تعتبر هجمات طبقة 7 أصعب من الفيضانات الحجمية الأساسية لأن حركة المرور غالبًا ما تبدو وكأنها حركة مرور تطبيق طبيعية.
لا يحاول المهاجم فقط ملء عرض النطاق الترددي. بل يسعى لجعل المسارات المكلفة لديك تؤدي وظيفة:
- بحث الجلسات
- استعلامات البحث
- تدفقات تسجيل الدخول
- مسارات التشغيل أو مسارات فقدان الذاكرة المؤقتة
وهذا يعني أن الطلب قد يكون ضارًا حتى لو كان طلب HTTP صالحًا تمامًا.
لماذا تعتبر التخفيف عند الحافة مهمًا
كلما طالت مدة بقاء الطلب السيئ، زادت البنية التحتية التي يستهلكها.
لهذا السبب، يعمل التخفيف على مستوى التطبيق بشكل أفضل في أقرب وقت ممكن:
- CDN أو وكيل عكسي
- WAF
- البرمجيات الوسيطة عند الحافة
- ثم المصدر
إذا كان بالإمكان رفض طلب غير صحيح أو مريب قبل أن يصل إلى خوادم تطبيقك، فإن ذلك يعد غالبًا فوزًا كبيرًا.
السلوك يتفوق على قواعد الهوية السطحية
غالبًا ما تفشل قيود المعدل البسيطة حسب IP عندما يوزع المهاجمون حركة المرور بشكل جيد.
تأتي الإشارات المفيدة عادةً من تركيبات مثل:
- شكل الطلب
- استهداف المسارات
- أنماط الرؤوس
- توقعات الرموز أو الكوكيز
- نجاح أو فشل التحدي
لهذا السبب، فإن الضوابط السلوكية وآليات التحدي غالبًا ما تكون أكثر فعالية من مجرد حساب الطلبات لكل IP.
لا تنسَ التوازن بين المنتج
يمكن أن يؤدي التخفيف العدواني إلى حظر المستخدمين الحقيقيين.
لهذا السبب، فإن الدفاع الجيد ضد هجمات DDoS ليس مجرد "حظر المزيد من حركة المرور." بل هو:
- التصفية بتكلفة منخفضة
- التصعيد بحذر
- قياس الإيجابيات الزائفة
في بعض الأحيان، تكون صفحة التحدي أفضل من الحظر القوي لأنها توفر للمستعرضات الحقيقية مسارًا خلال الوقت نفسه الذي تزيد فيه التكلفة على المهاجمين.
قراءة إضافية