كيفية التخفيف من هجمات DDoS ضد موقع الويب الخاص بك باستخدام CloudFlare

الدروس التعليمية
Firewall Networking

مقدمة

كلاودفلير هي شركة تقدم خدمات شبكة توزيع المحتوى (CDN) وخدمات DNS الموزعة عن طريق العمل كوكيل عكسي للمواقع. يمكن استخدام خدمات كلاودفلير المجانية والمدفوعة لتحسين أمان وسرعة وتوفر موقع الويب بطرق متنوعة.

في هذا البرنامج التعليمي، ستتعلم كيفية استخدام خدمة طبقة كلاودفلير المجانية لحماية خوادم الويب الخاصة بك ضد هجمات خدمة الإنكار الموزعة (DDoS) القائمة على بروتوكول HTTP عن طريق تمكين “وضع أنا تحت الهجوم”. يمكن لهذا الوضع الأمني التخفيف من هجمات DDoS من خلال عرض صفحة وسيطة للتحقق من شرعية الاتصال قبل تمريره إلى خادم الويب الخاص بك.

المتطلبات المسبقة

يفترض هذا البرنامج التعليمي أن لديك ما يلي:

  • A web server
  • A registered domain that points to your web server
  • الوصول إلى لوحة التحكم لمسجل النطاق الذي أصدر النطاق

يجب أيضًا الاشتراك في حساب كلاودفلير قبل المتابعة.

ملاحظة: سيتطلب هذا البرنامج التعليمي استخدام خوادم اسم كلاودفلير.

الخطوة 1 – تكوين نطاقك لاستخدام كلاودفلير

قبل استخدام أي من ميزات كلاودفلير، يجب أن تقوم بتكوين نطاقك لاستخدام خدمة DNS الخاصة بها.

إذا لم تقم بذلك بالفعل، قم بتسجيل الدخول إلى كلاودفلير.

أضف موقعًا وفحص سجلات DNS

بعد تسجيل الدخول، ستتم إعادة توجيهك إلى صفحة ابدأ باستخدام كلاودفلير. هنا، يجب عليك النقر على زر إضافة موقع في الأعلى لإضافة موقع الويب الخاص بك إلى كلاودفلير:

أدخل اسم النطاق الذي تريد استخدام كلاودفلير معه وانقر على زر إضافة الموقع. يجب أن تتم إعادة توجيهك إلى صفحة تبدو مشابهة لهذه:

في هذا البرنامج التعليمي، سنختار الخيار خطة مجانية. إذا كنت ترغب في دفع ثمن خطة مختلفة بسبب رغبتك في الحصول على ميزات إضافية من كلاودفلير، فلا تتردد في القيام بذلك. ثم، انقر على زر متابعة.

تظهر الصفحة التالية نتائج فحص سجل DNS لموقعك. تأكد من أن جميع سجلات DNS الحالية موجودة، حيث ستستخدم كلاودفلير هذه السجلات لحل طلبات الوصول إلى نطاقك. في مثالنا، استخدمنا flippeddev.com كمثال على النطاق.

تذكر أنه بالنسبة لسجلات A و CNAME التي تشير إلى خوادم الويب الخاصة بك، يجب أن يحتوي العمود الحالة على سحابة برتقالية مع سهم يمر من خلالها. وهذا يشير إلى أن حركة المرور ستمر عبر الوكيل العكسي لـ Cloudflare قبل الوصول إلى خوادمك.

تغيير خوادم الأسماء الخاصة بك

سيتم عرض الصفحة التالية الخوادم الأسماء التي يجب إزالتها وخوادم الأسماء التي يجب إضافتها من Cloudflare. إليك مثال على كيفية يمكن أن تبدو الصفحة:

لتغيير خوادم الأسماء الخاصة بنطاقك، قم بتسجيل الدخول إلى لوحة تحكم مسجل النطاق الخاص بك وقم بإجراء التغييرات في DNS التي عرضها Cloudflare. على سبيل المثال، إذا اشتريت نطاقك من خلال مسجل مثل Google أو NameCheap، فستحتاج إلى تسجيل الدخول إلى لوحة تحكم مسجل النطاق المناسب وإجراء التغييرات هناك.

تختلف العملية حسب مسجل النطاق الخاص بك بشكل خاص. إذا لم تتمكن من معرفة كيفية القيام بذلك، فإنها مشابهة للعملية الموصوفة في كيفية الإشارة إلى خوادم DigitalOcean من مسجلي نطاق مشتركة باستثناء أنك ستستخدم خوادم الأسماء لـ Cloudflare بدلاً من DigitalOcean’s.

في الحالة المثالية، يستخدم النطاق خوادم الأسماء الخاصة بـ DigitalOcean ونحتاج إلى تحديثه لاستخدام DNS الخاص بـ Cloudflare.

عند الانتهاء من تغيير خوادم الأسماء الخاصة بك، انقر على زر متابعة. قد يستغرق تحويل الخوادم الأسماء ما يصل إلى 24 ساعة، ولكن عادةً ما يستغرق الأمر عدة دقائق.

انتظر تحديث الخوادم الأسماء

نظرًا لأن تحديث الخوادم الأسماء يستغرق وقتًا غير متنبئ به، فإنه من المرجح أن ترى هذه الصفحة بعد ذلك:

يعني الحالة قيد الانتظار أن Cloudflare في انتظار تحديث الخوادم الأسماء إلى تلك التي حددها (على سبيل المثال، olga.ns.Cloudflare.com و rob.ns.Cloudflare.com). إذا قمت بتغيير خوادم أسماء نطاقك، كل ما عليك فعله هو الانتظار والعودة للتحقق لاحقًا من الحالة نشط. إذا قمت بالنقر على زر إعادة فحص الخوادم الأسماء أو انتقلت إلى لوحة التحكم في Cloudflare، سيتم التحقق مما إذا كانت الخوادم الأسماء قد حدثت.

Cloudflare نشطة

عندما تحدث تحديث الخوادم الأسماء، سيكون نطاقك يستخدم DNS الخاص بـ Cloudflare وسترى أن لديه حالة نشطة.

هذا يعني أن Cloudflare يعمل كوكيل عكسي لموقع الويب الخاص بك، ولديك الوصول إلى الميزات المتاحة في الطبقة التي قمت بالاشتراك فيها. إذا كنت تستخدم الطبقة المجانية، كما نحن في هذا البرنامج التعليمي، ستتمكن من الوصول إلى بعض الميزات التي يمكن أن تحسن أمان وسرعة وتوفر موقعك.

لن نغطي جميع الميزات في هذا البرنامج التعليمي، حيث نركز على مكافحة هجمات DDoS المستمرة، ولكنها تشمل شبكة توزيع المحتوى (CDN)، وشهادة SSL، وتخزين محتوى ثابت، وجدار حماية (قبل وصول حركة المرور إلى الخادم الخاص بك)، وأدوات تحليل حركة المرور.

كما لاحظ الـ ملخص الإعدادات، الموجودة أسفل نطاقك، ستظهر مستوى أمان موقع الويب الحالي (متوسط افتراضيًا) وبعض المعلومات الأخرى.

قبل المتابعة، للاستفادة القصوى من Cloudflare، سترغب في اتباع هذا الدليل: الخطوات الأولى الموصى بها لجميع مستخدمي Cloudflare. هذا مهم لضمان أن Cloudflare سيسمح بالاتصالات الشرعية من الخدمات التي ترغب في السماح بها، ولكي يظهر سجل خادم الويب الخاص بك عناوين IP الزائرين الأصلية (بدلاً من عناوين IP وكيل العكس لـ Cloudflare).

بمجرد الانتهاء من إعداد كل شيء، دعنا نلقي نظرة على إعداد “وضع أنا تحت هجوم” في جدار حماية Cloudflare.

الخطوة 2 – تمكين “وضع أنا تحت هجوم”

بشكل افتراضي، يتم تعيين أمان جدار الحماية في Cloudflare على المستوى المتوسط. يوفر هذا بعض الحماية ضد الزوار الذين يُصنفون على أنهم تهديد معتدل عن طريق عرض صفحة تحدي لهم قبل السماح لهم بالمتابعة إلى موقعك. ومع ذلك، إذا كان موقعك هو هدف لهجوم DDoS، فقد لا يكون هذا كافياً للحفاظ على تشغيل موقعك. في هذه الحالة، قد يكون وضع أنا تحت هجوم مناسبًا بالنسبة لك.

إذا قمت بتمكين هذا الوضع، سيتم عرض صفحة وسيطية لأي زائر إلى موقعك على الويب تقوم بإجراء بعض فحوصات المتصفح وتؤخر الزائر لمدة تقدر بحوالي 5 ثوانٍ قبل توجيهه إلى خادمك. سيبدو شيئًا مشابهًا لهذا؛

إذا نجحت الفحوصات، سيُسمح للزائر بالمرور إلى موقعك. يكون الجمع بين منع الزوار الضارين وتأخيرهم عن الاتصال بموقعك كافيًا في كثير من الأحيان للحفاظ على تشغيله وتشغيله، حتى خلال هجوم DDoS.

ملاحظة: يجب أن يكون لدى الزوار للموقع تمكين JavaScript والكوكيز لتمرير الصفحة الوسيطة. إذا لم يكن هذا مقبولًا، فكر في استخدام إعداد أمان جدار الحماية “عالي” بدلاً من ذلك.

تذكر أنك تريد فقط تمكين وضع أنا تحت هجوم عندما يكون موقعك ضحية لهجوم DDoS. وإلا، يجب أن يتم إيقافه حتى لا يؤخر المستخدمون العاديون من الوصول إلى موقعك على الويب لأسباب لا تبررها.

كيفية تمكين وضع أنا تحت هجوم

إذا كنت ترغب في تمكين وضع “أنا تحت الهجوم”، أسهل طريقة هي الانتقال إلى صفحة نظرة عامة على كلاودفلير (الصفحة الافتراضية) وتفعيله في الشريط الجانبي الأيمن:

سيتم تبديل إعدادات الأمان على الفور إلى وضع “أنا تحت الهجوم”. الآن، سيتم عرض صفحة انتقالية من كلاودفلير لأي زائر لموقعك تم وصفها أعلاه.

كيفية تعطيل وضع “أنا تحت الهجوم”

نظرًا لأنه يجب استخدام وضع “أنا تحت الهجوم” فقط في حالات الهجمات الموزعة لخدمة (DDoS)، يجب عليك تعطيله إذا كنت لست تحت الهجوم. للقيام بذلك، انتقل إلى صفحة نظرة عامة على كلاودفلير وقم بإيقافه. ستفتح نافذة نموذجية مثل هذه:

ثم حدد مستوى الأمان الذي ترغب في التبديل إليه. الوضع الافتراضي والموصى به عمومًا هو “متوسط”.
يجب أن يستعيد موقعك الحالة النشطة وسيتم تعطيل صفحة حماية من هجمات DDoS.

الاستنتاج

الآن بعد أن تستخدم موقعك الويب خدمة كلاودفلير، لديك أداة أخرى لحمايته بسهولة ضد هجمات DDoS المستندة إلى بروتوكول HTTP. هناك أيضًا مجموعة متنوعة من الأدوات الأخرى التي توفرها كلاودفلير وقد تكون مهتمًا في إعدادها، مثل شهادات SSL المجانية. وبناءً على ذلك، يُوصَى بأن تستكشف الخيارات وترى ما هو مفيد لك.

يمكنك معرفة المزيد حول استخدام كلاودفلير لحماية مواقعك من خلال دليلنا التعليمي كيفية استضافة موقع ويب باستخدام كلاودفلير وإنجنكس على أوبونتو 22.04.

Source:
https://www.digitalocean.com/community/tutorials/how-to-mitigate-ddos-attacks-against-your-website-with-cloudflare