حمله DDoS – نحوه جلوگیری از حمله DDOS

حمله DDoS چیست؟

DDoS عبارت مخفف distributed denial of service است. هدف اولیه حمله DDoS این است که سرور سایت شما را بیش از حد شلوغ کرده و آن را فلج کرده یا از کار بیندازند. یکی از موارد ناامیدکننده این حمله‌ها این است که به طور عمومی حمله‌کننده چیزی به دست نیاورده و چیزی هم هک نمی‌شود. مشکل بزرگ DDoS شلوغ شدن بیش از حد آن برای بارگذاری است. به احتمال بسیار زیاد خواهید دید که پهنای باند شما به میزان قابل توجهی بالا رفته و این می‌تواند برای شما هزینه مالی سنگینی در پی داشته باشد. اگر در یک میزبان (هاست) ارزان‌تر یا اشتراکی هستید، ممکن است به راحتی منجر به تعلیق حساب شما شود.

در ۲۱ اکتبر ۲۰۱۶، بزرگ‌ترین حمله DDoS (مرتبط با DNS) تاریخ رخ داد و سایت‌های بزرگی مانند PayPal، Spotify، Twitter، Reddit و eBay را پایین کشید. حتی بعضی آن را روز نابودی DNS در اینترنت خواندند. با رشد اینترنت، افزایش حمله‌های DDoS با یک نرخ هشدار دهنده موضوع تعجب‌آوری نیست. در واقع با توجه به داده‌های تهیه شده از easyDNS، حمله‌های DDos طی زمان بدتر می‌شوند. برای بعضی سایت‌ها تنها زمان مطرح است تا با چنین حمله‌ای روبه‌رو شوند. 

برای دفع مواردی از حملات، استفاده از سایت‌هایی که زیرساخت‌های بزرگ و نرم‌افزارهای خاص برای خنثی کردن حمله‌های DDoS  دارند را پیشنهاد می‌کنیم. برای کاربران وردپرس یا هر نوع پلت‌فرم دیگری، دو سایت Cloudflare و Sucuri را پیشنهاد می‌کنیم. سرمایه‌گذاری در حفاظت مناسب از DDoS می‌تواند باعث صرفه‌جویی در زمان، پول و در نهایت ناامیدی شود.

توقف یک حمله DDoS در یک سایت کوچک دانلودهای دیجیتال آسان

یک سایت تجارت الکترونیک کوچک که EDD اجرا می‌کرد،به طور معمول در پهنای باند، روزانه تنها ۳۰ تا ۴۰ MB تولید می‌کرد و چند صد بازدید کننده داشت. در ژوئن گذشته، ناگهان شروع به استفاده بسیار از پهنای باند کرده و گوگل Analytics نیز هیچ ترافیک مضاعفی را نشان نمی‌داد. سایت ناگهان به انتقال روزانه ۱۵ الی ۱۹ GB داده در روز رسید. افزایشی ۴۶۵۰ درصدی! این تنها یک افزایش کوچک در بات ترافیک نیست.

پس از دیدن این افزایش، لاگ‌های سرور باید بررسی می‌شدند تا موضوع شناسایی شود. این دسته مسائل به راحتی ممکن است از کنترل خارج شوند. اطلاعات ۷ روز گذشته نشان دادند که صفحه، حساب یا سایت ۵۱۱۰۰۰ بار خوانده شده بودند و در مجموع ۶۶ GB ترافیک ایجاد کرده بودند. این آمار برای سایتی است که در ماه به طور معمول کمی بیش از ۱ GB داده ایجاد می‌کند. پس قطعا اتفاقی رخ داده است.

تحلیل IP های ۱۰ مشتری برتر در ۷ روز آخر فعالیت‌های مشکوکی را نشان می‌داد. اکثر آن‌ها بالای ۱۰۰۰۰ درخواست داده بودند و تعداد این مشتریان کم بود. به یاد داشته باشید این سایت کوچکی است که در ماه به طور مجموع باید تنها چند هزار درخواست داشته باشد.

برای کسب داده همیشه می‌توانید به گوگل اعتماد کنید. با ورود تعدادی از این IP ها در جست‌وجوی گوگل، مشخص شد که اکثر آن‌ها تنها آدرس‌های پروکسی هستند. یعنی کسی به احتمال بالا می‌خواسته ترافیک خود را پنهان کند.

تغییر آدرس‌ها

اولین کار، تغییر آدرس صفحه  بود. این همیشه معیار اول خوبی است. اما این حمله را تنها برای مدت زمان کوتاهی متوقف کرد تا آن‌ها آدرس جدید را پیدا کنند. به یاد داشته باشید که چون این یک سایت تجارت الکترونیک است، باید صفحه حساب عمومی داشته باشد. به طور مشخص در یک وبلاگ ساده، تغییر آدرس لاگین وردپرس و پنهان کردن کامل آن می‌تواند بسیاری از این حمله‌ها را متوقف کند، اما در این مورد کارساز نخواهد بود. به این کار امنیت وردپرس به وسیله ابهام می‌گویند.

هک یا حمله جست‌وجوی فراگیر؟

موضوع دیگری که می‌توانید در این موقعیت‌ها تایید کنید این است که این یک تلاش برای هک نیست و در این مورد نیز نبود. لاگ وقایع‌نگاری ایمنی وردپرس یک افزونه عالی برای نظارت و بررسی این است که آیا تلاش ناموفقی برای ورود به یک صفحه وجود داشته یا خیر. همچنین می‌توانید لاگ‌های خود را چک کنید تا ببینید آیا فعالیت‌‌های پسین در تعداد بالا رخ داده است یا خیر. به نظر می‌رسید این تنها یک حمله DDoS ساده است که در آن به سادگی انبوهی از ترافیک به یک بخش از سایت فرستاده شده و تلاش شده تا بیش از حد شلوغ شود.

بلاک IP

اگر در حال کار روی سرور خود هستید، گام بعدی احتمالا این خواهد بود که یک افزونه بلاک IP یا firewall مانند WordFence را نصب کنید.

اما بسته به مدت زمان و مقیاس حمله، بلاک کردن IP ها می‌تواند یک فرآیند تمام ناشدنی باشد که در اکثر موارد با سرعت لازم، مسئله را حل نمی‌کند. بسیاری از حملات DDoS زمانی که از یک ناحیه بلاک می‌شوند، از یک ناحیه دیگر سر در می‌آورند یا آدرس‌های پروکسی یا IP را تغییر می‌دهند. پس در این مثال بهره بردن از راه‌حل DDoS که بتواند فرآیند را با قوانین از پیش ساخته و کامپایل شده خودکار کند از داده‌هایی به ارزش چند سال منطقی خواهد بود.

انتقال سایت به کلاودفلر راه‌گشا نبود

در بسیاری مواقع کلاودفلر در توقف بعضی ترافیک بات‌های ساده خوب عمل می‌کند اما وقتی برنامه مجانی در کار باشد، محافظ DDoS آن‌ها بهترین نیست. در واقع سایت را به کلاودفلر منتقل و ترافیک‌های مشکوک بیشتری اضافه شدند. هر چند این تنها به خاطر افزایش تلاش‌های آن‌ها در اثر حمله بوده است. همان‌طور که می‌بینید درخواست‌ها به حدود ۵۰ هزار در ساعت نزدیک می‌شد. بخش CDN آن‌ها عالی کار می‌کند اما اگر نیازهای بیشتری دارید، احتمالا باید هزینه بپردازید.

سپس «محدود کردن نرخ» در سایت اجرا شد.  محدود کردن نرخ به شما امکان این را می‌دهد که ترافیک مبتنی بر قوانین را مطابق یک آدرس ایجاد کرده و سپس فعالیت‌ها را مطابق با آن محدود یا لغو کنید. این قابلیت را می‌توانید در برنامه مجانی فعال کنید و به ازای هر ۱۰ هزار درخواست باید ۰۵/۰ دلار بپردازید. اما در نرخ درخواست‌های دیده شده، هر ماه ۳۶ میلیون درخواست وجود داشت که خود ۱۸۰ دلار برای هر ماه هزینه در پی داشت. پس مشخصا این راه‌حلی نبود که مشکل را درست کند.

توجه: هزینه محدود کردن نرخ بر اساس تعداد درخواست‌های خوب (نه بلاک شده) تعیین می‌شود. درخواست‌های خوبی که با قوانین تعریف شده شما در طول تمام وبسایت‌هایتان تطابق دارند.اما در این مورد جواب نمی‌داد.

قدم بعدی که از قبل می‌دانستیم پیش روی خود داریم، نگاه به یک برنامه فایروال حقیقی وب بود. بسیاری از کابران این را نمی‌دانند، اما برنامه رایگان کلاودفلر شامل این مورد نمی‌شود و این موضوعی است که این روزها برای متوقف کردن حملات DDoS لازم است. پس گزینه بعدی به‌روز رسانی برنامه کلاودفلر به نسخه حرفه‌ای با ۲۰ دلار در ماه بود. این جایی است که باید کمی زمان گذاشته و راه‌حل‌های ثالث را نیز مقایسه کنیم.

مقایسه کلاودفلر با سوکوری

در حال حاضر بهترین راه‌حل‌ها برای برنامه فایروال وبی که اجرای آن‌ها در هر نوع سایتی آسان است، کلاودفلر و سوکوری هستند. اگر نگاهی به این دو بیندازید خواهید دید که در سوکوری به ازای هزینه خود امکانات بهتری دریافت می‌کنید. بیایید به برنامه این دو که هر یک ماهیانه ۲۰ دلار هزینه دارند نگاهی بیندازیم.

کلاودفلر

با برنامه حرفه‌ای کلاودفلر تنها می‌توانید محافظ DDoS لایه‌های ۳ و ۴ را داشته باشید (در خصوص لایه‌های ۳ و ۴ حملات DDoS اینجا بیشتر بخوانید). این کمک می‌کند تا حملاتTCP SYN، UDP  و ICMP را در سرور لبه متوقف کنید تا به سرور اصلی شما نرسند. برای استفاده از محافط لایه ۷ باید به برنامه ۲۰۰ دلار در ماه به‌روز رسانی کنید. به یاد داشته باشید که این یک سایت بسیار کوچک تجارت الکترونیک است پس ۲۰۰ دلار در ماه بسیار هزینه‌بر خواهد بود و فراتر از هزینه‌های هاست سایت است.

سوکوری

با برنامه ۲۰ دلار در ماه سوکوری، در کنار محافط DDoS لایه‌های ۳ و ۴، محافظ لایه ۷ را نیز خواهید داشت. این به شما کمک می‌کند که تغییرات ناگهانی در ترافیک را خودکار شناسایی کرده و شما را از سیل‌های POST و حمله‌های DNS محور محافظت می‌کند و این حملات هیچ وقت به سرور اصلی شما نمی‌رسند. پس از همان ابتدا، کاهش حملات DDoS بهتری را با سوکوری خواهید دید و در این مثال، ما برای حملات سیلی HTTP به لایه ۷ نیاز داشتیم.

حمله سیلی HTTP یک نوع حمله لایه ۷ است که از درخواست‌های معتبر GET یا POST استفاه می‌کند تا مانند بازیابی‌های معمول داده در آدرس طی بخش‌های SSL (عکس، اطلاعات و …)، اطلاعات به دست بیاورد. سیل GET/POST یک حمله حجمی است که از بسته‌های ویروسی، تکنیک‌های جاسوسی یا انعکاسی استفاده نمی‌کند.

سوکوری همچنین در برنامه ۷۰ دلار در ماه خود تعادل‌ساز بار را نیز ارائه می‌دهد در حالی که کلاودفلر بخش‌های پرداختی کمی دارد که مربوط به جنبه‌های مختلف این ویژگی باشد. بخش‌هایی مانند قیمت‌گذاری استفاده محور که در آن به تعادل‌سازی بارگذاری بر حسب موقعیت جغرافیایی نیاز دارید.

هر دوی آن‌ها قابلیت‌های مشابهی دارند مانند این ویژگی که می‌توانند به صفحات خاصی یا بلاک کردن IP ها و … چالشی را اضافه کنند. اما تا جایی که به محافظت DDoS مربوط می‌شود، سوکوری امکانات بیشتری ارائه می‌دهد. ما همچنین رابط کاربری لیست‌سیاه سوکوری و نحوه تنظیمات بخش‌های خاصی را در مقایسه با کلاودفلر واقعا می‌پسندیم.

و به یاد داشته باشید، هیچ شرکتی نمی‌تواند محافظت DDoS 100 درصدی را برای شما تضمین کند. تنها کاری که آن‌ها می‌توانند انجام دهند این است که به شما کمک کنند به طور خودکار آن‌ها را متوقف کنید.

انتقال سایت به سوکوری

انتقال سایت به سوکوری بسیار ساده است. به مانند کلاودفلر، به طور فنی چیزی وجود ندارد که بخواهید نصب کنید، چرا که مانند یک سرویس پروکسی کامل عمل می‌کند. این یعنی شما DNS های خود را به سمت آن‌ها هدایت می‌کنید و سپس آن‌ها به هاست شما هدایت می‌شوند و اساسا برنامه فایروال وب (WAF) در این میان قرار می‌گیرد.

به عقیده ما داشبورد آن‌ها به جذابیت یا مدرنی کلاودفلر نیست، اما زمانی که پای WAF در میان باشد، تنها چیزی که باید اهمیت داشته باشد خوب کار کردن آن است. همان‌طور که در پایین مشاهده می‌کنید، به طور کلی IP میزبان فعلی شما را شناسایی کرده و آن‌ها برای شما یک فایروال تهیه می‌کنند. این چیزی است که شما DNS خود را به سمتش هدایت می‌کنید (یک رکورد اسمی + رکورد AAAA).

شما می‌توانید در چند دقیقه در سوکوری کار را شروع کنید که در خصوص حمله DDoS فعلی اتفاق خوبی است. تنها زمان انتظار برای اشاعه DNS است. آن‌ها یک CDN انیکست HTTP/2 را نیز لحاظ می‌کنند. پس این چیزی بیشتر از یک فایروال است. همچنین می‌تواند به افزایش سرعت سایت وردپرس شما کمک کند. اما شما می‌توانید در سوکوری به طور اختیاری از CDN خود مانند KeyCDN به راحتی استفاده کنید.

آن‌ها یک گواهی رایگان SSL را با  Let’s Encrypt لحاظ می‌کنند اما می‌توانید گواهی خود را نیز آپلود کنید. نکته منفی این است که Let’s Encrypt خودکار نبوده و شما باید یک تیکت ایجاد کنید. اما فرآیند رایج گواهی SSL آن‌ها سریع است. یک راهنمایی دیگر برای عملکرد این است که احتمالا باید گزینه کشینگ سایت را فعال کنید. این باعث می‌‌شود به جای استفاده از حافظه کش سوکوری، کش سرور اصلی شما حفظ شود. به احتمال بسیار زیاد تنظیمات کش را در حال حاضر همان‌طور که می‌خواهید در در هاست وردپرس خود دارید.

گزینه‌های پیشرفته ایمنی

در صفحه ایمنی می‌توانید به راحتی تمام ترافیک‌های XML-RPC، بات‌های مهاجم را بلاک کنید و هدرهای امنیتی اضافه مانند HSTS و بسیاری موارد دیگر را فعال کنید. نکته: ترافیک XML-RPC از قبل در این سایت بلاک شده بود.

مشاهده لحظه‌ای

چیزی که ما آن را پسندیدیم مشاهده لحظه‌ای محافظ DDoS بود. به راحتی می‌توانید به آن مراجعه کرده و لاگ تمام درخواست‌های در جریان را ببینید. می‌توانید با یک کلیک هر چیز مشکوکی را در لیست‌سیاه یا لیست‌سفید قرار دهید و اگر از پیش بلاک شده باشد، دلیل آن را ذکر می‌کند.

دیگر گزارش‌های مفید

گزارش‌های بسیار مفید دیگری نیز، مانند نمودار حمله‌های بلاک شده وجود دارند. این به شما امکان می‌دهد تا درصد نوع حملاتی که بلاک شده‌اند را شامل حملات DDoS ببینید. بعضی از انواع دیگر نمودارها در این پنجره شامل ترافیک بر اساس نوع مرورگر، دستگاه‌ها و کدهای واکنش HTTP می‌شود.

نمودار میانگین ترافیک در هر ساعت از این جهت مفید است که زمان‌های اوج ترافیک و نرخ درخواست‌هایی که بلاک شده‌‌اند را نشان می‌دهد.

جدول ترافیک بر اساس کشور به شما در تعیین این که موضوعی از یک منطقه جغرافیایی خاص می‌آید، کمک می‌کند. با کنترل‌های دسترسی آن‌ها، می‌توانید کل یک کشور را با یک کلیک، به طور موقت بلاک کنید.

دیگر ویژگی‌ها تحت کنترل دسترسی شامل قابلیت قرار دادن مسیرها و IP ها در لیست‌سیاه یا لیست‌سفید، بلاک کردن عوامل کاربری، کوکی‌ها، ارجاع‌دهنده‌های HTTP و همچنین محافظت از یک صفحه خاص با کلمه عبور ساه، دو عاملی و کپچا می‌شود.

آیا سوکوری به سایت وردپرس کوچک تجارت الکترونیک ما کمک کرد؟ در واقع یک ساعت پس از پایان انتشار DNS، تمام پهنای باندها و درخواست‌ها در سایت پایین آمدند (همان‌طور که در پایین دیده می‌شود) و از آن زمان هیچ مشکل کوچکی هم وجود نداشته است. پس اگر به مسائل این چنینی برخورده‌اید، قطعا سوکوری سرمایه‌گذاری و ذخیره‌کننده زمان خوبی است.

تصاویر مربوط به انتقال داده در سوکوری

تصویر زیر نشان می‌دهد که سایت مدتی پس از انتقال به سوکوری به چه نحوی شد. همان‌طور که می‌بینید حال به انتقال داده روزانه ۳۰ الی ۴۰ MB بازگشته است.

حتی اگر تحت حمله قرار نگرفته‌اید، احتمالا به دنبال راه ساده‌تری برای جلوگیری از بات‌ها از دزدیدن پهنای باند هاست خود هستید. آن‌ها به WP Beginner کمک کردند تا طی سه ماه، بیش از ۴۵۰ هزار حمله را متوقف کند. همچنین در آن پست متوجه یک کامنت جالب شدیم: «ما به شدت توسط بات‌های SPAM واقع در آمازون AWS و گوگل کلاود مورد حمله قرار گرفته‌ایم. آیا می‌دانید که فایروال سوکوری می‌تواند کمک کند یا خیر؟

اگر تا به حال راه‌های دیگر را امتحان کرده‌اید، احتمالا باید سوکوری را امتحان کنید. اشتباه برداشت نکنید، کلاودفلر همچنان برای بسیاری سایت‌ها راه‌حلی عالی است و ما آن را به بسیاری از مشتریان خود پیشنهاد می‌کنیم. برنامه‌های گران‌تر آن‌ها با هزینه ۲۰۰ دلار در ماه نیز احتمالا به همان خوبی حمله را متوقف می‌کرد. اما همیشه خوب است که از دیگر راه‌حل‌های موجود نیز آگاه باشید. به خصوص اگر بودجه محدودی دارید.