تناولت التقارير الإحصائية المرتبطة بالأمن السيبراني نهاية العام 2022 العديد من الاتجاهات.المؤثرة على هجوم رفض الخدمة الموزع (DDoS). و منها انتشار شبكات الروبوتات ، التداخلات الاجتماعية والسياسية ، و كذلك تستعرض الأضرار الجانبية. إن الشيء المشترك بين هذه الاتجاهات هو أنها تعرقل إجراءات الدفاع السيبراني بمواجهة هجمات DDoS الشائعة. يسبب ذلك أقصى قدر من الضرر للأهداف الضحية و جوارها. تحاول DDoS دائماً تعطيل الخدمات ، وزعزعة الاستقرار ، و التأثير السلبي على التوافر و هو ثالث ركائز أمن المعلومات. للأسف، غالباً ما تحقق هذه الهجمات أهدافها . الشيء الوحيد الذي يمكن أن يمنع نجاحها هو شبكة جيدة التصميم مع أنظمة ذكية لتخفيف DDoS .
يشارك روبودين هذا المقال الذي يعرض للفرضيات الخاطئة عن هجمات الـ DDOS. قد تؤثر تلك الفرضيات على فعالية جهود المدافعين السيبرانيين فتدفعهم لاتخاذ خيارات خاطئة أو تجعلهم ضحية الثقة الزائفة في حلول لا توفر الحماية المطلوبة.
فرضية أن هجوم رفض الخدمة الموزع لن يحدث
تتبنى العديد من المنظمات وجهة نظر خاطئة مفادها أن DDoS إما أنه من المستحيل إيقافه أو أنه ببساطة لن يستهدفها. يشبه ذلك افتراض أن الكوارث الطبيعية إما أنها غير موجودة في موقعك أو لا أنه يمكن التخفيف من تأثيرها. لكن الخطوة الأولى في مواجهة الواقع تتطلب التخلي عن هذه الافتراضات المسبقة. على العكس من ذلك، نلاحظ أن مجموعة متنوعة من الكوارث الطبيعية ، مثل الفيضانات وحرائق الغابات والعواصف تضرب العديد من الأماكن حول العالم حتى في مناطق كانت تعتبر آمنة نسبياً في السابق. يبدو المناخ العالمي معقداً للغاية ، وينطبق هذا أيضاً على الانترنت.
ومع ذلك ، حتى عندما يواجه البعض أحداثاً بحجم هجوم رفض الخدمة الموزع فقد يبدو من الأسهل لهم التفكير في أنه لا يوجد شيء يمكن القيام به لحماية أصول مؤسساتهم. ببساطة ليس ذلك صحيحاً.
في الأماكن التي تنتشر فيها الكوارث ، تتخذ المجتمعات نهجاً عملياً اعتماداً على بنى أكثر مرونة كما تتعلم من الأحداث الماضية و تسقط ما تعلمته على جهودها لتحسين الدفاعات و الحماية تجاه أي أحداث مستقبلية. بل أنه حتى في المناطق التي نادراً ما تتأثر بالكوارث، لا يزال بإمكاننا التعلم من الآخرين الذين مروا بالفعل بأحداث وأخذ خبرتهم التصميمية بعين الاعتبار لتحسين وضعنا.
وبنفس الطريقة ، فإن أفضل الممارسات للدفاع ضد DDoS مختبرة جيداً ويمكن تنفيذها من قبل أي منظمة لديها الرؤية و الرغبة للقيام بذلك.
فرضية الحماية الزائفة
تعد جدران الحماية جزءاً أساسياً من من طبقات الأمان. إنها تلعب دوراً مهماً كشرطي مرور على الشبكة. فهي توقف حركة المرور غير المرغوب فيها بناءً على معلومات محددة مسبقاً مثل المصدر والوجهة والمنفذ والبروتوكول. ولكن على الرغم من أن جدران الحماية يمكنها إيقاف الكثير من حركة المرور غير المعروفة وغير المرغوب فيها ، إلا أنها لا تستطيع بسهولة اكتشاف حركة المرور الضارة . تمر تلك الحركة عبر البروتوكولات والمنافذ الموثوقة مثل HTTP / S أو DNS أو IMAP. علاوة على ذلك ، من الشائع نشر جدران حماية تطبيقات الويب (WAFs) لإيقاف DDoS التي تستهدف طبقة التطبيقات. لكنها تركز فحصها لحركة المرور على تلك المرتبطة بالويب ، وبالتالي لا يمكنها رؤية غالبية حركة مرور هجمات DDoS.
عادةً ما توفر جدران الحماية (بما في ذلك WAFs) خدمة وكيل proxy للتطبيقات المستندة إلى بروتوكول TCP. يكشف هذا الوكيل فقط عنوان IP العام لجدار الحماية ويترجمه إلى عناوين IP خاصة داخل المحيط. ومع ذلك ، فإن وجود هذا البروكسي سيكون على حساب الحفاظ على جداول حالة TCP (TCP stat). هذه الجداول يمكن أن يطغى عليها هجوم الـ DDoS بسهولة.
في النهاية ، في حين أن جدران الحماية يمكن أن تخفف بعض أنواع DDoS ، فإنها غالباً ما تكون أهدافاً ضعيفة تساهم في انقطاع الشبكة أو فشلها. على هذا النحو ، يحتاجون إلى الحماية بواسطة حل DDoS stateless المصمم لهذا الغرض.
فرضية الحلول المجتزأة
تم تصميم شبكات توصيل المحتوى (CDNs) لتوزيع محتوى (معظمه من الويب) على نطاق واسع ، مما يجعله أقرب ما يمكن إلى المستخدم النهائي. يساهم ذلك في تحسين الأداء والموثوقية ووقت الاستجابة وما إلى ذلك. بحكم بنيتها و تصميمها ، فهي مناسبة تماماً لاستيعاب الزيادات الكبيرة في حركة المرور. في الواقع ، يهدف جزء من التصميم إلى تجاوز هذه الزيادات المفاجئة ، سواءاً كانت حميدة (مثل التصحيحات أو توزيعات ترقية نظام التشغيل) أو ضارة (مثل حركة مرور هجمات DDoS). في الواقع ، يمكن أن تكون شبكات CDN فعالة جداً في التخفيف من هجمات DDoS عندما تكون الموارد الواقعة ضمن بنيتها التحتية هي الهدف.
لسوء الحظ ، لا تقدم CDNs سوى جزء من الحل. على الرغم من أن العديد من هجمات DDoS تستهدف موارد وتطبيقات الويب ، إلا أن غالبيتها لا تفعل ذلك. هذا يعني أن المنظمة التي تعتمد على حماية DDoS القائمة على CDN لا تزال عرضة لمعظم نواقل هجمات DDoS. في الواقع ، لديها ذات الثغرة الأمنية الموجودة في الـ WAFs و التي شرحناها في الفقرة السابقة. ومن المفارقات ، أن العديد من حلول DDoS المستندة إلى CDN تقترن مع WAFs .
على الرغم من أن WAF + CDN يعد بالتأكيد تحسيناً ملحوظاً للحماية، إلا أن هذه البنية لا تزال غير قادرة على رؤية غالبية حركة مرور DDoS. بالتأكيد ، يمكن لشبكات CDN أن تخفف بشكل فعال من هجمات DDoS التي تعبر بنيتها التحتية. ومع ذلك ، تظل التطبيقات والخدمات التي لا يتم تقديمها عبر شبكة CDN عرضة للخطر وتحتاج إلى الحماية بواسطة حل DDoS stateless المبني لهذا الغرض.
أفضل الممارسات الحالية للتخفيف من هجوم رفض الخدمة الموزع
أفضل الممارسات المقبولة على نطاق واسع لتخفيف DDoS هي بناء نهج متعدد الطبقات يوفر الدفاع في العمق . يتضمن ذلك الجمع بين الحماية المستندة إلى السحابة أو الحماية الأولية من الإغراق بهجمات الـ DDoS. يضاف لما سبق أنظمة تخفيف DDoS المصممة للدفاع ضد جميع وجهات DDoS التي تستهدف أي بروتوكول أو تطبيق. يمكن توفير طبقة أخرى من الحماية من خلال تغذية في الوقت الفعلي real-time لمعلومات تهديدات DDoS . تضمن هذه الطبقة النهائية أن الحل جاهز دائماً للتصدي لأحدث نواقل التهديدات. يمكن ذلك المنظمات من الاستجابة تلقائياً و التعامل مع تهديدات DDoS.
