يتخيل معظم الناس هجوم DDoS على أنه موجة ضخمة من حركة المرور — ملايين الحزم تقصف خادمًا حتى يستسلم. هذا التصور صحيح لفئة واحدة من الهجمات. لكنه يغفل تمامًا فئة أخرى أكثر خطورة وتناميًا.
هجمات DDoS على طبقة التطبيقات لا تبدو كالفيضانات. تبدو وكأنها مستخدمون حقيقيون. تضرب بعدد أقل من الطلبات في الثانية، وتُكمل مصافحة TCP، وترسل طلبات HTTP صحيحة — ومع ذلك يمكنها إسقاط موقع بالكامل. التصدي لها يتطلب نهجًا مختلفًا تمامًا.
الفرق بين هجوم الفيضان وهجوم طبقة التطبيقات
هجوم DDoS الحجمي — الذي يُسمى أحيانًا هجوم الطبقة 3 أو الطبقة 4 — يعمل عن طريق إغراق قناة الشبكة أو استنزاف قدرة الخادم على معالجة الحزم. تحتاج إلى نطاق ترددي كبير لمواجهة نطاق ترددي كبير. إذا كان مزودك يستوعب 500 Gbps والمهاجم لا يستطيع إرسال أكثر من 100 Gbps، فأنت تفوز. الحساب بسيط.
أما هجمات طبقة التطبيقات، أو هجمات الطبقة 7، فتعمل بشكل مختلف. تستهدف موارد تطبيقك لا قناة شبكتك. يرسل المهاجم طلبات HTTP تبدو مشروعة — طلبات GET لصفحة ما، طلبات POST إلى نموذج تسجيل الدخول، استعلامات بحث — لكنه يرسلها بحجم لا يستطيع خادمك تحمله. استعلام قاعدة بيانات واحد معقد تُطلقه طلب HTTP واحد قد يستهلك موارد CPU أكثر بكثير مما تستهلكه ألف حزمة بسيطة.
لهذا السبب يمكن إسقاط خادم بسعة شبكة 10 Gbps بهجوم لا يرسل سوى بضعة ميغابت في الثانية. الهجوم لا يُشبع القناة — بل يُنهك التطبيق.
تناولنا كيفية عمل الهجمات الحجمية على مستوى الشبكة في كيف تبدو هجمات DDoS الحجمية فعليًا على مستوى الشبكة. يركز هذا المقال على ما يحدث حين يرتقي المهاجمون طبقة أعلى.
كيف تبدو هجمات طبقة التطبيقات فعليًا
هجمات فيضان HTTP
وهي الأكثر شيوعًا. يرسل المهاجمون حجمًا كبيرًا من طلبات HTTP GET أو POST، وغالبًا ما يستهدفون روابط تُطلق عمليات ثقيلة على الخادم — صفحات البحث، وفلاتر المنتجات، ونقاط تسجيل الدخول، أو الصفحات التي تستدعي قاعدة البيانات بكثافة. صفحة البحث في متجر إلكتروني قد تتحمل 100 طلب في الثانية من مستخدمين حقيقيين. لكن أرسل 10,000 طلب في الثانية عبر شبكة بوت، وستنهار قاعدة البيانات.
هجمات Slowloris والـ POST البطيء
هذه الهجمات خفية بشكل خاص. بدلًا من إرسال موجات سريعة من حركة المرور، يفتح المهاجم اتصالات كثيرة ويرسل البيانات ببطء شديد — بما يكفي فقط للإبقاء على الاتصال حيًا دون إتمام الطلب. كل اتصال يشغل خيطًا من خيوط الخادم. ومع وجود عدد كافٍ من الاتصالات المفتوحة، ينفد الخادم من الخيوط المتاحة لخدمة الزوار الحقيقيين.
يمكن لهجمات Slowloris أن تعمل بنطاق ترددي محدود نسبيًا. هذا ما يجعلها فعّالة جدًا ضد الخوادم غير المُهيأة جيدًا.
هجمات تجاوز الكاش
يعرف المهاجمون أن الصفحات المخزنة في الكاش لا تُجهد خادمك — إذ تُقدَّم فورًا دون الرجوع إلى قاعدة البيانات. لذا يستهدفون عمدًا روابط تتجاوز الكاش: بإضافة سلاسل استعلام عشوائية، أو استهداف نقاط API غير مخزنة، أو الصفحات الديناميكية التي لا يمكن تخزينها بطبيعتها. كل طلب يُجبر الخادم على تنفيذ PHP كامل واستعلام قاعدة بيانات.
حشو بيانات الاعتماد وإساءة استخدام تسجيل الدخول
إغراق نقطة تسجيل الدخول يخدم المهاجمين لغرضين: يمكن أن يعمل كهجوم DDoS باستنزاف موارد الخادم، وإذا أحسن الحظ، قد يُصادفون توليفة صحيحة من اسم المستخدم وكلمة المرور من قائمة بيانات مسربة. هذه الهجمات شائعة بشكل متزايد ضد مواقع WordPress ومنصات التجارة الإلكترونية وأي موقع يحتوي على نظام مصادقة.
لماذا لا تكتشف حلول حماية DDoS في الاستضافة الأساسية هجمات الطبقة 7 دائمًا
معظم حلول حماية DDoS في الاستضافة الأساسية تعمل على طبقة الشبكة. وهي ممتازة في تصفية حجوم حركة المرور، وحجب نطاقات IP الخبيثة المعروفة، وإيقاف هجمات الانعكاس. لكنها لا تستطيع فحص طلبات HTTP بالكامل — إذ يحدث ذلك في طبقة أعمق من المكدس.
لإيقاف هجوم الطبقة 7، تحتاج إلى فهم الطلب ذاته. هل هذا الطلب مشروع؟ هل يتطابق وكيل المستخدم مع سلوك المتصفح المعتاد؟ هل يحاول هذا الـ IP تسجيل الدخول 2,000 مرة في الدقيقة؟ هل هناك استعلام بحث ببنية مشبوهة؟ هذه الأسئلة تتطلب فحصًا على مستوى طبقة التطبيقات — وهذا بالضبط ما يفعله WAF.
يستطيع WAF الجيد تحديد معدل الطلبات لنقاط محددة، وتحدي العملاء المشبوهين ببصمات المتصفح أو تحديات JavaScript، وحجب الطلبات التي تطابق أنماط هجمات معروفة، والتمييز بين إنسان يتصفح الموقع وبوت يقصف نموذجًا. للاطلاع على آلية عمل هذا بشكل أعمق، راجع ما هو WAF وهل تحتاجه فعلًا؟.
في أفضل صوره، تجمع حماية DDoS متعددة الطبقات بين الاثنين: دفاعات على مستوى الشبكة للتعامل مع الفيضانات الحجمية، وفحص على مستوى التطبيق لاكتشاف الهجمات الذكية البطيئة التي تتسلل عبر المرشحات التقليدية.
كيف تُحصّن تطبيقك ضد هجمات الطبقة 7
تحديد معدل الطلبات على مستوى نقاط الوصول
ليست كل نقاط الوصول متساوية. صفحتك الرئيسية تتحمل حجمًا كبيرًا من حركة المرور. أما صفحة تسجيل الدخول، وإعادة تعيين كلمة المرور، ونقطة البحث فلا تتحمل ذلك. طبّق حدودًا للمعدل تحديدًا على الروابط كثيفة الموارد. حد من 20 محاولة تسجيل دخول لكل IP في الدقيقة يوقف معظم هجمات حشو بيانات الاعتماد دون التأثير على المستخدمين الحقيقيين.
استخدم الكاش بشكل مكثف
خزّن في الكاش كل ما تستطيع. إذا ضرب مهاجم صفحة مخزنة، فإن خادمك لا يكاد يبذل أي جهد. أخرج معالجة الخادم من مسار الهجوم قدر الإمكان. حتى التخزين الجزئي — كتخزين طرق عرض المنتجات للمستخدمين غير المسجلين مثلًا — يقلل بشكل ملحوظ من تأثير فيضان HTTP.
أضف صفحات تحدٍّ للطلبات المشبوهة
يمكن لفحوصات سلامة المتصفح و CAPTCHA وتحديات JavaScript تصفية حركة مرور البوت قبل أن تصل إلى تطبيقك. هذا ليس مثاليًا — إذ تستطيع شبكات البوت المتطورة تنفيذ JavaScript — لكنه يُقصي نسبة كبيرة من أدوات الهجوم الآلية. يجب أن تدعم طبقة WAF أو حماية DDoS في الاستضافة لديك هذا بشكل أصلي.
ضبط حدود الاتصال والمهل الزمنية
هيّئ خادم الويب لديك لإنهاء الاتصالات البطيئة. يدعم كل من Nginx و Apache مهلًا زمنية تُنهي الطلبات غير المكتملة بعد فترة محددة. هذا هو الدفاع الأساسي ضد هجمات Slowloris. إعداد مثل client_header_timeout 10s; في Nginx يعني أن أي اتصال لا يرسل الترويسات خلال 10 ثوانٍ سيُقطع — مما يُنهي الهجوم قبل أن يستهلك الخيوط.
راقب الشذوذات في الوقت الفعلي
لا يمكنك الاستجابة لهجوم لا تراه. مراقبة وقت التشغيل تخبرك حين يحدث خطأ ما، لكن هجمات طبقة التطبيقات غالبًا ما تكون قابلة للرصد قبل أن تتسبب في انقطاع كامل — ستلاحظ ارتفاعًا تدريجيًا في وقت الاستجابة، وزيادة في معدلات الأخطاء، أو ارتفاعًا حادًا في حمل قاعدة البيانات. التنبيه الفوري يمنحك وقتًا للتدخل قبل أن يلاحظ المستخدمون شيئًا.
ما الذي يجب أن يفعله مزود الاستضافة لديك
بيئة حماية DDoS في الاستضافة الجيدة لا ينبغي أن تنتظر حتى تقع تحت الهجوم قبل أن تتحرك. البنية التحتية المحيطة بموقعك يجب أن تُرشح حركة المرور الخبيثة باستمرار — لا فقط حين يتجاوز الهجوم عتبة معينة.
هذا يعني أن مزودك يجب أن يشغّل WAF مع تحديثات قواعد نشطة، ويطبق تحديد المعدل على الحافة قبل أن تصل حركة المرور إلى خادمك، ولديه عملية استجابة لحوادث الطبقة 7 النشطة. إذا كان مزودك الحالي لا يستطيع إخبارك بما يحدث لموقعك حين يواجه فيضان HTTP بمعدل 100,000 طلب في الدقيقة، فهذا سؤال يستحق الطرح. نظرة عامة على WAF هنا تشرح كيف يعمل الفحص على مستوى التطبيق في الواقع العملي.
هجمات طبقة التطبيقات لن تختفي. بل إنها تزداد استهدافًا — يدرس المهاجمون بنية المواقع ويصيغون طلبات مصممة لتكون مُكلفة قدر الإمكان. الدفاع هو مزيج من بنية تحتية جيدة، وإعدادات ذكية، وبيئة استضافة تتعامل مع حماية DDoS في الاستضافة على مستوى التطبيق كأساس لا كإضافة اختيارية.
إذا كنت تتساءل كيف يندرج أمان مستوى الاستضافة ضمن استراتيجية دفاع أشمل، فإن كيف تعمل حماية أمان المواقع على مستوى الاستضافة يستحق القراءة كخطوة تالية.
