حفاظت از زیرساخت در مقابل حفاظت وب | دانش مرکز داده

حفاظت از DDoS یک محصول “یک اندازه مناسب” نیست، و هنگامی که مورد حمله قرار می گیرید فشار زیادی را برای یافتن راه حل فوری احساس خواهید کرد. متأسفانه، یک راه حل نامناسب فقط در بهترین حالت حداقل محافظت را ارائه می دهد و در بدترین حالت شما را تا زمانی که حذف نشود آفلاین نگه می دارد.

شرکت Link11 دو نسخه مختلف از DDoS Protection را ارائه می دهد: حفاظت از زیرساخت و محافظت از وب. هر دو با پیاده سازی های مختلف در ذهن طراحی شده اند، به طور خاص برای دستگاه های شبکه و برنامه های کاربردی وب شما.

هر دو سرویس با هدایت ترافیک به یک مرکز تمیز کردن، فیلتر کردن ترافیک زنده از طریق چندین لایه حفاظتی از جمله فیلتر مبتنی بر هوش مصنوعی، قبل از بازگرداندن ترافیک قانونی به شما کار می کنند. سرویس‌ها را می‌توان به‌عنوان «همیشه روشن» یا «در صورت تقاضا» پیکربندی کرد، اگرچه «همیشه روشن» اکیداً توصیه می‌شود.

حفاظت از زیرساخت
از آنجایی که Infrastructure Protection برای شبکه شما است، در 3 لایه اول مدل OSI عمل می کند (شکل 1 را ببینید). به عنوان راه حل لایه 3، نمونه ها بر اساس IP هستند، مزیت آن این است که بدون توجه به پروتکل های استفاده شده در لایه های بالاتر، همان حفاظت را ارائه می دهد. همین نمونه می تواند از روترها، وب سرورها، سرورهای پست الکترونیکی، دروازه های VPN یا هر دستگاه دیگری که بر روی پروتکل IP کار می کند محافظت کند.

Picture1 smaller.png

تغییر مسیر ترافیک به Infrastructure Protection از پروتکل BGP استفاده می کند. این بدان معناست که هر نمونه قادر به محافظت از حداقل 254 دستگاه (/24 اعلامیه) است. این اعلام BGP باید مشخص ترین مسیر برای IP های شما باشد تا تمام ترافیک IP های شما به مراکز اسکراب هدایت شود. ترافیک برگشت مسیری ناهمزمان خواهد داشت زیرا برای محافظت نیازی به بازگشت از طریق Link11 ندارد (شکل 2 را ببینید).

Picture2.png

شکل 2 مسیریابی ناهمزمان

امنیت وب

Web Protection حفاظت لایه 7 را برای یک برنامه HTTP(S) ارائه می دهد. هر نمونه از Web Protection برای ارائه محافظت DDoS در برابر تهدیدات در هر لایه، از جمله حملاتی مانند SQLi و XSS (با WAF) علاوه بر حملات DDoS، برای برنامه طراحی شده است.

هدایت ترافیک به Web Protection از طریق DNS انجام می شود. پس از ارائه سرویس، یک IP امن (VIP) به شما ارائه می شود که می توانید برای رکورد DNS A برنامه های خود استفاده کنید. ترافیک ورودی فیلتر می شود و درخواست های قانونی به سرورهای شما ارسال می شود. داده های برگشتی از مبدا به Link11 و سپس برای کاربری ارسال می شود که منتظر پاسخ از VIP است که درخواست را به آن ارسال کرده است. این پاسخ همزمان همچنین مانع از یادگیری IP واقعی مبدا توسط مهاجم می شود.

تهدیدات وب

تهدیدها را می توان به طور مشابه با مدل لایه OSI با مراجعه به پروتکل ها یا فناوری مورد هدف طبقه بندی کرد. حملات سبک Flood مانند UDP flood (حتی اگر UDP یک پروتکل لایه 4 است) به عنوان حملات لایه 3 نامیده می شود. ICMP یکی دیگر از پروتکل های شناخته شده لایه 3 برای حملات DDoS مانند “Ping of Death” و “Smurf Attack” است. تهدیدات لایه 7 به طور خاص پروتکل های برنامه مانند HTTP را هدف قرار می دهند. در حالی که حملات سبک flood هنوز در لایه 7 دیده می شوند، حملات ظریف دیگری نیز وجود دارند که می توانند منابع سرور را با حداقل افزایش ترافیک مصرف کنند، مانند Slowloris.

حفاظت DDoS

نکته کلیدی برای استفاده حداکثری از DDoS Protection این است که بدانید راه حل چقدر با محیط شما سازگار است و در برابر چه تهدیدهایی آسیب پذیر هستید. قبل از بررسی حفاظت از DDoS، ابتدا فهرستی از سیستم‌های حیاتی خود و پروتکل‌هایی را که باید محافظت کنید، یا حداقل در کدام لایه از مدل OSI آن سیستم‌ها کار می‌کنند، ترتیب دهید. در مرحله بعد در نظر بگیرید که چه مقدار زمان از کار افتادگی را می توانید در آن سیستم ها تحمل کنید. دانستن اینکه دقیقاً به چه سطح حفاظتی در کدام دستگاه ها نیاز دارید، به یافتن و انتخاب حفاظت DDoS مناسب برای سیستم های شما کمک می کند.

سئو PBN | خبر های جدید سئو و هک و سرور