حماية من هجمات DDoS¶

هجوم DDoS (الحرمان من الخدمة الموزع) هو نوع من الهجمات الإلكترونية التي يسعى فيها المهاجم إلى جعل موقع ويب أو خدمة عبر الإنترنت غير متاحة عن طريق إغراقها بالمرور من مصادر متعددة. يصف هذا الوثيقة التوصيات للحماية من هجمات DDoS والطرق لحماية مواردك مع Wallarm.

غالبًا ما تُشن هجمات DDoS من شبكة من أنظمة الحاسوب المخترقة، غالبًا ما تُعرف بأسم botnet. يستخدم المهاجمون هذه الأنظمة لإرسال حجم كبير من المرور إلى الهدف، مما يؤدي إلى تحميل الخادم ومنعه من القدرة على الاستجابة للطلبات المشروعة. يمكن استهداف هجمات DDoS لأي نوع من الخدمات عبر الإنترنت، بما في ذلك المواقع الإلكترونية، والألعاب عبر الإنترنت، وحتى منصات الوسائط الاجتماعية.

هناك العديد من التقنيات التي يمكن للمهاجمين استخدامها لشن هجوم DDoS، ويمكن أن تختلف الطرق والأدوات التي يستخدمونها بشكل كبير. بعض الهجمات بسيطة نسبيًا وتستخدم تقنيات منخفضة المستوى مثل إرسال أعداد كبيرة من طلبات الاتصال إلى خادم، في حين أن الهجمات الأخرى أكثر تعقيدًا وتستخدم تكتيكات معقدة مثل تزوير عناوين IP أو استغلال نقاط الضعف في بنية الشبكة.

تصنيف هجمات DDoS¶

هناك عدة أنواع من هجمات DDoS التي يمكن للمهاجمين استخدامها لتعطيل توفر موقع ويب أو خدمة عبر الإنترنت. فيما يلي الأنواع الشائعة من هجمات DDoS:

طبقة OSI / نوع الهجوم	هجمات التحويل والتضخيم	الاستغلالات البروتوكول والقنابل المنطقية
L3/L4	هجوم الفيضان UDP: تُرسل هذه الهجمات أعدادًا كبيرة من حزم UDP إلى هدف في محاولة لاستهلاك النطاق الترددي المتاح وتعطيل الخدمة. هجوم الفيضان ICMP (هجمات Smurf): تستخدم هذه الهجمات ICMP لإرسال أعداد كبيرة من طلبات الصدى (المعروفة باسم طلبات "ping") إلى هدف في محاولة لاستهلاك النطاق الترددي وتعطيل الخدمة.	هجوم الفيضان SYN: تستغل هذه الهجمات الطريقة التي يتم بها إنشاء اتصالات TCP. يرسل المهاجم عددًا كبيرًا من حزم SYN إلى هدف، لكنه لا يكمل أبدًا عملية المصافحة الثلاثية المستخدمة لإنشاء اتصال. يمكن أن يربط هذا موارد خادم الهدف، حيث ينتظر اكتمال عملية المصافحة. Ping of Death: تُرسل هذه الهجمات حزمًا كبيرة الحجم إلى هدف في محاولة لتعطيله. الحزم أكبر من الحجم الأقصى الذي يمكن للهدف معالجته، ومحاولة التعامل معها يمكن أن تتسبب في تعطل الهدف أو عدم توفره.
L7	هجوم الفيضان HTTP: تستخدم هذه الهجمات عددًا كبيرًا من طلبات GET أو POST التي تبدو مشروعة إلى خادم أو تطبيق ويب في محاولة لإغراق الهدف. غالبًا ما يتم تنفيذ هذا النوع من الهجمات باستخدام botnets، وهي شبكات من أنظمة الحاسوب المخترقة المصابة ببرامج ضارة والخاضعة لسيطرة المهاجم. هجمات التضخيم: تستفيد هذه الهجمات من استخدام تقنيات التضخيم لتضخيم حجم المرور المرسل إلى الهدف. على سبيل المثال، قد يرسل المهاجم طلبًا صغيرًا إلى خادم يستجيب برد أكبر بكثير، مما يعمل على تضخيم حجم المرور المرسل إلى الهدف بشكل فعال. هناك عدة تقنيات مختلفة يمكن للمهاجمين استخدامها لشن هجوم تضخيم، بما في ذلك: تضخيم NTP، تضخيم DNS، إلخ.	Slowloris: هجمات Slowloris فريدة من نوعها لأنها تتطلب عرض نطاق ترددي ضئيل ويمكن تنفيذها باستخدام جهاز كمبيوتر واحد فقط. يعمل الهجوم عن طريق بدء عدة اتصالات متزامنة بخادم ويب والحفاظ عليها لفترة طويلة من الزمن. يرسل المهاجم طلبات جزئية ويكملها أحيانًا برؤوس HTTP لمنعها من الوصول إلى مرحلة الاكتمال.
محددة للتطبيق/API (L7+)	طلب ثقيل: تستخدم هذه الهجمات طلبات مصممة خصيصًا تؤدي إلى إرسال الخادم كمية كبيرة من البيانات ردًا. يُستخدم هذا النوع من الهجمات عادة في الهجمات المستهدفة لأنه يتطلب دراسة أولية لتطبيق الويب الخاص بك ويعتمد على استغلال نقاط الضعف فيه.	قنبلة منطقية: تستخدم هذه الهجمات طلبات مصممة تحتوي على كمية كبيرة من البيانات ومصممة خصيصًا لاستغلال الثغرات أثناء معالجة الطلب التي تؤدي إلى استهلاك كبير للموارد على أنظمة الهدف. هناك أنواع مختلفة من القنابل المنطقية: قنبلة XML، قنبلة JSON، إلخ.

هجمات التحويل والتضخيم تهدف إلى إغراق الهدف بحجم كبير من المرور. الهدف هو تشبع النطاق الترددي أو موارد الحوسبة للخادم أو الشبكة المستهدفة، مما يجعلها غير قادرة على الاستجابة للطلبات المشروعة.

الاستغلالات البروتوكول والقنابل المنطقية هي هجمات DDoS تهدف إلى استغلال الثغرات في الطريقة التي يتواصل بها الخدمة أو الشبكة. يمكن لهذه الهجمات تعطيل التدفق الطبيعي للمرور عن طريق استغلال بروتوكولات معينة أو عن طريق إرسال حزم مشكلة بطريقة صعبة للهدف لمعالجتها.

تخفيف هجمات DDoS¶

بما أن هجمات DDoS يمكن أن تأخذ أشكالًا متعددة وتستهدف طبقات OSI مختلفة، فإن التدابير المفردة غير فعالة، من المهم استخدام مجموعة من التدابير لتوفير حماية شاملة ضد هجمات DDoS.

عادةً ما يوفر مزودو خدمات الإنترنت ومزودو الخدمات السحابية خط الدفاع الأول ضد هجمات DDoS من المستوى L3-L4. بالنسبة لهجمات DDoS من المستوى L3-L4 ذات الخطورة العالية، تُطلب أدوات تخفيف إضافية، على سبيل المثال:

قد يتطلب هجوم DDoS الذي يولد المرور بمعدل 1 جيجابت في الثانية أو أكثر خدمات حماية DDoS متخصصة لتنظيف المرور. تنظيف المرور هي تقنية لتوجيه المرور من خلال خدمة طرف ثالث تقوم بتصفية كل المرور الضار ونقل الطلبات المشروعة فقط إلى خدمتك. كتدبير حماية إضافي ضد هجمات DDoS من المستوى L3-L4، يمكنك أيضًا استخدام الحلول مثل NGFW.
هجمات DDoS من المستوى L7، المعروفة أيضًا باسم "هجمات طبقة التطبيق"، أكثر استهدافًا وتعقيدًا من هجمات L3-L4. عادةً ما تستهدف هجمات DDoS من المستوى L7 خصائص التطبيقات المهاجمة ويمكن أن تكون صعبة التمييز عن المرور المشروع. للحماية من هجمات DDoS من المستوى L7، استخدم WAF/WAAP أو حلول Anti-DDoS متخصصة تحلل المرور على طبقة التطبيق. يُوصى أيضًا بتكوين بوابة API أو خادم WEB ليتمكن من التعامل مع الأحمال الذروة.

عند اختيار تدابير الحماية، قيم بعناية احتياجات وموارد المنظمة استنادًا إلى العوامل التالية:

نوع الهجمات
حجم الهجمات
تعقيد تطبيق ويب أو API، والتكاليف

من الضروري أيضًا إعداد خطة استجابة لتحديد هجوم DDoS في أقرب وقت ممكن واتخاذ تدابير مضادة في الوقت المناسب لتخفيفها.

حماية DDoS من المستوى L7 مع Wallarm¶

توفر Wallarm مجموعة واسعة من تدابير الحماية ضد تهديدات DDoS من المستوى L7:

الوقاية من إساءة استخدام API. تمكين وظيفة الوقاية من إساءة استخدام API لتحديد ووقف أنواع مختلفة من البوتات الضارة.
مشغل القوة الغاشمة لمنع عدد كبير من الطلبات التي تقوم بالقوة الغاشمة لبعض قيم المعلمات، على سبيل المثال، كلمات المرور.
مشغل التصفح القسري لمنع المحاولات الضارة لاكتشاف الموارد المخفية لتطبيق ويب، وهي الدلائل والملفات.
تصفية الجغرافيا باستخدام قوائم الحظر والقوائم الرمادية. منع الوصول إلى التطبيقات وAPIs لبعض المناط