اليوم ، تدرك العديد من المؤسسات الآن أن دفاع DDoS أمر بالغ الأهمية للحفاظ على تجربة عملاء استثنائية. لماذا ا؟ لأنه لا شيء يقلل من أوقات التحميل أو يؤثر على تجربة المستخدم النهائي أكثر من الهجوم الإلكتروني.
كميسر للوصول إلى المحتوى والشبكات ، أصبحت الخوادم الوكيلة نقطة محورية لأولئك الذين يسعون إلى إحداث حزن للمنظمات عبر الهجمات الإلكترونية بسبب تداعيات هجوم ناجح.
مهاجمة وكيل CDN
تركت نقاط الضعف الجديدة في شبكات توصيل المحتوى (CDNs) الكثيرين يتساءلون عما إذا كانت الشبكات نفسها عرضة لمجموعة متنوعة من الهجمات الإلكترونية. فيما يلي خمس “نقاط عمياء” عبر الإنترنت يتم مهاجمتها غالبًا – وكيفية التخفيف من المخاطر:
زيادة في هجمات المحتوى الديناميكي
اكتشف المهاجمون أن معالجة طلبات المحتوى الديناميكي هي نقطة عمياء رئيسية في شبكات CDN. نظرًا لعدم تخزين المحتوى الديناميكي على خوادم CDN ، يتم إرسال جميع طلبات المحتوى الديناميكي إلى خوادم الأصل. يستفيد المهاجمون من هذا السلوك لإنشاء حركة مرور هجوم تحتوي على معلمات عشوائية في طلبات HTTP GET. تقوم خوادم CDN على الفور بإعادة توجيه حركة مرور هذا الهجوم إلى الأصل — توقعًا أن يتعامل الخادم الأصلي مع الطلبات. ومع ذلك ، في كثير من الحالات ، لا تمتلك خوادم الأصل القدرة على التعامل مع جميع طلبات الهجوم وتفشل في توفير الخدمات عبر الإنترنت للمستخدمين الشرعيين. هذا يخلق حالة الحرمان من الخدمة. يمكن للعديد من شبكات CDN تحديد عدد الطلبات الديناميكية للخادم المعرض للهجوم.
هجمات DDoS المستندة إلى SSL
تعمل هجمات DDoS المستندة إلى SSL على الاستفادة من بروتوكول التشفير هذا لاستهداف خدمات الضحية عبر الإنترنت. من السهل إطلاق هذه الهجمات ويصعب تخفيفها ، مما يجعلها مفضلة لدى القراصنة. لاكتشاف الهجمات المستندة إلى SSL والتخفيف من حدتها ، يجب على خوادم CDN أولاً فك تشفير حركة المرور باستخدام مفاتيح SSL الخاصة بالعميل. إذا لم يكن العميل على استعداد لتوفير مفاتيح SSL لمزود CDN الخاص به ، فسيتم إعادة توجيه حركة مرور هجوم SSL إلى أصل العميل. هذا يترك العميل عرضة لهجمات SSL. يمكن لمثل هذه الهجمات التي تصيب أصل العميل أن تؤدي بسهولة إلى تدمير الخدمة الآمنة عبر الإنترنت.
أثناء هجمات DDoS ، عندما يتم استخدام تقنيات جدار حماية تطبيقات الويب (WAF) ، فإن شبكات CDN لديها أيضًا ضعف كبير في قابلية التوسع من حيث عدد اتصالات SSL في الثانية التي يمكنها التعامل معها. يمكن أن تنشأ مشكلات خطيرة تتعلق بوقت الاستجابة. تعد PCI ومشكلات الامتثال الأمني الأخرى أيضًا مشكلة لأنها تحد من مراكز البيانات التي يمكن استخدامها لخدمة العملاء. يمكن أن يؤدي ذلك إلى زيادة زمن الوصول ويسبب مشاكل في التدقيق.
ضع في اعتبارك أن هذه المشكلات تتفاقم مع الترحيل الهائل من خوارزميات RSA إلى ECC والخوارزميات المستندة إلى DH.
الهجمات على الخدمات غير التابعة لـ CDN
غالبًا ما يتم تقديم خدمات CDN فقط لتطبيقات HTTP / S و DNS. لا يتم تقديم الخدمات والتطبيقات الأخرى عبر الإنترنت في مركز بيانات العميل ، مثل VoIP والبريد و FTP والبروتوكولات الاحتكارية ، بواسطة CDN. لذلك ، لا يتم توجيه حركة المرور إلى هذه التطبيقات عبر شبكة CDN. يستغل المهاجمون هذه النقطة العمياء ويشنون هجمات على مثل هذه التطبيقات. إنهم يضربون أصل العميل بهجمات واسعة النطاق تهدد بإشباع أنبوب الإنترنت للعميل. تصبح جميع التطبيقات في منشأ العميل غير متاحة للمستخدمين الشرعيين بمجرد تشبع أنبوب الإنترنت ، بما في ذلك التطبيقات التي تخدمها شبكة CDN.
هجمات IP المباشرة
حتى التطبيقات التي تخدمها CDN يمكن مهاجمتها بمجرد أن يطلق المهاجمون ضربة مباشرة على عنوان IP لخوادم الويب في مركز بيانات العميل. يمكن أن تكون هذه هجمات فيضانات مستندة إلى الشبكة مثل oods UDP أو ICMP التي لن يتم توجيهها من خلال خدمات CDN وستصل مباشرة إلى خوادم العميل. يمكن لمثل هذه الهجمات على الشبكة الحجمية أن تشبع أنبوب الإنترنت. ينتج عن ذلك تدهور في التطبيق والخدمات عبر الإنترنت ، بما في ذلك تلك التي تخدمها CDN.
هجمات تطبيقات الويب
حماية CDN من التهديدات محدودة وتعرض تطبيقات الويب الخاصة بالعميل لتسرب البيانات والسرقة والتهديدات الأخرى الشائعة مع تطبيقات الويب. معظم إمكانيات WAF المستندة إلى CDN ضئيلة للغاية ، ولا تغطي سوى مجموعة أساسية من التوقيعات والقواعد المحددة مسبقًا. العديد من WAFs المستندة إلى CDN لا تتعلم معلمات HTTP ولا تنشئ قواعد أمان إيجابية. لذلك ، لا تستطيع WAFs الحماية من هجمات يوم الصفر والتهديدات المعروفة. للشركات التي توفر ضبطًا لتطبيقات الويب في WAF الخاصة بهم، التكلفة مرتفعة للغاية للحصول على هذا المستوى من الحماية. بالإضافة إلى النقاط العمياء التي تم تحديدها ، فإن معظم خدمات أمان CDN ببساطة لا تستجيب بشكل كافٍ ، مما يؤدي إلى تكوينات الأمان التي تستغرق ساعات لنشرها يدويًا. تستخدم خدمات الأمن تقنيات (على سبيل المثال ، حد المعدل) التي أثبتت عدم فعاليتها في السنوات الأخيرة وتفتقر إلى القدرات مثل تحليل سلوك الشبكة وآليات التحدي والاستجابة وغير ذلك.
إيجاد فتحات الري
تدور نواقل هجوم البئر المائي حول إيجاد الحلقة الأضعف في سلسلة التكنولوجيا. غالبًا ما تستهدف هذه الهجمات النسيان أو التغاضي عنها أو لا تخضع لعمليات آلية. يمكن أن تؤدي إلى دمار لا يصدق. فيما يلي قائمة بعينة من أهداف ثقب الري:
- متاجر التطبيقات
- خدمات التحديث الأمني
- خدمات اسم المجال
- مستودعات الرموز العامة لبناء مواقع الويب
- منصات تحليلات الويب
- تحديد الهوية والوصول إلى منصات تسجيل الدخول الأحادي
- كود المصدر المفتوح شائع الاستخدام من قبل البائعين
- البائعين الخارجيين الذين يشاركون في الموقع
كان هجوم DDoS على Dyn في عام 2016 أفضل مثال على تقنية ناقلات المياه حتى الآن. ومع ذلك ، نعتقد أن هذا الموجه سيكتسب زخماً مع اقتراب 2018 و 2019 حيث تبدأ الأتمتة في انتشار كل جانب من جوانب حياتنا.
مهاجمة من الجانب
من نواحٍ عديدة ، تعتبر القنوات الجانبية هي ناقلات الهجوم الأكثر غموضًا وإبهامًا. تهاجم هذه التقنية سلامة موقع الشركة من خلال مجموعة متنوعة من التكتيكات:
- DDoS مزود تحليلات الشركة
- هجوم القوة الغاشمة ضد جميع المستخدمين أو ضد جميع الشركات التابعة للموقع
- قم بنقل هاتف المسؤول وسرقة معلومات تسجيل الدخول
- تحميل هائل على “تنقيط الصفحة”
- شبكات الروبوت الكبيرة “لتعلم” خصوصيات وعموميات الموقع