ما هو رفض الخدمة (DoS)؟

إذا كان موقع الويب الخاص بك لا يمكن الوصول إليه ، وتم ملء ملفات السجل الخاصة بك ، واستخدام الموارد على الخادم الخاص بك في أقصى حد ، فقد تكون في خضم هجوم رفض الخدمة. يمكن أن تؤدي هذه الهجمات المزعجة إلى إحداث فوضى في عمليات التسويق الخاصة بك والتأثير على توفر موقعك. إذا كنت في خضم هجوم رفض الخدمة أو هجوم رفض الخدمة الموزع ، فلا تخف. هناك طرق للتخفيف من هذه الهجمات واستعادة السيطرة على تواجدك الرقمي.

يعد هجوم رفض الخدمة أحد أقدم الهجمات الإلكترونية المعروفة والأكثر شيوعًا التي تستهدف مواقع الويب وتطبيقات الويب. لا يهم إذا كنت شركة صغيرة أو شركة كبيرة في قائمة Fortune 100 ، فإن التكنولوجيا التي تخدم موقع الويب الخاص بك للجمهور هي نفسها بشكل أساسي. لا يهم حجم عملك بالنسبة للمهاجمين عندما يستهدفونك بهجوم DoS. يستخدم المهاجمون الضارون نفس الأساليب لتعطيل عملك وغالبًا ما يكون لديهم دوافع مماثلة ، بغض النظر عن حجم عملك أو صغره.

في هذا الدليل الشامل لهجمات رفض الخدمة ، ستتعرف على الطرق التي يستخدمها المهاجمون لإزالة مواقع الويب والشبكات بأكملها ، وكيفية اكتشاف هجوم DoS أو DDOS الذي يستهدف عملك ، وكيفية تخفيفه بنجاح ، وتوفير طرق يمكنك ضمانها موقع الويب الخاص بك يبقى على الإنترنت لعملائك.

ما هو رفض الخدمة (DoS)؟

رفض الخدمة هو هجوم إلكتروني يتم إجراؤه عن طريق إغراق النظام بطلبات ضارة بغرض تقليل توفره للمستخدمين المقصودين. رفض الخدمة هو هجوم استنفاد الموارد ، والذي يستغل القدرة المحدودة لخدمة الضحية لقبول الطلبات الواردة ومعالجتها.

تعد هجمات DoS متعددة الاستخدامات ويمكن أن تستهدف أنظمة مختلفة ، بما في ذلك مواقع الويب الفردية وتطبيقات الويب والخوادم وأجهزة التوجيه وحتى الشبكات بأكملها. بغض النظر عن النظام المستهدف ، من المحتمل أن يتسبب هجوم رفض الخدمة في تعليقه أو تعطله بسبب استنفاد مجموعة موارد الحوسبة المخصصة له ، مثل وحدة المعالجة المركزية والذاكرة.

على الرغم من أن هجمات DoS ضارة ، إلا أنها لا تستخدم للسيطرة على موقع الضحية أو الخوادم مثل البرمجة النصية عبر المواقع (XSS) أو حقن SQL (SQLi). بدلاً من ذلك ، يمكن للمهاجمين في كثير من الأحيان استخدام استنفاد الموارد لتسهيل أنواع أخرى من الأنشطة الضارة ، مثل هجمات القوة الغاشمة. وبالمثل ، يمكن أن تندرج الهجمات الإلكترونية الأخرى التي تسبب استخدامًا كبيرًا للموارد على النظام الضحية ضمن فئة هجمات رفض الخدمة.

كيف يعمل هجوم DoS؟

يتم تنفيذ هجوم رفض الخدمة عن طريق توجيه جهاز كمبيوتر ، أو شبكة من أجهزة الكمبيوتر التي يتحكم فيها المهاجم ، لإرسال كميات كبيرة من الطلبات ، غالبًا ما تكون مشوهة ، إلى النظام المستهدف. سيؤدي ذلك إلى إجهاد خادم الويب والموارد الأخرى ، مما سيمنع الطلبات المشروعة ، مثل الطلبات المقدمة من العملاء والمحتملين وزوار الموقع الآخرين ، من المعالجة ، مما يؤدي في النهاية إلى رفض الخدمة.

إذا تعرض النظام لهجوم DoS ، فمن المحتمل أن يتم وضع أي طلبات مشروعة يتم إرسالها إليه في قائمة الانتظار ويتم تجاهلها في النهاية بسبب نقص موارد الحوسبة المتاحة. عند زيارة موقع ويب ، فإن رؤية رسالة خطأ انتهت مهلة الطلب تشير إلى أن المتصفح فشل في إنشاء اتصال بالخادم بسبب زيادة التحميل على خادم الويب وبالتالي عدم تمكنه من قبول أي طلبات أخرى.

عند تنفيذ هجوم DoS ، يختار المهاجم نقطة ضعف في النظام المستهدف ويستخدمها لصياغة الطلبات المرسلة بطريقة تؤدي إلى زيادة استهلاك النطاق الترددي لازدحام موقع الويب المستجيب وإبطائه. اعتمادًا على نقطة نهاية الشبكة المستهدفة أو تطبيق معين ، يمكن أن تستغل هجمات رفض الخدمة الحد الحالي لعدد الطلبات المتزامنة التي يمكن معالجتها ، أو مقدار الذاكرة المخصصة لخدمة معينة ، أو حجم المخازن المؤقتة للاستلام والإخراج ، ضمن أشياء أخرى.

غالبًا ما يكون الغرض من هجوم DoS أكثر من مجرد تعطيل الخدمة

تهدف هجمات رفض الخدمة إلى إزالة مواقع الويب والخدمات عبر الإنترنت عن طريق إغراقها بحركة مرور ضارة للعديد من الأغراض المختلفة. تستهدف هجمات DoS العديد من الموارد التي يعتمد عليها الأشخاص يوميًا ، بما في ذلك المتاجر والأسواق عبر الإنترنت والخدمات المالية ووسائل الإعلام.

يتم تنفيذ هجمات رفض الخدمة لثلاثة أسباب رئيسية:

• النشاط الاجتماعي. قد يستخدم المهاجمون رفض الخدمة كوسيلة لانتقاد سياسات الشركة ومعاقبة المنظمات لإظهار سلوكيات غير مرغوب فيها.
• ابتزاز. قد يحاول المهاجمون الاستفادة من القدرة على تعطيل خدمات الشركة من خلال المطالبة بالدفع.
• قهر حصة السوق. من خلال توظيف ممارسات تجارية مانعة للمنافسة ، قد تحاول الشركات إزالة مواقع ويب منافسة لزيادة حصتها في السوق ، خاصة خلال موسم العطلات.

في حين أن الأسباب المذكورة أعلاه لا تزال صالحة ، فقد تطورت هجمات رفض الخدمة وتستخدم الآن لتسهيل الهجمات الإلكترونية الأخرى. وبالمثل ، يمكن أن تؤدي الأنواع الأخرى من الأنشطة الضارة إلى رفض الخدمة. ليس من غير المألوف أن يستخدم المجرمون عددًا من الأساليب الخبيثة في وقت واحد لتنفيذ أكثر الهجمات الإلكترونية تطوراً.

على سبيل المثال ، يمكن أن تؤدي هجمات القوة الغاشمة وهجمات التمشيط إلى استنفاد الموارد بسبب العديد من الطلبات المرسلة إلى موقع الضحية على الويب للحصول على وصول غير مصرح به أو التحقق من صحة البيانات المسروقة. في معظم الأحيان ، يتم تنفيذ هذه الأنواع من الهجمات من مصادر متعددة ، مما يحولها إلى هجمات حجب الخدمة الموزعة.

رفض الخدمة (DoS) ورفض الخدمة الموزع (DDoS). ماهو الفرق؟

نادرًا ما ينطوي رفض الخدمة على جهاز كمبيوتر واحد فقط كمصدر للهجوم. لإحباط الدفاعات التي تحاول تصفية الطلبات الضارة من الطلبات الصالحة ، سيختار المهاجمون استخدام عناوين وأنظمة ومواقع IP متعددة لجعل الاكتشاف أكثر صعوبة. هجوم DDOS أو هجوم رفض الخدمة الموزع هو بالضبط ما يبدو عليه: هجوم يستخدم أنظمة موزعة لاستهداف موقع ويب أو شبكة الضحية. يصعب تحديد هذه الأنواع من الهجمات الموزعة والتخفيف من حدتها ، وهذا هو بالضبط ما يميز هجمات DoS و DDoS.

يتمثل الاختلاف الرئيسي بين رفض الخدمة ورفض الخدمة الموزع في نطاقه وعدد الأجهزة المستخدمة لتنفيذ هجوم. لتنفيذ هجوم DDoS ، غالبًا ما يستخدم المهاجم شبكة موزعة من أجهزة الكمبيوتر المخترقة المعروفة باسم الروبوتات.

يمكن تعريف هجمات DDoS على أنها هجمات استنفاد للموارد تعتمد على الروبوت على نطاق واسع والتي تضخم مفهوم رفض الخدمة باستخدام أنظمة كمبيوتر متعددة لشن هجوم ضد هدف واحد. فهو لا يجعل الهجوم أكثر خطورة فحسب ، بل يجعل أيضًا من المستحيل تقريبًا اكتشاف هوية المهاجم وراءه.

كيف أصبحت الروبوتات مركزًا لهجمات DDoS

يتم إنشاء شبكات الروبوت من خلال إصابة جهاز مخترق بنوع البرامج الضارة التي ستظل نائمة في النظام حتى يرسل كمبيوتر المهاجم ، المعروف باسم مركز القيادة والتحكم (C2) ، مزيدًا من الإرشادات. يمكن أن تصيب برامج Botnet الضارة جميع أنواع الأجهزة وغالبًا ما يصعب تحديدها والقضاء عليها. علاوة على ذلك ، سينتشر الفيروس بوتيرة عالية ، مما يوسع قوة الروبوتات المعينة إلى أبعد من ذلك.

غالبًا ما يستأجر مالكو البوت نت القوة الحاسوبية لشبكات الأجهزة المخترقة التي أنشأوها لمهاجمين آخرين على شبكة الويب المظلمة ، والتي أصبحت تُعرف عمومًا باسم الهجوم كخدمة. هذا يجعل إجراء هجوم رفض الخدمة أسهل وأكثر سهولة من أي وقت مضى. على الرغم من أن تطبيق القانون نجح في القضاء على العديد من شبكات الروبوت الكبيرة في السنوات القليلة الماضية ، إلا أن شبكات الروبوتات تواصل النمو بسرعة.

قياس حجم هجوم رفض الخدمة

نظرًا لأن هجمات DoS تمثل سلسلة من الطلبات الضارة المرسلة إلى وجهة واحدة ، يمكنك قياس حجمها لفهم حجمها. يتم حساب حجم هجوم رفض الخدمة بناءً على مقدار حركة المرور المرسلة إلى نظام الضحية ويتم قياسه عادةً بالجيجابايت.

كما أنه يكافئ النطاق الترددي الذي تستهلكه شبكة الكمبيوتر المستهدفة أثناء نقل البيانات الذي بدأه المهاجم. تظهر الأبحاث أن متوسط ​​حجم هجمات رفض الخدمة في عام 2022 كان أعلى بقليل من 5 غيغابايت.

3 أنواع هجمات رفض الخدمة

يمكن أن تختلف هجمات رفض الخدمة اختلافًا كبيرًا اعتمادًا على النظام المستهدف وطريقة التنفيذ. على الرغم من أن المهاجمين غالبًا ما يجمعون بين أساليب مختلفة ، إلا أنه يمكن تصنيف هجمات DoS على نطاق واسع إلى ثلاث فئات واسعة - هجمات الثغرات الأمنية ، وإغراق النطاق الترددي ، وغمر الاتصال.

هجمات الضعف

هجوم الثغرات الأمنية هو هجوم DoS يستهدف نقطة ضعف معينة في النظام. يتضمن إرسال عدد من الرسائل جيدة التصميم إلى نظام تشغيل أو تطبيق ضعيف يعمل على مضيف مستهدف. مع التسلسل الصحيح للحزم ، يمكن أن تتوقف الخدمة ، أو يمكن للمضيف بأكمله أن يسحق. تعد هجمات تجاوز سعة المخزن المؤقت واحدة من أبرز الأمثلة على هجمات الثغرات الأمنية.

الفيضانات عرض النطاق الترددي

النطاق الترددي Flooding يستهدف عرض النطاق الترددي للنظام الضحية عن طريق إغراق البنية التحتية بطلبات لاستنفاد قدرة الخادم على قبول أي حركة مرور من الشبكة. يقوم المهاجم بتوجيه العديد من الحزم إلى النظام المستهدف ، مما يؤدي إلى انسداد ارتباط وصول الهدف ، مما يمنع الحزم الشرعية من الوصول إلى الخادم.

يستغل تدفق عرض النطاق الترددي إلى حد كبير مبدأ التخزين والإرسال الأمامي الخاص بتبديل الحزمة لتطغى على المخازن المؤقتة للإخراج. يفرض التخزين والإرسال إلى الأمام أن أجهزة التوجيه يجب أن تتلقى حزمة كاملة قبل إعادة توجيهها إلى الوجهة. يتم تخزين كل حزمة في المخزن المؤقت للإخراج ، ومقدار مساحة المخزن المؤقت محدود. إذا كان المخزن المؤقت للإخراج ممتلئًا بالحزم التي تنتظر الإرسال ، فسيؤدي ذلك إلى فقدان الحزمة ويجعل النظام الهدف غير قابل للوصول.

فيضان الاتصال

غالبًا ما تستهدف هجمات رفض خدمة إغراق الاتصال خدمة معينة ، مثل خادم الويب أو خادم البريد ، والتي تُستخدم لتوفير وظائف لموقع ويب أو تطبيق ويب معين. يقوم المهاجم بعد ذلك بإنشاء العديد من الاتصالات بالمضيف المستهدف حتى يتوقف عن قبول أي طلبات مشروعة. SYN و HTTP و ICMP الفيضانات و Slowloris هي بعض الأمثلة على هجمات إغراق الاتصال.

من المهم أن نلاحظ أن هذه الفئات الثلاث ليست حصرية بشكل متبادل وتوجد لفصل هجمات رفض الخدمة استنادًا إلى النهج الذي يتبعه المهاجم ، وهو الجزء الذي يختار استهدافه من النظام. تحدد هذه الأساليب الطريق الذي يجب أن يسلكه المجرم ، وسيؤدي كل منها إلى استنفاد الموارد الحاسوبية لنظام الضحايا.

3 هجمات DoS الرئيسية التي تستهدف WordPress

كتطبيق ويب ديناميكي ، يعتمد WordPress على قدرة الخادم على تلقي الطلبات الواردة ومعالجتها لتقديم المحتوى إلى زوار الموقع. وما لم يرغب المهاجم في زيادة التحميل على الخادم بالكامل باستخدام هجوم رفض الخدمة منخفض المستوى مثل UDP أو ICMP ، فسيستهدف خادم HTTP الذي يستمع للطلبات الواردة على كل من المنفذ 80 (HTTP) والمنفذ 443 (HTTPS) . من المحتمل أن يكون هذا هو Apache أو Nginx أو LiteSpeed.

هناك ثلاثة أنواع رئيسية من هجمات رفض الخدمة تُستخدم لإيقاف موقع ويب معين أو جعله بطيئًا للغاية من خلال اتباع طرق مختلفة: فيضانات HTTP ، وفيضانات SYN ، و Slowloris

فيضان HTTP

تستفيد عمليات تدفق HTTP من الحد الأقصى لعدد طلبات HTTP التي يمكن معالجتها بواسطة خادم الويب الهدف في غضون فترة زمنية معينة. دعنا نلقي نظرة على كيفية عمل ذلك بمزيد من التفصيل.

يتم تكوين جميع خوادم الويب بطريقة تقيد عدد الاتصالات المتزامنة التي يمكنهم قبولها وعدد طلبات HTTP التي يمكنهم معالجتها. وبشكل أكثر تحديدًا ، هناك حد لعدد العمليات التي يمكن لخادم الويب إنشاؤها وعدد الطلبات التي يمكن لكل منها أن يفي بها قبل أن يتم نسج خادم جديد في مكانه.

بشكل افتراضي ، تنشئ خوادم الويب عددًا صغيرًا من العمليات ، ويزداد هذا الرقم إذا تم تلقي المزيد من حركة المرور. بالإضافة إلى الاستهلاك العالي للذاكرة ، فإن الإنشاء المتكرر لعمليات HTTP الجديدة ، والمعروفة باسم عمال الطلب ، سيؤدي حتمًا إلى زيادة استخدام وقت وحدة المعالجة المركزية.

إذا تجاوز عدد الطلبات الواردة السعة الإجمالية لخادم الويب ، فسيتم وضع بعضها في قائمة الانتظار وإسقاطها في النهاية ، مما سيؤدي إلى رؤية خطأ انتهاء مهلة الاتصال في المتصفح. في حالة تدفق HTTP ، يمكن للمهاجم إرسال آلاف طلبات HTTP إلى موقع ويب الضحية في الثانية.

فيضان SYN

فيضان SYN هو هجوم DoS يطغى على خادم الويب من خلال استغلال المصافحة ثلاثية الاتجاهات التي يستخدمها TCP - بروتوكول طبقة النقل الأساسي المستخدم بواسطة HTTP و HTTPS. نظرًا لأن HTTPS يعتمد على TLS لتحسين TCP ، مما يضيف طبقة إضافية من الأمان إلى عملية إنشاء الاتصال الأولي لتوسيعه بشكل كبير ، فإن معظم هجمات رفض الخدمة تتم عبر HTTP.

بينما يتم استخدام تدفق HTTP لإغراق الخادم بالطلبات ، فإن الهدف الرئيسي من تدفق SYN هو جعل النظام يخصص الموارد لاتصالات نصف مفتوحة إلى النقطة التي يصبح فيها مرهقًا جدًا لتلبية الطلبات المشروعة. لتحقيق ذلك ، يرسل المهاجم سلسلة من مقاطع SYN إلى خادم الويب.

في معظم الأحيان ، يشير مضيف المهاجم إلى نظام مختلف تمامًا مثل النظام الذي يأتي منه الطلب لخداع خادم الضحية لإرسال حزمة الإقرار إلى وجهة مختلفة بدلاً من الكمبيوتر الذي بدأ الاتصال. بهذه الطريقة ، بعد أن يستجيب الخادم بحزمة إقرار ، لن تكتمل الخطوة الثالثة من عملية تأكيد الاتصال.

مع هذا الطوفان من شرائح SYN ، سرعان ما يتم استنفاد موارد خادم الضحية حيث يتم تخصيصها لعدد كبير من الاتصالات نصف المفتوحة ، في حين يتم رفض خدمة زوار الموقع الشرعيين.

في الأنظمة الحديثة ، تتم معالجة مشكلة عدم الحصانة هذه جزئيًا من خلال تنفيذ ملفات تعريف الارتباط ، وهي آلية تمنع تخصيص الموارد لاتصال قبل أن يتلقى مقطع إقرار ويتحقق من أنه يأتي من المضيف الذي تم إرسال الطلب منه في البداية. ومع ذلك ، فإن هذه الآلية لا تمنع بشكل كامل حدوث فيضانات Syn ، ولا تزال هذه الهجمات تشكل تهديدًا لمواقع الويب وتطبيقات الويب.

لوريس بطيئة

Slowloris هو نوع آخر من هجمات رفض الخدمة لطبقة التطبيقات التي تستهدف مواقع WordPress. يعمل على إبطاء خادم الويب بشكل فعال عن طريق إنشاء اتصالات HTTP متعددة من نفس عنوان IP وإبقائها مفتوحة لأطول فترة ممكنة.

بشكل افتراضي ، سينهي خادم الويب اتصال HTTP إذا لم يتم إرسال أي طلبات لفترة زمنية معينة. لمنع هذا والحفاظ على الاتصال مفتوحًا ، يرسل المهاجم بشكل دوري طلبات غير كاملة أو مشوهة. لإطالة مدة كل اتصال ضار ، يمكن لهجمات Slowloris بسهولة تحميل النظام بشكل زائد وإبطاء موقع الضحية بشكل كبير.

كيفية الكشف عن هجوم رفض الخدمة؟

على عكس الهجمات الإلكترونية الأخرى ، من السهل نسبيًا اكتشاف هجمات رفض الخدمة ، بغض النظر عن المورد المستهدف. فيما يلي المجموعات الثلاث الشائعة من مؤشرات هجوم DoS المستمر الذي يستهدف موقعًا إلكترونيًا أو خادمًا أو شبكة.

مؤشرات مستوى الموقع

إذا كان موقع الويب الخاص بك يتعرض لهجوم رفض الخدمة ، فسترى انخفاضًا ملحوظًا في الأداء ، مصحوبًا بارتفاع مفاجئ في حركة المرور في طريقها. قد يستغرق موقع الويب وقتًا طويلاً جدًا لتحميل أو إلقاء رسائل خطأ مثل "ERR_CONNECTION_TIMED_OUT" أو "503 Service Unavailable"

مؤشرات مستوى الخادم

إذا كان لديك حق الوصول إلى الخادم الذي يستضيف موقع الويب الخاص بك ، عند تسجيل الدخول ، فسترى أنه تحت عبء كبير ، مما يعني أن هناك عمليات تتطلب وقتًا نشطًا لوحدة المعالجة المركزية أكثر مما يمكن للخادم التعامل معه حاليًا. يمثل رقم التحميل عدد العمليات التي تنتظر اهتمام وحدة المعالجة المركزية.

مع تعرض موقع WordPress للهجوم ، عند إجراء مزيد من الفحص ، قد تلاحظ وجود قدر كبير من عمليات HTTP و PHP قيد التشغيل. لاحظ أن خادم قاعدة البيانات الخاص بك يستخدم الكثير من وقت وحدة المعالجة المركزية لمعالجة الاستعلامات.

مؤشرات مستوى الشبكة

تندرج مراقبة الشبكة وصيانتها ضمن نطاق مسؤوليات مزود الاستضافة ، الذي يحتاج إلى التأكد من أن أجهزة التوجيه الأساسية يمكنها معالجة جميع حركة المرور الواردة دون أي زمن انتقال ملحوظ. نادرًا ما يتم ملاحظة هجمات DoS الأصغر ويتم التعامل معها من موقعهم. ومع ذلك ، إذا استهدف هجوم رفض الخدمة الهائل موقعًا إلكترونيًا أو خادمًا وبدأ في التأثير على مضيفين آخرين ، فسيتخذ مزود الاستضافة إجراءً.

تتمثل إحدى الطرق الأكثر فاعلية للتخفيف من هجوم يؤثر على الشبكة بأكملها في إلغاء توجيه المضيف المهاجم حتى ينحسر النشاط الضار. يعني التوجيه الفارغ للخادم إزالته مؤقتًا من الشبكة عن طريق إسقاط جميع الحزم القادمة في طريقها بحيث لا يمكن الوصول إليها عبر الإنترنت.

كيفية التخفيف من هجوم DoS في 3 خطوات

يتضمن التخفيف من هجوم رفض الخدمة تحليل حركة المرور الواردة وحظر الطلبات الضارة من خلال تمكين قواعد جدار الحماية الأكثر صرامة ورفض الوصول إلى بعض عناوين IP ونطاقات IP يدويًا. يعد الجمع بين هذين النهجين معيارًا صناعيًا للتعامل مع هجمات استنفاد الموارد المستمرة. دعنا نراجع العملية خطوة بخطوة.

تحليل حركة المرور الواردة

يمكن أن يساعدك تحليل حركة المرور الواردة في الوقت الفعلي في تقييم الموقف وتحديد نوع هجوم رفض الخدمة المستخدم لإيقاف خادمك. من الأفضل أن يكون لديك وصول النظام إلى الخادم الذي يستضيف موقع الويب الخاص بك ، ولكن يمكنك أيضًا استخدام مصادر أخرى مثل السجلات التي تحتفظ بها جدران حماية تطبيق الويب المستندة إلى مجموعة النظراء.

من خلال الوصول إلى الجذر إلى الخادم ، يمكنك استخدام أدوات تشخيص الشبكة مثل Socket Statistics (ss) و tcpdump ، بالإضافة إلى سجلات المجال (domlogs) التي يحتفظ بها خادم الويب الخاص بك. سيساعدك هذا الأسلوب في فهم مقدار حركة المرور الضارة المرسلة إلى الخادم وما هي مواقع الويب وعناوين URL المحددة التي يستهدفها المهاجم.

في حالة هجوم رفض الخدمة الموزع ، ستأتي حركة المرور الضارة من مصادر متعددة. ومع ذلك ، سيستمر تنفيذ معظم الهجمات من خلال عدد صغير نسبيًا من الأجهزة. في معظم الحالات ، يجب أن تكون قادرًا على تحديد عدد قليل من نطاقات IP المخالفة.

عندما يتعلق الأمر بمواقع WordPress ، فإن هجمات رفض الخدمة تستهدف عادةً صفحة تسجيل دخول مسؤول WordPress و XML-RPC. عند تحليل نشاط خادم الويب الأخير ، سترى العديد من طلبات GET و POST الموجهة إلى wp-login.php و wp-admin و xmlrpc.php.

تفعيل تحديد السعر وقواعد جدار الحماية الأكثر صرامة

تعمل جدران الحماية كخط دفاع أول لموقع الويب الخاص بك على مستويات مختلفة من نموذج شبكات الترابط المفتوح للأنظمة (OSI). سيساعدك تمكين قواعد جدار الحماية الأكثر صرامة في التخفيف من هجوم رفض الخدمة بنجاح.

يتضمن النهج العام تمكين تحديد المعدل - وضع حد لعدد الاتصالات المفتوحة بواسطة عنوان IP في فترة زمنية محددة وتصفية حركة المرور الواردة بناءً على عدد من المعلمات الأخرى ، مثل درجة سمعة عنوان IP ، والبلد من أصل ، وأكثر من ذلك.

قم بتخفيف هجوم رفض الخدمة باستخدام ConfigServer Firewall

إذا كنت تستخدم ConfigServer Firewall (CSF) - جدار حماية برمجي قائم على iptables ، فيمكنك تصنيف تقييد حركة المرور الواردة عن طريق تعيين تكوين CT_Limit على القيمة المطلوبة. سيؤدي تعيين CT_PORTS إلى 80 و 443 إلى تقييد معدل تقييد المنافذ التي يستمع إليها خادم الويب. يتيح لك CSF أيضًا تكوين SYNFLOOD_RATE - عدد حزم SYN المسموح بها لكل عنوان IP في الثانية.

يرجى ملاحظة أن تقييد المعدل الشديد سيؤدي حتمًا إلى حظر الطلبات المشروعة ، وبالتالي لا يجب تنفيذه إلا عندما يتعرض الخادم للهجوم وتعطيله بعد فترة وجيزة من التخفيف الناجح. من الأفضل أن يكون لديك مسؤول نظام متمرس يقوم بتكوين أي قواعد محددة لجدار الحماية.

استخدم Cloudflare WAF للتخفيف من هجوم DoS

يمكن أن تساعدك Cloudflare في التخفيف بنجاح من هجوم رفض الخدمة على مستوى موقع الويب من خلال تمكين وضع "تحت الهجوم" الذي تقدمه شبكة توصيل المحتوى. كجزء من أداة تخفيف الهجمات المدمجة هذه ، تنفذ Cloudflare طرقًا إضافية لتحليل حركة المرور وتقدم لكل زائر تحديًا قائمًا على JavaScript.

بالإضافة إلى ذلك ، يمكن لـ Cloudflare تصفية حركة المرور الضارة استنادًا إلى عدد من مجموعات القواعد المُدارة ودرجات سمعة IP التي تم جمعها من Project Honey Pot. قم بتعيين مستوى أمان Cloudflare إلى مرتفع لحظر كل حركة المرور الواردة القادمة من عناوين IP مع درجة تهديد تزيد عن 0.

منع حركة مرور الروبوتات الخبيثة

في حين أن قواعد جدار الحماية المطبقة حديثًا يجب أن تنجح في تصفية الغالبية العظمى من الطلبات الضارة ، فإن حظر عناوين IP ونطاقات IP المخالفة سيجبر النظام على إسقاط جميع الحزم الواردة من مصادر محددة دون الحاجة إلى جعل جدار الحماية يفحص كل طلب. سيؤدي حظر حركة المرور الضارة عن طريق رفض الوصول إلى الخادم لعناوين IP معينة إلى حفظ موارد الخادم والمساعدة في جعل موقع الويب الخاص بك يعمل بكامل طاقته بشكل أسرع.

كيف تمنع رفض الخدمة؟ أهم 3 توصيات لـ WordPress

تظل مواقع WordPress ذات أولوية قصوى للمتسللين وغالبًا ما يتم استهدافها من خلال رفض الخدمة وهجمات القوة الغاشمة. وبينما يوفر النظام مستوى عالٍ من الحماية من الهجمات المستندة إلى البرامج الضارة وهجمات حقن البيانات ، فإنك تحتاج إلى إجراءات أمان إضافية للحماية من هجمات استنفاد الموارد.

أدناه ، نقدم أهم ثلاث توصيات أمنية لتطبيق WordPress لمنع رفض الخدمة. سيؤدي تثبيت مجموعات قواعد جدار الحماية المُدارة القوية ، وتكوين HTTP / 2 ، والحد من الوصول إلى تسجيل الدخول إلى WordPress و XMLRPC إلى تقليل احتمالية الوقوع ضحية لفيضانات HTTP ، وفيضانات SYN ، وهجمات Slowloris.

قم بتكوين مجموعات قواعد جدار الحماية المُدارة القوية

تدعم كل من جدران حماية تطبيقات الويب (WAF) المستندة إلى المضيف والمستندة إلى مجموعة النظراء تثبيت مجموعات قواعد مُدارة مختلفة تم تطويرها خصيصًا للدفاع ضد رفض الخدمة والهجمات الإلكترونية الخطيرة الأخرى. يتم الاحتفاظ بمجموعات القواعد المُدارة بواسطة بائعي الأمان المعروفين وتلقي تحديثات منتظمة.

إحدى أقوى مجموعات قواعد جدار الحماية المُدارة هي مجموعة القواعد الأساسية OWASP التي طورتها مؤسسة OWASP. تتوافق مجموعة القواعد مع معظم WAFs المستضافة والمستندة إلى مجموعة النظراء ، بما في ذلك ModSecurity - جدار حماية تطبيق الويب (WAF) الأكثر شيوعًا والمثبت على خوادم Linux.

استخدم HTTP / 2

HTTP / 2 هي مواصفات جديدة لبروتوكول HTTP تهدف إلى تقليل زمن الوصول وتسريع تسليم المحتوى من خلال معالجة بعض أوجه القصور في سابقتها. يلغي HTTP / 2 الحاجة إلى فتح اتصالات متعددة لتقديم صفحة ويب واحدة من خلال السماح لخادم الويب بإرسال استجابات متعددة لطلب واحد.

يمكن أن يؤدي استخدام HTTP / 2 إلى تقليل استخدام موارد الخادم بشكل كبير ، مما يؤدي إلى تحسينات كبيرة في الأداء. يمكن أن يساعد ذلك في تحمل هجمات رفض الخدمة الصغيرة دون الحاجة إلى استدعاء أي إجراءات حماية إضافية.

تقليل سطح الهجوم

تعتبر مسائل أمان موقع الويب وإجراءات الأمان على مستوى موقع الويب في غاية الأهمية.

يمكنك الدفاع ضد معظم الهجمات الإلكترونية ، بما في ذلك رفض الخدمة ، عن طريق تقييد الوصول إلى المناطق الحساسة في موقع WordPress الخاص بك ، مثل XMLRPC وتسجيل الدخول إلى WordPress. كما ناقشنا سابقًا ، هذان الهدفان الأكثر شيوعًا لهجمات DoS وهجمات القوة الغاشمة على مواقع WordPress.

تتضمن أفضل ممارسات أمان WordPress تعطيل XML-RPC وتقييد الوصول إلى تسجيل الدخول إلى WordPress إلى قائمة عناوين IP الموثوق بها ونطاقات IP. يعد تمكين المصادقة الثنائية أمرًا مهمًا بنفس القدر لمنع الجهات الخبيثة من الوصول غير المصرح به إلى موقع الويب الخاص بك وإزالته.

استكمل دفاعاتك باستخدام iThemes Security Pro

يجعل iThemes أمان WordPress متاحًا للجميع. يوفر iThemes Security Pro ثلاثين طريقة لحماية موقع WordPress الخاص بك من جميع الهجمات الإلكترونية المعروفة. من خلال المراقبة الأمنية المتقدمة على مدار الساعة ومسح الثغرات الأمنية ، سيتخذ iThemes Security Pro تلقائيًا إجراءات نيابة عنك لإيقاف الهجمات الآلية وحظر الجهات الخبيثة وحماية المناطق الحساسة في موقع الويب الخاص بك.

إذا كنت تدير عدة مواقع WordPress ، فإن iThemes Sync Pro يساعد في أتمتة المهام الإدارية الروتينية من خلال توفير لوحة تحكم إدارية واحدة مع مراقبة وقت التشغيل والتحليلات المتقدمة. وعلى الرغم من وجود مساعدي مواقع الويب الشخصية هؤلاء في فريقك ، فإن iThemes Training سيساعدك على أن تصبح خبيرًا في WordPress وتنقل عملك إلى المستوى التالي.

أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress

يعمل WordPress حاليًا على تشغيل أكثر من 40 ٪ من جميع مواقع الويب ، لذلك أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.

احصل على iThemes Security Pro

كيكي شيلدون

Kiki حاصل على درجة البكالوريوس في إدارة نظم المعلومات وأكثر من عامين من الخبرة في Linux و WordPress. تعمل حاليًا كأخصائي أمان في Liquid Web و Nexcess. قبل ذلك ، كانت Kiki جزءًا من فريق دعم Liquid Web Managed Hosting حيث ساعدت المئات من مالكي مواقع WordPress على الويب وتعرفت على المشكلات الفنية التي يواجهونها غالبًا. شغفها بالكتابة يسمح لها بمشاركة معرفتها وخبرتها لمساعدة الناس. بصرف النظر عن التكنولوجيا ، يستمتع Kiki بالتعرف على الفضاء والاستماع إلى ملفات بودكاست الجريمة الحقيقية.