یکی از مهم‌ترین پرسش‌هایی که صاحبان کسب‌و‌کارها دارند این است که DDoS Mitigation چیست؟ واقعیت این است که از شبکه‌های کوچک گرفته تا بزرگ، همگی در معرض حمله‌های DDoS قرار دارند. به‌همین‌دلیل همواره باید برای محافظت در برابر حملات شبکه از راه‌کار DDoS Mitigation استفاده کرد. انجام این‌کار می‌تواند با ۲ روش کلی، یعنی استفاده از تجهیزات فیزیکی یا نرم‌افزارهای ابری انجام شود. از آن‌جایی‌که تجهیزات فیزیکی گران‌قیمت هستند و ممکن است در همه‌ی موارد قابل استفاده نباشد، DDoS Mitigation مبتنی بر کلاد می‌تواند سطح بالاتری از حفاظت را عرضه کند. در این نوشته معیارهای لازم برای خرید یک سرویس DDoS Mitigation را بررسی خواهیم کرد.

DDoS Mitigation چیست؟

DDoS Mitigation فرآیندی است که طی آن یک سرور یا شبکه در برابر حملات DDoS محافظت می‌شود. این‌کار می‌تواند با استفاده از تجهیزات مخصوص شبکه یا سرویس‌های حفاظتی مبتنی بر ابر انجام شود. در فرآیند DDoS Mitigation  چهار مرحله وجود دارد که یک سرویس‌دهنده‌ی ابری آن‌ها را انجام می‌دهد:

تشخیص

برای جلوگیری از حمله DDoS، یک وب‌سایت باید بتواند حمله را از حجم بالای ترافیک معمولی و مجاز که به دلایل گوناگون ایجاد می‌شود، تشخیص دهد. اگر انتشار یک محصول یا هر رویداد دیگری باعث ایجاد بازدید جدید شود اما سایت آن را به‌عنوان یک حمله قلمداد کند، آن‌گاه بخش قابل توجهی از زحمات انجام‌شده برای افزایش بازدید هدر خواهد رفت. بنابراین یکی از حیاتی‌ترین مراحل DDoS Mitigation این است که بتوان آن را به‌درستی تشخیص داد. بررسی IPها، توجه به الگوی حمله‌های متداول و ارزیابی داده‌های قبلی از جمله راه‌کارهایی هستند که می‌توانند در چنین مواقعی کمک‌کننده باشند.

پاسخ

در این مرحله DDoS Mitigation با حذف هوشمندانه‌ی ترافیک مخرب (ترافیک ناشی از حمله) و جذب بقیه‌ی ترافیک، به حمله پاسخ می‌دهد. شبکه با استفاده از قوانین WAF برای حمله‌های لایه‌ی اپلیکیشن (L7)، یا فرآیندهای فیلتراسیون دیگری برای هندل لایه‌های پایین‌تر (L3 و L4) مانند تقویت حافظه‌ی پنهان، ایجاد اختلال را کاهش خواهد داد.

مسیریابی

در این مرحله با مسیریابی هوشمند ترافیک که یک راه‌حل موثر برای DDoS Mitigation است، ترافیک باقی‌مانده به بخش‌های کوچک‌تر تقسیم شده و از قطع شدن سرویس جلوگیری خواهد شد.

انطباق

یک شبکه‌ی خوب، ترافیک ورودی را برای یافتن یک الگوی خاص مانند تکرار بلوک‌های IP متخلف، حمله‌های مشخص از کشورهای خاص یا پروتکل ویژه‌‌ای که به‌شکل نامناسب استفاده می‌شود، آنالیز می‌کند. این تحلیل کمک می‌کند تا ترافیک دریافتی با الگوهای حمله مقایسه شود و در نهایت شبکه از خود در برابر حملات آینده حفاظت کند.

ویژگی‌های یک سرویس DDoS Mitigation چیست؟

راه‌حل‌های سنتی برای DDoS Mitigation اصولن شامل خرید تجهیزاتی بود که به شکل On-Site استفاده می‌شد و ترافیک ورودی را فیلتر می‌کردند، اما این رویکرد شامل خرید و نگهداری تجهیزات گران‌قیمت است و اگر حمله DDoS خیلی بزرگ باشد، می‌تواند زیرساخت شبکه‌ی بالادستی را بدون توجه به تجهیزات به‌کار گرفته‌شده به‌شکل کامل از بین ببرد، به‌همین دلیل هنگام خرید سرویس DDoS Mitigation باید به ویژگی‌های خاصی از این سرویس توجه کرد. اما این ویژگی‌ها شامل چه مواردی است؟

ظرفیت شبکه

ظرفیت شبکه یک راه عالی برای محک زدن سرویس DDoS Mitigation است. این عامل، مقیاس‌پذیری یک حمله را منعکس می‌کند. برای مثال یک شبکه با ظرفیت ۱ ترابیت در ثانیه از نظر تیوری می‌تواند تا همان حجم از ترافیک را، منهای پهنای باند مورد نیاز برای حفظ عملیات معمول، مسدود کند. البته باید بدانید که بیش‌تر سرویس‌های DDoS Mitigation مبتنی بر ابر، ظرفیت چند ترابیت بر ثانیه ارایه می‌کنند که بسیار بیش‌تر از نیازهای اغلب سازمان‌ها است.

ظرفیت پردازش

علاوه‌بر ظرفیت توان عملیاتی DDoS Mitigation، باید قابلیت‌های پردازش آن را هم در نظر گرفت. سرویس‌های DDoS Mitigation اصولن با نرخ Forwarding (Mpps: میلیون بسته در ثانیه) اندازه‌گیری می‌شوند.

این روزها بروز حملاتی بالاتر از ۵۰ Mpps اتفاق غیرمعمولی نیست و برخی از آن‌ها هم ممکن است به ۲۰۰ تا ۳۰۰ Mpps هم برسند. حمله‌ای که فراتر از قدرت پردازش باشد، می‌تواند کل سیستم دفاعی را از بین ببرد. به همین خاطر لازم است پیش از تهیه‌ی سرویس DDoS Mitigation به این مورد هم دقت کرد.

تاخیر

لازم است بدانید که بعضی از سرویس‌های DDoS Mitigation ترافیک وب‌سایت یا برنامه را از خود عبور می‌دهند. اگر سرویس DDoS به شکل On-Demand باشد، آن‌گاه هنگام وقوع حمله، ترافیک به سرویس DDoS Mitigation تغییر مسیر پیدا می‌کند. اگر DDoS Mitigation همیشه روشن باشد (که مزایای بسیار زیادی هم دارد) همه‌ی ترافیک دریافتی شما از این سرویس عبور می‌کند.

نکته‌ی مهم این‌جاست که ارتباط بین مرکز داده و ارایه‌دهنده‌ی DDoS Mitigation باید بسیار هوشمندانه و کارا باشد تا از تاخیر زیاد برای کاربران جلوگیری شود.

نکاتی مانند این که سرویس‌دهنده‌ی DDoS Mitigation کدام نقطه جغرافیایی (PoP) را ارایه می‌کند و این‌که چه‌قدر به دیتاسنتر شما نزدیک است، از اهمیت بسیاری برخوردار است.

برای مثال فکر کنید شرکتی در هند قرار دارد و می‌خواهد که از سرویس DDoS Mitigation استفاده کند که تنها PoP اروپا را دارد. در چنین حالتی هر درخواست کاربر بایستی به PoP اروپا رفته و دوباره به هند بازگردد که این اتفاق تاخیر را تا چندین برابر افزایش خواهد داد.

زمان Mitigation

هنگامی که یک حمله شناسایی شد، مدت زمان مورد نیاز برای Mitigation باید در کم‌ترین حالت ممکن باشد. بیش‌تر حمله‌های DDoS می‌توانند هدف خود را در عرض چند دقیقه از بین ببرند. به همین علت در زمان خرید یک سرویس Mitigation باید به مدت زمان آن توجه ویژه‌ای داشته باشید.

Mitigation مخصوص لایه‌ی شبکه

یکی از پرسش‌های مهم در رابطه باDDoS Mitigation  این است که آیا سرویس مد نظر می‌تواند برای حمله‌های لایه‌ی شبکه هم مفید باشد؟

واقعیت این است که حملات DDoS که روی لایه‌ی شبکه انجام می‌شوند، ماهیت حجمی دارند و آسیب بسیاری را به زیرساخت‌ها وارد می‌کنند. چندین روش وجود دارد که سرویس‌دهندگان DDoS Mitigation ابری برای کاهش حملات شبکه استفاده می‌کنند. هدف همه‌ی این روش‌ها جداسازی ترافیک قانونی از ترافیک مخرب، خلاص شدن از شر بسته‌های مخرب و در عین حال اجازه دادن به بسته‌های قانونی برای رسیدن به مقصد است.

اگر قصد استفاده از سرویس‌دهنده‌های کلاد را برای کاهش حملات DDoS دارید، لازم است به روش‌هایی که آن‌ها در این حیطه استفاده می‌کنند، توجه داشته باشید. برای مثال برخی از آن‌ها از مسیریابی null استفاده می‌کنند تا همه‌ی ترافیک را به یک آدرس IP ناموجود هدایت کنند یا برخی دیگر با پنهان کردن IP سرور اصلی، از حملات مستقیم DDoS به سرور جلوگیری می‌کنند.