تسجيل حساب Google Cloud: استخدم Google Cloud Armor للدفاع بسهولة ضد خدمة رفض التوزيع على مستوى المليون (DDoS)
الأصدقاء الذين يعملون كمحطات مستقلة في البحر المفتوح ، أو التجارة الإلكترونية عبر الحدود ، أو التطبيقات التي تذهب إلى البحر ، "العالم السفلي عبر الإنترنت" الأكثر خوفًا من مواجهتها
هجوم حجب الخدمة الموزع (DDoS)
.
قد تكون هجمات DDoS التقليدية مجرد حشو بوقاحة لعرض النطاق الترددي لخادمك بحركة مرور غير مرغوب فيها. لكن اليوم ، تطورت أساليب المتسللين منذ فترة طويلة: سوف يتلاعب بآلاف عناوين IP الفروج الحقيقية في الخارج ، متنكرين كمستخدمين عاديين ، وتحديث الصفحات الأكثر استهلاكًا من حيث التكلفة على موقعك المستقل (مثل البحث عن المنتج ، صفحة تسوية عربة التسوق). هذا فظيع
هجوم CC (هجوم طبقة التطبيق Layer 7)
. في ظل هذا القصف الموزع المتزامن على مستوى المليون ، يصبح جدار الحماية العادي عبثًا ، وسيتم ملء وحدة المعالجة المركزية للخادم الخلفي على الفور في غضون ثوانٍ قليلة ، مما يؤدي إلى شلل كامل.
الأمر الأكثر إثارة للاشمئزاز هو أن المتسللين غالبًا ما يختارون اللحظة الذهبية لترويج "Black Five" الخاص بك ، أو عندما تنفجر إعلانات Facebook ، ثم يتركون عنوان محفظة Bitcoin لابتزازك. في هذا الوقت ، يعني الشلل لمدة دقيقة أخرى أن نفقات الإعلان التي لا حصر لها قد أحرقت عبثًا.
في بيئة Google Cloud(GCP ، Google Cloud) ، هناك بوابة مقاومة عالية تستخدم خصيصًا لتجاوز هذه الحركة الضارة ، والتي تسمى
غوغل كلاود أرمور
.
ثقتها الأساسية صعبة للغاية:
شبكة الحافة التي تعتمد مباشرة على Google Global Daming (Global LB)
. هذا يعني أن ملايين حركة مرور القرصنة المتزامنة قد تم حظرها وتنظيفها في غرف الكمبيوتر الهامشية من Google حول العالم قبل أن تلمس بطاقة شبكة الخادم الخاصة بك.
اليوم نرفض أي تعاليم رسمية ولا نتردد اتفاقيات الشبكة المملة. بدءًا من القتال الفعلي الخالص ، ستأخذك المقبض إلى مجموعة من نظام دفاع Cloud Armor على مستوى المصنع الكبير لحام مجموعة من الدروع الواقية للبدن الصلبة لعملك في البحر.
المرحلة الأولى: التفكيك العميق ، نموذج Cloud Armor العالمي "ضربة منخفضة الأبعاد"
قبل بدء تشغيل وحدة التحكم ، يجب عليك إنشاء نموذج تشغيل مادي للطبقة السفلية من Cloud Armor في عقلك ، وإلا سيكون من الصعب عليك فهم سبب قدرته على تحمل مليون التزامن الذي يعاني منه المصنع الكبير.
يمكن تلخيص تدفق البيانات الأساسية لنظام الدفاع بأكمله في دائرة دفاعية من طبقتين:
اللفة الأولى: موازنة تحميل Google العالمية (البوابة الأمامية): عندما يزور المستخدمون العالميون موقع الويب الخاص بك ، تدخل حركة المرور أولاً إلى موازن تحميل التطبيقات الخارجية العالمي من Google (Global External Application Load Balancer). تتمتع هذه البوابة بشكل طبيعي بقدرة التحكم في الفيضانات غير محدودة لـ Layer 3/4 (طبقة الشبكة/طبقة النقل). يتم استيعاب هجمات تكبير SYN Flood و UDP التقليدية مباشرة بواسطة شبكة الأجهزة الأساسية من Google هنا ، ولا تحتاج إلى دفع فلس إضافي على الإطلاق.
اللفة الثانية: سياسة أمان Cloud Armor
قليلاً (قرص الغسيل الأساسي): عندما يتم حظر حركة المرور الوقحة من قبل الباب ، فإن الطلبات الخبيثة لطبقة تطبيق L7 (HTTP/HTTPS) التي يتم تمويهها مثل المستخدمين العاديين ستظل تحفر. في هذا الوقت ، فتحت Cloud Armor ، التي تم تحميلها على معادلة التحميل ، عين السماء رسميًا. وفقًا للقواعد التي كتبتها أو نموذج التعلم الآلي الذي طولته Google ذاتيًا ، سيعيد طلب البريد العشوائي إلى 403 على الفور في غضون بضعة مللي ثانية ، وسيطلق فقط حركة مرور المشتري الحقيقية إلى الجهاز الظاهري أو الحاوية الخلفية.
المرحلة الثانية: تدريب عملي-تكوين مجموعة إستراتيجية Cloud Armor الأساسية
تأكد من أن الموقع المستقل الخاص بك أو تطبيق الويب قد تم إنشاؤه في GCP
موازن تحميل التطبيقات الخارجية (Load Balancer)
النهاية الخلفية. بعد ذلك ، نذهب إلى الواجهة لبناء بوابة دفاع عالية.
تسجيل الدخول
وحدة تحكم GCP
، ابحث عن قائمة التنقل في الزاوية اليسرى العلوية
"الأمن السيبراني (Network Security)"-> "Cloud Armor"
.
انقر في الأعلى
”إنشاء استراتيجية (Create policy)“
، أدخل ساحة المعركة الأساسية.
الخطوة 1: وضع مخطط استراتيجي للأمن
الاسم: اسم prod-anti-ddos-policy.
نوع السياسة: اختر "سياسة الأمان الخلفية".
الإجراء الافتراضي: يجب تحديد "السماح (Allow)". القاعدة الفنية غير المعلنة للمهندس المعماري: هذا يعني "الإفراج الافتراضي". بمعنى آخر ، ما لم تصطدم حركة المرور بقواعد القائمة السوداء التي كتبناها بعد ذلك ، فسيتم اعتبارهم جميعًا أشخاصًا صالحين.
الخطوة 2: لحام الأسلاك الشائكة الأولى-فنون الدفاع عن النفس في العالم ، ولكن "الحد من التدفق" غير مكسور (Rate Limiting)
الطريقة المادية الأكثر أهمية للتعامل مع هجوم CC بتمرير صفحات البحث عالية التردد لملايين الدجاج اللاحم هي
الحد من المعدل
.
في صفحة السياسة ، انقر على "إضافة قاعدة".
النوع: حدد "الحد الأقصى للمعدل".
شرط المطابقة: املأ الوثيقة (مما يعني أن قاعدة تقييد التدفق سارية المفعول لجميع حركة المرور التي تدخل العالم).
إعداد عتبة الحد الحالي (التركيز): عدد الطلبات: أدخل 100. الفاصل الزمني: اختر 1 دقيقة. مفتاح (Key): حدد "وفقًا لـ Client IP". العملية بعد تجاوز العتبة: حدد "429(Too Many Requests)". التفسير الشعبي للمنطق الأساسي: تتم ترجمة هذه القاعدة على النحو التالي: "أي عنوان IP في العالم ، إذا تجرأت على إرسال أكثر من 100 طلب HTTP إلى موازن التحميل الخاص بي في غضون دقيقة واحدة ، أعتقد أنه ليس إنسانًا عاديًا ، ويعود الطلب التالي مباشرة إلى 429 للإبلاغ عن الخطأ وحبسه خارج الباب ، لا تدع طلبه يدخل الخادم الخاص بي."
الخطوة 3: لحام الأسلاك الشائكة الثانية-مفتاح واحد لمنع مخاطر عالية
البلد أو قطاع IP الضار
في بعض الأحيان خلال فترة الترويج ، ستجد أن تدفق القمامة الذي يضرب الجدار بجنون يأتي من بلد معين لا علاقة له بعملك (مثل مجموعة IP معينة من الإنتاج الأسود).
انقر على "إضافة قواعد" مرة أخرى ، واختر "سياسة الأمان" من النوع.
العملية: حدد "Deny" واختر رمز الحالة 403.
وضع المطابقة: حدد الوضع المتقدم وأدخل وظيفة الموقع الجغرافي المضمنة في Google في التعبير: Plaintextorigin.region_code = = 'CN' | | origin.region_code = = "RU" (ملاحظة: يعني هذا السطر من القواعد أنه إذا كان جميع المشترين الأساسيين في أوروبا والولايات المتحدة ، فيمكنك اختيار مفتاح واحد لحماية جميع الطلبات من المناطق الأخرى عالية الخطورة.)
الأولوية (Priority): أدخل 900.
القصة الداخلية للتشغيل والصيانة للمصنعين الكبار: قاعدة Cloud Armor هي أنه كلما كان الرقم أصغر ، زادت الأولوية. القاعدة الافتراضية هي 2147483647 (التنفيذ الأخير). لقد حددنا أولوية قائمة سوداء محددة على 900 والحد الأقصى على 1000. بهذه الطريقة ، سيتم تبخير حركة المرور في المناطق عالية الخطورة مباشرة بواسطة شبكة الاعتراض 900 قبل الدخول في فحص التدفق المحدود.
الخطوة 4: تفعيل قواعد WAF (الدفاع ضد حقن SQL مع XSS)
أثناء إجراء DDoS عليك ، سيحاول العديد من المتسللين أيضًا اكتشاف نقاط الضعف في موقع الويب الخاص بك باستخدام البرامج النصية الآلية. تدمج Cloud Armor داخليًا معايير الصناعة
OWASP Top 10 مجموعة قواعد WAF محددة مسبقًا
.
انقر فوق إضافة قاعدة ، واستدعاء رمز Google المغلف مباشرة في التعبير المطابق: PlaintextevaluatePreconfiguredExpr('sqli-v33-stable ') | | evaluatePreconfiguredExpr('xss-v33-stable')
العملية: اختر "Deny (403)".
الأولوية: تعيين 800. مع هذا السطر من التعليمات البرمجية ، سيتم اعتراض جميع هجمات البرمجة النصية عبر المحطات (XSS) واكتشاف حقن SQL على الفور في عقدة الحافة ، ولا تحتاج حتى إلى كتابة سطر من رموز الحماية.
الخطوة 5: دمج استراتيجية لتركيب موازن التحميل الخاص بك
بعد الانتهاء من جميع القواعد ، انقر على التالي. في
"أهداف التطبيق (Apply to targets)"
في علامة التبويب ، انقر على إضافة هدف ،
حدد بدقة الخدمة الخلفية لمعادل تحميل HTTP(S) الخارجي الذي تفتح فيه الباب لالتقاط العملاء
.
انقر على إنشاء. انتظر حوالي 1 ~ في غضون دقيقتين ، ستتم مزامنة المجموعة الكاملة لقواعد الدفاع العالي مع جميع عقد PoP الحافة في Google في جميع أنحاء العالم مثل البرق.
المرحلة الثالثة: تمرين حقيقي في الموقع-اختبار "اصطدام الجسد بالحائط"
للتحقق من أن الدفاع ولد حقا
يعمل ، لا نحتاج إلى توظيف المتسللين ، يمكننا استخدام أدوات اختبار الإجهاد محليًا (مثل
Ab
أو
ها هو
) لمحاكاة الهجمات عالية التردد.
في محطة الكمبيوتر المحلية الخاصة بك ، قم بإطلاق موجة شرسة من عمليات الشحن على نطاق الموقع المستقل الخاص بك (محاكاة إرسال 200 طلب على التوالي في ثانية واحدة):
باش
Hey-n 200 -c 10 https://www.yourshop.com/
شاهد لحظة المعجزة
بعد تشغيل الأداة ، ستجد أنه في تقرير النتائج الذي تم إرجاعه ، تم إرجاع أول 100 طلب بدقة
200 موافق
(يعني أنك حصلت على صفحة الويب كمستخدم عادي) ؛ و
بعد 100 طلب ، تمت إعادة 100 ٪ من جميع الطلبات 429 Too Many Requests أو 403 Forbidden
.
في هذا الوقت ، يمكنك إلقاء نظرة على مؤشرات مراقبة وحدة المعالجة المركزية لخادم المحطة الخلفية المستقلة ، وهي مستقرة مثل جبل تاي ، ولا يوجد حتى منحنى تقلب إضافي. نظرًا لأن آخر 100 طلب غير مرغوب فيه يكفي لإسقاط الخادم الخاص بك ، فقد تم تصويره بلا رحمة على الشاطئ بواسطة Cloud Armor عند بوابة Google.
المرحلة الرابعة: تاريخ الدم والدموع في هيكل الدفاع عالي المستوى التجاري
بعد تكوين هذه المجموعة من البرامج ، سيتراجع المتسللون العاديون واللصوص الصغار بشكل أساسي عندما يرون أنك تعلق Cloud Armor. ومع ذلك ، في بيئة حركة المرور عبر الوطنية الحقيقية ، عادة ما يتعين على مهندسي التشغيل والصيانة حل الفترتين الواقعتين التاليتين:
1. إصابة أنابيب المياه الكبيرة عن طريق الخطأ-كن حذرًا من "بوابة الدفع" و "الزواحف المعروفة" كقراصنة
بعد تشغيل حد IP للعميل العالمي ، ستتلقى قريبًا مجموعة من الأخطاء الذكية: على سبيل المثال ، فشل رد الدفع في PayPal أو Stripe من حين لآخر ، أو فشل زواحف محرك البحث الرسمي من Google فجأة في الزحف إلى صفحة المنتج الخاصة بك.
تفكيك السبب: لأن بوابة الدفع وزواحف Google ترسل أيضًا طلبات عالية التردد إلى موقع الويب الخاص بك. من وجهة نظر Cloud Armor ، فإن خصائص "أنابيب المياه الكبيرة" هذه تشبه إلى حد بعيد تلك الخاصة بالدجاج اللاحم للقراصنة ، والتي يمكن أن تؤدي بسهولة إلى إصابة عرضي لتدفق الحد 429 ، مما يؤدي إلى عدم القدرة على مزامنة حالة الطلب.
الميدالية الذهبية القياسية للمهندس المعماري: في الجزء العلوي من قاعدة Cloud Armor (الأولوية هي أعلى 100) ، قم بإنشاء قاعدة قائمة بيضاء. استخدم التعبير المدمج في Google evaluatePreconfiguredExpr ("sourceip-search-engines") لإطلاق الزواحف المطابقة الرسمية مثل Google و Bing بنقرة واحدة. اكتب مقطع شبكة IP الذي تم الإعلان عنه رسميًا بواسطة Stripe أو PayPal في هذه القائمة البيضاء ، ومنحهم أعلى امتياز "رؤية المسؤولين وعدم الركوع".
2. الالتفاف النهائي للقراصنة المتقدمين-حماية "عنوان IP الخاص بمحطة المصدر الخلفية"
هذا درس دموي ودموع من عدد لا يحصى من الفرق البحرية التي دفعت عدة ملايين من رسوم الإعلان قبل شرائها. أمامك الأمامية مع توازن تحميل لا يقهر
و Cloud Armor ، ولكن إذا كان جهازك الافتراضي الخلفي (Compute Engine) مرتبطًا بطريق الخطأ بواحد
IP العام للشبكة الخارجية
، ولم يتم إيقاف تشغيل شبكة الوصول العامة العالمية 80/443.
تحدث ضربة خفض الأبعاد: لا يلمس المتسللون المخضرمون اسم المجال الخاص بك على الإطلاق. سيستخدمون أداة مسح IP العالمية للكشف مباشرة عن عنوان IP العام الحقيقي للخادم الخلفي الخاص بك. ثم تجاوز البوابة الأمامية لـ Google وحطم ملايين حركة المرور مباشرة على IP الحقيقي لخادمك. لا تملك Cloud Armor حتى فرصة إطلاق النار ، وستصاب النهاية الخلفية بالشلل مباشرة.
مواصفات الأمان الصلبة: يجب إغلاق محطة المصدر الخلفية بالكامل. قم بإزالة جميع عناوين IP العامة للشبكة الخارجية الخاصة بالأجهزة الافتراضية الخلفية واتركها تعمل على الشبكة الداخلية الخالصة. في قواعد جدار حماية VPC ، تم تكوينها على أنها "تسمح فقط بطلبات الدخول من قسم الوكيل الأمامي لمعادل تحميل Google (مثل 130.211.0.0/22 و 35.191.0.0/16)." قم بتحويل الجزء الخلفي بالكامل إلى لوح حديدي ، مما يجبر كل حركة المرور في العالم على المرور عبر الشاشة من مرشح Cloud Armor.
الخلاصة
باستخدام Google Cloud Armor للدفاع ضد هجوم Million DDoS ، يكمن جوهر المستوى الصناعي الأساسي في ستة عشر كلمة:
تنظيف الحافة ، والحد الرئيسي من التدفق ، والخصائص دقيقة ، والمصدر مغلق
.
لقد تخلصت تمامًا من حالة الضرب السلبي التي احتاجت إلى إنفاق سعر مرتفع لشراء طرف ثالث لتنظيف IP عالي الحماية ، أو تغيير جدار حماية الخادم. يتم استضافة المهام الهامة المتمثلة في الدفاع العالي ومكافحة الفيضانات مباشرة إلى الحد الأعلى للدفاع المادي لشبكة العمود الفقري العالمية من Google. بغض النظر عن مدى اضطراب المتسللين في المقدمة ، فإن محطتك المستقلة وعملك في البحر ستكون مستقرة مثل جبل تاي في الخلف ، وسيتحقق الحرير.
