امروز میخواهیم چند گام و روش حل مسئلهای را که در مقابل یک حمله DDoS در یک سایت کوچک تجارت الکترونیک وردپرس داشتیم به شما نشان دهیم. حملههای DDoS ممکن است ناگهان ظاهر شده و سایتهای کوچکتر معمولا شکنندهتر هستند، چرا که هنگام رخ دادن چنین حملهای، به طور کامل آماده نیستند. اجازه دهید یک سوال مطرح کنیم. اگر سایت شما فردا مورد حمله قرار بگیرد چه خواهید کرد؟ اگر هیچ ایدهای ندارید، احتمالا باید این مقاله را نشانگذاری کرده و بخوانید.
حمله DDoS چیست؟
DDoS عبارت مخفف distributed denial of service است. هدف اولیه حمله DDoS این است که سرور سایت شما را بیش از حد شلوغ کرده و آن را فلج کرده یا از کار بیندازند. یکی از موارد ناامیدکننده این حملهها این است که به طور عمومی حملهکننده چیزی به دست نیاورده و چیزی هم هک نمیشود. مشکل بزرگ حمله DDOS شلوغ شدن بیش از حد آن برای بارگذاری است. به احتمال بسیار زیاد خواهید دید که پهنای باند شما به میزان قابل توجهی بالا رفته و این میتواند برای شما هزینه مالی سنگینی در پی داشته باشد. اگر در یک میزبان (هاست) ارزانتر یا اشتراکی هستید، ممکن است به راحتی منجر به تعلیق حساب شما شود.
در ۲۱ اکتبر ۲۰۱۶، بزرگترین حمله DDoS (مرتبط با DNS) تاریخ رخ داد و سایتهای بزرگی مانند PayPal، Spotify، Twitter، Reddit و eBay را پایین کشید. حتی بعضی آن را روز نابودی DNS در اینترنت خواندند. با رشد اینترنت، افزایش حملههای DDoS با یک نرخ هشدار دهنده موضوع تعجبآوری نیست. در واقع با توجه به دادههای تهیه شده از easyDNS، حملههای DDos طی زمان بدتر میشوند. برای بعضی سایتها تنها زمان مطرح است تا با چنین حملهای روبهرو شوند.
برای دفع مواردی از حملات، استفاده از سایتهایی که زیرساختهای بزرگ و نرمافزارهای خاص برای خنثی کردن حملههای DDoS دارند را پیشنهاد میکنیم. برای کاربران وردپرس یا هر نوع پلتفرم دیگری، دو سایت Cloudflare و Sucuri را پیشنهاد میکنیم. سرمایهگذاری در حفاظت مناسب از حمله DDOS میتواند باعث صرفهجویی در زمان، پول و در نهایت ناامیدی شود.
توقف یک حمله DDoS در یک سایت کوچک دانلودهای دیجیتال آسان
یک سایت تجارت الکترونیک کوچک که EDD اجرا میکرد،به طور معمول در پهنای باند، روزانه تنها ۳۰ تا ۴۰ MB تولید میکرد و چند صد بازدید کننده داشت. در ژوئن گذشته، ناگهان شروع به استفاده بسیار از پهنای باند کرده و گوگل Analytics نیز هیچ ترافیک مضاعفی را نشان نمیداد. سایت ناگهان به انتقال روزانه ۱۵ الی ۱۹ GB داده در روز رسید. افزایشی ۴۶۵۰ درصدی! این تنها یک افزایش کوچک در بات ترافیک نیست.
پس از دیدن این افزایش، لاگهای سرور باید بررسی میشدند تا موضوع شناسایی شود. این دسته مسائل به راحتی ممکن است از کنترل خارج شوند. اطلاعات ۷ روز گذشته نشان دادند که صفحه، حساب یا سایت ۵۱۱۰۰۰ بار خوانده شده بودند و در مجموع ۶۶ GB ترافیک ایجاد کرده بودند. این آمار برای سایتی است که در ماه به طور معمول کمی بیش از ۱ GB داده ایجاد میکند. پس قطعا اتفاقی رخ داده است.
تحلیل IP های ۱۰ مشتری برتر در ۷ روز آخر فعالیتهای مشکوکی را نشان میداد. اکثر آنها بالای ۱۰۰۰۰ درخواست داده بودند و تعداد این مشتریان کم بود. به یاد داشته باشید این سایت کوچکی است که در ماه به طور مجموع باید تنها چند هزار درخواست داشته باشد.
برای کسب داده همیشه میتوانید به گوگل اعتماد کنید. با ورود تعدادی از این IP ها در جستوجوی گوگل، مشخص شد که اکثر آنها تنها آدرسهای پروکسی هستند. یعنی کسی به احتمال بالا میخواسته ترافیک خود را پنهان کند.
تغییر آدرسها
اولین کار، تغییر آدرس صفحه بود. این همیشه معیار اول خوبی است. اما این حمله را تنها برای مدت زمان کوتاهی متوقف کرد تا آنها آدرس جدید را پیدا کنند. به یاد داشته باشید که چون این یک سایت تجارت الکترونیک است، باید صفحه حساب عمومی داشته باشد. به طور مشخص در یک وبلاگ ساده، تغییر آدرس لاگین وردپرس و پنهان کردن کامل آن میتواند بسیاری از این حملهها را متوقف کند، اما در این مورد کارساز نخواهد بود. به این کار امنیت وردپرس به وسیله ابهام میگویند.
هک یا حمله جستوجوی فراگیر؟
موضوع دیگری که میتوانید در این موقعیتها تایید کنید این است که این یک تلاش برای هک نیست و در این مورد نیز نبود. لاگ وقایعنگاری ایمنی وردپرس یک افزونه عالی برای نظارت و بررسی این است که آیا تلاش ناموفقی برای ورود به یک صفحه وجود داشته یا خیر. همچنین میتوانید لاگهای خود را چک کنید تا ببینید آیا فعالیتهای پسین در تعداد بالا رخ داده است یا خیر. به نظر میرسید این تنها یک حمله DDoS ساده است که در آن به سادگی انبوهی از ترافیک به یک بخش از سایت فرستاده شده و تلاش شده تا بیش از حد شلوغ شود.
بلاک IP
اگر در حال کار روی سرور خود هستید، گام بعدی احتمالا این خواهد بود که یک افزونه بلاک IP یا firewall مانند WordFence را نصب کنید.
اما بسته به مدت زمان و مقیاس حمله، بلاک کردن IP ها میتواند یک فرآیند تمام ناشدنی باشد که در اکثر موارد با سرعت لازم، مسئله را حل نمیکند. بسیاری از حملات DDoS زمانی که از یک ناحیه بلاک میشوند، از یک ناحیه دیگر سر در میآورند یا آدرسهای پروکسی یا IP را تغییر میدهند. پس در این مثال بهره بردن از راهحل DDoS که بتواند فرآیند را با قوانین از پیش ساخته و کامپایل شده خودکار کند از دادههایی به ارزش چند سال منطقی خواهد بود.
انتقال سایت به کلاودفلر راهگشا نبود
در بسیاری مواقع کلاودفلر در توقف بعضی ترافیک باتهای ساده خوب عمل میکند اما وقتی برنامه مجانی در کار باشد، محافظ DDoS آنها بهترین نیست. در واقع سایت را به کلاودفلر منتقل و ترافیکهای مشکوک بیشتری اضافه شدند. هر چند این تنها به خاطر افزایش تلاشهای آنها در اثر حمله بوده است. همانطور که میبینید درخواستها به حدود ۵۰ هزار در ساعت نزدیک میشد. بخش CDN آنها عالی کار میکند اما اگر نیازهای بیشتری دارید، احتمالا باید هزینه بپردازید.
سپس «محدود کردن نرخ» در سایت اجرا شد. محدود کردن نرخ به شما امکان این را میدهد که ترافیک مبتنی بر قوانین را مطابق یک آدرس ایجاد کرده و سپس فعالیتها را مطابق با آن محدود یا لغو کنید. این قابلیت را میتوانید در برنامه مجانی فعال کنید و به ازای هر ۱۰ هزار درخواست باید ۰۵/۰ دلار بپردازید. اما در نرخ درخواستهای دیده شده، هر ماه ۳۶ میلیون درخواست وجود داشت که خود ۱۸۰ دلار برای هر ماه هزینه در پی داشت. پس مشخصا این راهحلی نبود که مشکل را درست کند.
توجه: هزینه محدود کردن نرخ بر اساس تعداد درخواستهای خوب (نه بلاک شده) تعیین میشود. درخواستهای خوبی که با قوانین تعریف شده شما در طول تمام وبسایتهایتان تطابق دارند.اما در این مورد جواب نمیداد.
قدم بعدی که از قبل میدانستیم پیش روی خود داریم، نگاه به یک برنامه فایروال حقیقی وب بود. بسیاری از کابران این را نمیدانند، اما برنامه رایگان کلاودفلر شامل این مورد نمیشود و این موضوعی است که این روزها برای متوقف کردن حملات DDoS لازم است. پس گزینه بعدی بهروز رسانی برنامه کلاودفلر به نسخه حرفهای با ۲۰ دلار در ماه بود. این جایی است که باید کمی زمان گذاشته و راهحلهای ثالث را نیز مقایسه کنیم.
مقایسه کلاودفلر با سوکوری
در حال حاضر بهترین راهحلها برای برنامه فایروال وبی که اجرای آنها در هر نوع سایتی آسان است، کلاودفلر و سوکوری هستند. اگر نگاهی به این دو بیندازید خواهید دید که در سوکوری به ازای هزینه خود امکانات بهتری دریافت میکنید. بیایید به برنامه این دو که هر یک ماهیانه ۲۰ دلار هزینه دارند نگاهی بیندازیم.
کلاودفلر
با برنامه حرفهای کلاودفلر تنها میتوانید محافظ DDoS لایههای ۳ و ۴ را داشته باشید (در خصوص لایههای ۳ و ۴ حمله DDOS اینجا بیشتر بخوانید). این کمک میکند تا حملاتTCP SYN، UDP و ICMP را در سرور لبه متوقف کنید تا به سرور اصلی شما نرسند. برای استفاده از محافط لایه ۷ باید به برنامه ۲۰۰ دلار در ماه بهروز رسانی کنید. به یاد داشته باشید که این یک سایت بسیار کوچک تجارت الکترونیک است پس ۲۰۰ دلار در ماه بسیار هزینهبر خواهد بود و فراتر از هزینههای هاست سایت است.
سوکوری
با برنامه ۲۰ دلار در ماه سوکوری، در کنار محافط DDoS لایههای ۳ و ۴، محافظ لایه ۷ را نیز خواهید داشت. این به شما کمک میکند که تغییرات ناگهانی در ترافیک را خودکار شناسایی کرده و شما را از سیلهای POST و حملههای DNS محور محافظت میکند و این حملات هیچ وقت به سرور اصلی شما نمیرسند. پس از همان ابتدا، کاهش حملات DDoS بهتری را با سوکوری خواهید دید و در این مثال، ما برای حملات سیلی HTTP به لایه ۷ نیاز داشتیم.
حمله سیلی HTTP یک نوع حمله لایه ۷ است که از درخواستهای معتبر GET یا POST استفاه میکند تا مانند بازیابیهای معمول داده در آدرس طی بخشهای SSL (عکس، اطلاعات و …)، اطلاعات به دست بیاورد. سیل GET/POST یک حمله حجمی است که از بستههای ویروسی، تکنیکهای جاسوسی یا انعکاسی استفاده نمیکند.
سوکوری همچنین در برنامه ۷۰ دلار در ماه خود تعادلساز بار را نیز ارائه میدهد در حالی که کلاودفلر بخشهای پرداختی کمی دارد که مربوط به جنبههای مختلف این ویژگی باشد. بخشهایی مانند قیمتگذاری استفاده محور که در آن به تعادلسازی بارگذاری بر حسب موقعیت جغرافیایی نیاز دارید.
هر دوی آنها قابلیتهای مشابهی دارند مانند این ویژگی که میتوانند به صفحات خاصی یا بلاک کردن IP ها و … چالشی را اضافه کنند. اما تا جایی که به محافظت DDoS مربوط میشود، سوکوری امکانات بیشتری ارائه میدهد. ما همچنین رابط کاربری لیستسیاه سوکوری و نحوه تنظیمات بخشهای خاصی را در مقایسه با کلاودفلر واقعا میپسندیم.
و به یاد داشته باشید، هیچ شرکتی نمیتواند محافظت DDoS 100 درصدی را برای شما تضمین کند. تنها کاری که آنها میتوانند انجام دهند این است که به شما کمک کنند به طور خودکار آنها را متوقف کنید.
انتقال سایت به سوکوری
انتقال سایت به سوکوری بسیار ساده است. به مانند کلاودفلر، به طور فنی چیزی وجود ندارد که بخواهید نصب کنید، چرا که مانند یک سرویس پروکسی کامل عمل میکند. این یعنی شما DNS های خود را به سمت آنها هدایت میکنید و سپس آنها به هاست شما هدایت میشوند و اساسا برنامه فایروال وب (WAF) در این میان قرار میگیرد.
به عقیده ما داشبورد آنها به جذابیت یا مدرنی کلاودفلر نیست، اما زمانی که پای WAF در میان باشد، تنها چیزی که باید اهمیت داشته باشد خوب کار کردن آن است. همانطور که در پایین مشاهده میکنید، به طور کلی IP میزبان فعلی شما را شناسایی کرده و آنها برای شما یک فایروال تهیه میکنند. این چیزی است که شما DNS خود را به سمتش هدایت میکنید (یک رکورد اسمی + رکورد AAAA).
شما میتوانید در چند دقیقه در سوکوری کار را شروع کنید که در خصوص حمله DDoS فعلی اتفاق خوبی است. تنها زمان انتظار برای اشاعه DNS است. آنها یک CDN انیکست HTTP/2 را نیز لحاظ میکنند. پس این چیزی بیشتر از یک فایروال است. همچنین میتواند به افزایش سرعت سایت وردپرس شما کمک کند. اما شما میتوانید در سوکوری به طور اختیاری از CDN خود مانند KeyCDN به راحتی استفاده کنید.
آنها یک گواهی رایگان SSL را با Let’s Encrypt لحاظ میکنند اما میتوانید گواهی خود را نیز آپلود کنید. نکته منفی این است که Let’s Encrypt خودکار نبوده و شما باید یک تیکت ایجاد کنید. اما فرآیند رایج گواهی SSL آنها سریع است. یک راهنمایی دیگر برای عملکرد این است که احتمالا باید گزینه کشینگ سایت را فعال کنید. این باعث میشود به جای استفاده از حافظه کش سوکوری، کش سرور اصلی شما حفظ شود. به احتمال بسیار زیاد تنظیمات کش را در حال حاضر همانطور که میخواهید در در هاست وردپرس خود دارید.
گزینههای پیشرفته ایمنی
در صفحه ایمنی میتوانید به راحتی تمام ترافیکهای XML-RPC، باتهای مهاجم را بلاک کنید و هدرهای امنیتی اضافه مانند HSTS و بسیاری موارد دیگر را فعال کنید. نکته: ترافیک XML-RPC از قبل در این سایت بلاک شده بود.
مشاهده لحظهای
چیزی که ما آن را پسندیدیم مشاهده لحظهای محافظ DDoS بود. به راحتی میتوانید به آن مراجعه کرده و لاگ تمام درخواستهای در جریان را ببینید. میتوانید با یک کلیک هر چیز مشکوکی را در لیستسیاه یا لیستسفید قرار دهید و اگر از پیش بلاک شده باشد، دلیل آن را ذکر میکند.
دیگر گزارشهای مفید
گزارشهای بسیار مفید دیگری نیز، مانند نمودار حملههای بلاک شده وجود دارند. این به شما امکان میدهد تا درصد نوع حملاتی که بلاک شدهاند را شامل حملات DDoS ببینید. بعضی از انواع دیگر نمودارها در این پنجره شامل ترافیک بر اساس نوع مرورگر، دستگاهها و کدهای واکنش HTTP میشود.
نمودار میانگین ترافیک در هر ساعت از این جهت مفید است که زمانهای اوج ترافیک و نرخ درخواستهایی که بلاک شدهاند را نشان میدهد.
جدول ترافیک بر اساس کشور به شما در تعیین این که موضوعی از یک منطقه جغرافیایی خاص میآید، کمک میکند. با کنترلهای دسترسی آنها، میتوانید کل یک کشور را با یک کلیک، به طور موقت بلاک کنید.
دیگر ویژگیها تحت کنترل دسترسی شامل قابلیت قرار دادن مسیرها و IP ها در لیستسیاه یا لیستسفید، بلاک کردن عوامل کاربری، کوکیها، ارجاعدهندههای HTTP و همچنین محافظت از یک صفحه خاص با کلمه عبور ساه، دو عاملی و کپچا میشود.
آیا سوکوری به سایت وردپرس کوچک تجارت الکترونیک ما کمک کرد؟ در واقع یک ساعت پس از پایان انتشار DNS، تمام پهنای باندها و درخواستها در سایت پایین آمدند (همانطور که در پایین دیده میشود) و از آن زمان هیچ مشکل کوچکی هم وجود نداشته است. پس اگر به مسائل این چنینی برخوردهاید، قطعا سوکوری سرمایهگذاری و ذخیرهکننده زمان خوبی است.
تصاویر مربوط به انتقال داده در سوکوری
تصویر زیر نشان میدهد که سایت مدتی پس از انتقال به سوکوری به چه نحوی شد. همانطور که میبینید حال به انتقال داده روزانه ۳۰ الی ۴۰ MB بازگشته است.
حتی اگر تحت حمله قرار نگرفتهاید، احتمالا به دنبال راه سادهتری برای جلوگیری از باتها از دزدیدن پهنای باند هاست خود هستید. آنها به WP Beginner کمک کردند تا طی سه ماه، بیش از ۴۵۰ هزار حمله را متوقف کند. همچنین در آن پست متوجه یک کامنت جالب شدیم: «ما به شدت توسط باتهای SPAM واقع در آمازون AWS و گوگل کلاود مورد حمله قرار گرفتهایم. آیا میدانید که فایروال سوکوری میتواند کمک کند یا خیر؟
اگر تا به حال راههای دیگر را امتحان کردهاید، احتمالا باید سوکوری را امتحان کنید. اشتباه برداشت نکنید، کلاودفلر همچنان برای بسیاری سایتها راهحلی عالی است و ما آن را به بسیاری از مشتریان خود پیشنهاد میکنیم. برنامههای گرانتر آنها با هزینه ۲۰۰ دلار در ماه نیز احتمالا به همان خوبی حمله را متوقف میکرد. اما همیشه خوب است که از دیگر راهحلهای موجود نیز آگاه باشید. به خصوص اگر بودجه محدودی دارید.
امیدواریم اطلاعات بالا بینش بیشتری در خصوص نحوه توقف حمله DDoS ارائه کرده باشد. این قطعا یکی از چندین راهی است که میتوانید با این موقعیت روبهرو شوید. اما اگر ترس شما را فراگرفته است، معمولا انتقال به کلاودفلر یا سوکوری میتواند خیلی سریع سایت شما را به حالت قبلی برگرداند. اگر تنها به دنبال این هستید که در پهنای باند در مقابل باتهای اسپم پول ذخیره کنید، استفاده از برنامه فایروال وب نیز میتواند راهحل موثری باشد.
نظرات شما در خصوص کلاودفلر در مقابل سوکوری چیست؟ همچنین آیا مایلید چنین مطالعات موردی را با دادههای زنده ببینید؟ پس در کامنتها به ما بگویید،چرا که به ما کمک خواهد کرد تا تصمیم بگیریم در آینده چه محتوایی را منتشر کنیم.
امیدوارم از این مقاله لذت برده باشید و بتوانید این مطالب را بکار بگیرید.
نظرات کاربران