یکی از مهمترین پرسشهایی که صاحبان کسبوکارها دارند این است که DDoS Mitigation چیست؟ واقعیت این است که از شبکههای کوچک گرفته تا بزرگ، همگی در معرض حملههای DDoS قرار دارند. بههمیندلیل همواره باید برای محافظت در برابر حملات شبکه از راهکار DDoS Mitigation استفاده کرد. انجام اینکار میتواند با ۲ روش کلی، یعنی استفاده از تجهیزات فیزیکی یا نرمافزارهای ابری انجام شود. از آنجاییکه تجهیزات فیزیکی گرانقیمت هستند و ممکن است در همهی موارد قابل استفاده نباشد، DDoS Mitigation مبتنی بر کلاد میتواند سطح بالاتری از حفاظت را عرضه کند. در این نوشته معیارهای لازم برای خرید یک سرویس DDoS Mitigation را بررسی خواهیم کرد.
DDoS Mitigation چیست؟
DDoS Mitigation فرآیندی است که طی آن یک سرور یا شبکه در برابر حملات DDoS محافظت میشود. اینکار میتواند با استفاده از تجهیزات مخصوص شبکه یا سرویسهای حفاظتی مبتنی بر ابر انجام شود. در فرآیند DDoS Mitigation چهار مرحله وجود دارد که یک سرویسدهندهی ابری آنها را انجام میدهد:
تشخیص
برای جلوگیری از حمله DDoS، یک وبسایت باید بتواند حمله را از حجم بالای ترافیک معمولی و مجاز که به دلایل گوناگون ایجاد میشود، تشخیص دهد. اگر انتشار یک محصول یا هر رویداد دیگری باعث ایجاد بازدید جدید شود اما سایت آن را بهعنوان یک حمله قلمداد کند، آنگاه بخش قابل توجهی از زحمات انجامشده برای افزایش بازدید هدر خواهد رفت. بنابراین یکی از حیاتیترین مراحل DDoS Mitigation این است که بتوان آن را بهدرستی تشخیص داد. بررسی IPها، توجه به الگوی حملههای متداول و ارزیابی دادههای قبلی از جمله راهکارهایی هستند که میتوانند در چنین مواقعی کمککننده باشند.
پاسخ
در این مرحله DDoS Mitigation با حذف هوشمندانهی ترافیک مخرب (ترافیک ناشی از حمله) و جذب بقیهی ترافیک، به حمله پاسخ میدهد. شبکه با استفاده از قوانین WAF برای حملههای لایهی اپلیکیشن (L7)، یا فرآیندهای فیلتراسیون دیگری برای هندل لایههای پایینتر (L3 و L4) مانند تقویت حافظهی پنهان، ایجاد اختلال را کاهش خواهد داد.
مسیریابی
در این مرحله با مسیریابی هوشمند ترافیک که یک راهحل موثر برای DDoS Mitigation است، ترافیک باقیمانده به بخشهای کوچکتر تقسیم شده و از قطع شدن سرویس جلوگیری خواهد شد.
انطباق
یک شبکهی خوب، ترافیک ورودی را برای یافتن یک الگوی خاص مانند تکرار بلوکهای IP متخلف، حملههای مشخص از کشورهای خاص یا پروتکل ویژهای که بهشکل نامناسب استفاده میشود، آنالیز میکند. این تحلیل کمک میکند تا ترافیک دریافتی با الگوهای حمله مقایسه شود و در نهایت شبکه از خود در برابر حملات آینده حفاظت کند.
ویژگیهای یک سرویس DDoS Mitigation چیست؟
راهحلهای سنتی برای DDoS Mitigation اصولن شامل خرید تجهیزاتی بود که به شکل On-Site استفاده میشد و ترافیک ورودی را فیلتر میکردند، اما این رویکرد شامل خرید و نگهداری تجهیزات گرانقیمت است و اگر حمله DDoS خیلی بزرگ باشد، میتواند زیرساخت شبکهی بالادستی را بدون توجه به تجهیزات بهکار گرفتهشده بهشکل کامل از بین ببرد، بههمین دلیل هنگام خرید سرویس DDoS Mitigation باید به ویژگیهای خاصی از این سرویس توجه کرد. اما این ویژگیها شامل چه مواردی است؟
ظرفیت شبکه
ظرفیت شبکه یک راه عالی برای محک زدن سرویس DDoS Mitigation است. این عامل، مقیاسپذیری یک حمله را منعکس میکند. برای مثال یک شبکه با ظرفیت ۱ ترابیت در ثانیه از نظر تیوری میتواند تا همان حجم از ترافیک را، منهای پهنای باند مورد نیاز برای حفظ عملیات معمول، مسدود کند. البته باید بدانید که بیشتر سرویسهای DDoS Mitigation مبتنی بر ابر، ظرفیت چند ترابیت بر ثانیه ارایه میکنند که بسیار بیشتر از نیازهای اغلب سازمانها است.
ظرفیت پردازش
علاوهبر ظرفیت توان عملیاتی DDoS Mitigation، باید قابلیتهای پردازش آن را هم در نظر گرفت. سرویسهای DDoS Mitigation اصولن با نرخ Forwarding (Mpps: میلیون بسته در ثانیه) اندازهگیری میشوند.
این روزها بروز حملاتی بالاتر از ۵۰ Mpps اتفاق غیرمعمولی نیست و برخی از آنها هم ممکن است به ۲۰۰ تا ۳۰۰ Mpps هم برسند. حملهای که فراتر از قدرت پردازش باشد، میتواند کل سیستم دفاعی را از بین ببرد. به همین خاطر لازم است پیش از تهیهی سرویس DDoS Mitigation به این مورد هم دقت کرد.
تاخیر
لازم است بدانید که بعضی از سرویسهای DDoS Mitigation ترافیک وبسایت یا برنامه را از خود عبور میدهند. اگر سرویس DDoS به شکل On-Demand باشد، آنگاه هنگام وقوع حمله، ترافیک به سرویس DDoS Mitigation تغییر مسیر پیدا میکند. اگر DDoS Mitigation همیشه روشن باشد (که مزایای بسیار زیادی هم دارد) همهی ترافیک دریافتی شما از این سرویس عبور میکند.
نکتهی مهم اینجاست که ارتباط بین مرکز داده و ارایهدهندهی DDoS Mitigation باید بسیار هوشمندانه و کارا باشد تا از تاخیر زیاد برای کاربران جلوگیری شود.
نکاتی مانند این که سرویسدهندهی DDoS Mitigation کدام نقطه جغرافیایی (PoP) را ارایه میکند و اینکه چهقدر به دیتاسنتر شما نزدیک است، از اهمیت بسیاری برخوردار است.
برای مثال فکر کنید شرکتی در هند قرار دارد و میخواهد که از سرویس DDoS Mitigation استفاده کند که تنها PoP اروپا را دارد. در چنین حالتی هر درخواست کاربر بایستی به PoP اروپا رفته و دوباره به هند بازگردد که این اتفاق تاخیر را تا چندین برابر افزایش خواهد داد.
زمان Mitigation
هنگامی که یک حمله شناسایی شد، مدت زمان مورد نیاز برای Mitigation باید در کمترین حالت ممکن باشد. بیشتر حملههای DDoS میتوانند هدف خود را در عرض چند دقیقه از بین ببرند. به همین علت در زمان خرید یک سرویس Mitigation باید به مدت زمان آن توجه ویژهای داشته باشید.
Mitigation مخصوص لایهی شبکه
یکی از پرسشهای مهم در رابطه باDDoS Mitigation این است که آیا سرویس مد نظر میتواند برای حملههای لایهی شبکه هم مفید باشد؟
واقعیت این است که حملات DDoS که روی لایهی شبکه انجام میشوند، ماهیت حجمی دارند و آسیب بسیاری را به زیرساختها وارد میکنند. چندین روش وجود دارد که سرویسدهندگان DDoS Mitigation ابری برای کاهش حملات شبکه استفاده میکنند. هدف همهی این روشها جداسازی ترافیک قانونی از ترافیک مخرب، خلاص شدن از شر بستههای مخرب و در عین حال اجازه دادن به بستههای قانونی برای رسیدن به مقصد است.
اگر قصد استفاده از سرویسدهندههای کلاد را برای کاهش حملات DDoS دارید، لازم است به روشهایی که آنها در این حیطه استفاده میکنند، توجه داشته باشید. برای مثال برخی از آنها از مسیریابی null استفاده میکنند تا همهی ترافیک را به یک آدرس IP ناموجود هدایت کنند یا برخی دیگر با پنهان کردن IP سرور اصلی، از حملات مستقیم DDoS به سرور جلوگیری میکنند.