) ونفقات تشغيل (OpEx) باختيار هذا الحل. هذه مصروفات لـ:

  • معدات تصفية حركة المرور + تراخيص البرمجيات (CapEx) ؛
  • تجديد تراخيص البرمجيات (OpEx) ؛
  • متخصصون بدوام كامل لإعداد المعدات ومراقبة تشغيلها (OpEx) ؛ 
  • قنوات الوصول إلى الإنترنت كافية لاستقبال الهجمات (CapEx + OpEx) ؛
  • دفع حركة المرور "غير المرغوب فيها" الواردة (OpEx).

ونتيجة لذلك ، يصبح السعر الفعال لكل ميغابايت لحركة المرور غير المعالجة مرتفعًا بشكل غير معقول. على أي حال ، فإن القدرة على تصفية حركة المرور لهذا الحل ستكون أقل من تلك الخاصة بمزودي الخدمات المتخصصين. علاوة على ذلك ، من أجل زيادة سرعة الموقع ، يجب بطريقة أو بأخرى اللجوء إلى خدمات مزودي CDN. من مزايا الحل ، تجدر الإشارة إلى أن حركة المرور المشفرة لا تترك محيط الشبكة المحمية. سنناقش هذه المشكلة بمزيد من التفصيل لاحقًا.

حتى بالنسبة للشركات الكبيرة ، غالبًا ما يكون هذا الحل غير مجد اقتصاديًا ، ناهيك عن الشركات المتوسطة والصغيرة. كما أنها لا تناسب عملائنا.

التوكيل بدون تغيير سجلات A.


لتلبية احتياجات هؤلاء العملاء ، قمنا بتطوير تقنية لاعتراض حركة مرور الويب وتنفيذها كجزء من خدمة الحماية عن بعد دون تغيير سجلات A. يعتمد الحل على المبدأ: يجب حماية جميع الاتصالات بين AS العميل والشبكات العامة. يرسل لنا العميل إعلانات عن عناوين / شبكات IP الخاصة به عبر BGP ، ونعلن عنها على الإنترنت.



كل حركة المرور الموجهة إلى الموارد المحمية تمر عبر شبكتنا. يمكن للعميل ترك العديد من اتصالات النسخ الاحتياطي واستخدامها في حالة الظروف غير المتوقعة عن طريق إزالة الإعلانات من شبكة DDoS-GUARD. في الوضع العادي ، نوصي باستخدام اتصالاتنا فقط للوصول إلى الإنترنت ، حتى نضمن حماية خدمات العملاء.

يوضح الرسم البياني أدناه كيفية تنظيم معالجة حركة المرور في شبكتنا باستخدام مثال حركة مرور الويب.



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. تتم معالجة جميع حركة المرور المحددة بواسطة عناوين / نطاقات IP للعميل على مستوى L7. تقوم خوادم الوكيل بتصفية حركة المرور وتحسين المحتوى وتخزينها مؤقتًا.

يمكن إنشاء قواعد للشبكات والمجالات بشكل مستقل عن بعضها البعض. عند إنشاء قاعدة لمجال ، لا تحتاج إلى تحديد عنوان IP لخادم الويب الخاص به. يسمح هذا الأسلوب بعدم إجراء تغييرات على قواعد التصفية عند ترحيل المجالات بين خوادم الويب داخل الشبكة المحمية. بناء على طلب العميل ، يمكننا تغيير قواعد المعالجة بطريقة لاعتراض حركة المرور على أي منافذ أخرى.

استنتاج


دعنا الآن نتحقق مما إذا كان حل DDoS-GUARD المطور يلبي قائمة المتطلبات من قسم "تجاوز الوكيل العكسي".

  • يتلقى العميل حماية ضد الهجمات على مستويات L3-L7 OSI.
  • يتم ضغط المحتوى وتخزينه مؤقتًا على عقد CDN الخاصة بنا ، مما يقلل من الحمل على خوادم الويب المستهدفة.
  • تتم إدارة الحماية في الوقت الحقيقي. يدير العميل قواعد تصفية حركة المرور للشبكات الفرعية وعناوين IP والمجالات الفردية من خلال حساب شخصي أو API. تسري التغييرات خلال دقيقة واحدة. في حالة الطوارئ ، يمكن للعميل إعادة توجيه كل حركة المرور لتجاوز شبكة DDoS-GUARD ببساطة عن طريق إزالة إعلانات BGP.
  • ظلت عناوين IP المملوكة للشركة دون تغيير. لا يحتاج العميل إلى شراء معدات وبرامج جديدة وتوظيف موظفين إضافيين ودفع مقابل حركة المرور غير المعالجة.

بالإضافة إلى ذلك ، من الممكن حماية الخدمات والتطبيقات التي تعمل على المنافذ غير القياسية.

ملاحظة


توصيات عامة حول كيفية حماية مشروعك:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles