الأمان 20 مايو 2026 1 دقائق للقراءة

كيف تبدو هجمات DDoS الحجمية على مستوى الشبكة

هجمات DDoS الحجمية تتعلق بشيء واحد: ملء أنبوب الشبكة حتى لا يعبره شيء آخر. إليك كيف تبدو فعلاً على مستوى الحزم — ولماذا يجب أن تحدث حماية DDoS في الاستضافة في مرحلة أعلى.

يتوقف موقعك فجأة. ترتفع أوقات الاستجابة من 80 مللي ثانية إلى 30 ثانية. ثم لا شيء. معظم الناس يظنون أن هناك عطلاً تقنياً. لكن الحقيقة أن شخصاً ما ربما أغرق خادمك بسيل من حركة المرور حتى انهار تحت ثقلها.

هجمات DDoS الحجمية هي النوع الأكثر شيوعاً من هجمات الحرمان من الخدمة الموزعة — والأكثر سوء فهم. حين يسمع الناس كلمة "DDoS" يتخيلون قراصنة في الظلام. الواقع أبسط وأكثر ميكانيكية من ذلك. الأمر كله يتعلق بشيء واحد: ملء الأنابيب.

فهم ما يحدث فعلاً على مستوى الشبكة يساعدك على اتخاذ قرارات أذكى بشأن إعداد الاستضافة. دعنا نشرح ذلك.

ما الذي تحاول الهجمة الحجمية تحقيقه؟

لكل خادم قدر محدد من عرض النطاق الترددي — الحد الأقصى للبيانات التي يمكنه إرسالها واستقبالها في الثانية. تحاول هجمات DDoS الحجمية استنفاد هذا النطاق بالكامل. حين يمتلئ الأنبوب، لا تستطيع حركة المرور المشروعة العبور. موقعك لا يتباطأ فحسب؛ بل يصبح غير قابل للوصول.

تخيل طريقاً سريعاً بأربعة مسارات. حركة المرور تسير بشكل طبيعي. والآن تخيل 50,000 سيارة تحاول الدخول دفعة واحدة. لا شيء يتحرك. هذا هو النموذج — استنفاد كامل للطاقة الاستيعابية.

الأرقام هنا ليست صغيرة. تصل الهجمات الحجمية الحديثة بانتظام إلى مئات الغيغابت في الثانية. أضخم الهجمات المسجلة تخطت حاجز 1 Tbps. خادم الاستضافة المشتركة النموذجي يعمل على رابط بسرعة 1 Gbps. يمكنك أن تتخيل كم يصبح الأمر إشكالياً بسرعة.

أكثر ثلاثة أساليب للهجمات الحجمية شيوعاً

UDP Flood

بروتوكول UDP لا يحتاج إلى تأسيس اتصال مسبق — يمكنك إرسال حزم إلى أي IP ومنفذ مباشرة. يستغل المهاجمون ذلك بإغراق الهدف بكميات ضخمة من حزم UDP. يحاول الخادم معالجة كل حزمة، فلا يجد شيئاً يستمع على ذلك المنفذ، فيرسل رسالة ICMP "الوجهة غير متاحة". اضرب ذلك في ملايين الحزم في الثانية، وسيُستنفد النطاق الترددي في الاتجاهين معاً.

ICMP (Ping) Flood

حزم Ping صغيرة — عادةً 64 بايت. لكن أرسل منها ما يكفي بسرعة كافية وستتراكم. تُرهق هجمات ICMP المكدس الشبكي للخادم نفسه. يستهلك الخادم دورات CPU لمعالجة كل طلب وارد وتوليد ردود الصدى، مما يكاد لا يترك شيئاً للعمل الحقيقي.

هجمات التضخيم

هذه هي أخطر الهجمات الحجمية لأنها تتيح للمهاجمين تحقيق تأثير يفوق إمكاناتهم بكثير. آلية عملها كالتالي:

  • يرسل المهاجم طلباً صغيراً إلى خادم مفتوح (DNS أو NTP أو Memcached وغيرها) مع تزوير عنوان IP الخاص بك كمصدر
  • يرسل الخادم المفتوح استجابة أكبر بكثير إلى عنوان IP الخاص بك
  • يكرر المهاجم ذلك آلاف المرات بشكل متوازٍ

يمكن لتضخيم DNS تحقيق معامل تضخيم يتراوح بين 28x و54x. يمكن لتضخيم NTP الوصول إلى 556x. وقد قيس تضخيم Memcached بأكثر من 51,000x في هجمات حقيقية. مع شبكة botnet متواضعة الحجم، يمكن للمهاجمين توليد مئات الغيغابت من حركة المرور الموجهة نحو هدف واحد.

كيف تبدو هذه الحركة على الشبكة؟

يستطيع مهندسو الشبكات اكتشاف الهجمات الحجمية بسرعة عند مراجعة سجلات حركة المرور. بعض العلامات الواضحة:

  • تماثل حجم الحزم: كثيراً ما تتكون حركة مرور الهجوم من حزم متقاربة جداً في الحجم. حركة التصفح الطبيعية متنوعة — استعلامات DNS صغيرة، واستجابات HTML متوسطة، وتنزيلات صور أكبر. النمط المتماثل علامة تحذيرية.
  • التركيز على منفذ واحد: حركة مرور تضرب المنفذ 53 أو المنفذ 80 حصراً دون سواها تبدو غير طبيعية.
  • عناوين IP مصدر مزيفة: تستخدم هجمات التضخيم عناوين مصدر مزورة. ستشاهد حركة مرور قادمة من محللات مفتوحة معروفة حول العالم — آلاف عناوين IP المختلفة، لكنها جميعاً ترسل حزماً متشابهة الحجم بمعدلات غير اعتيادية.
  • التجمع الجغرافي: كثيراً ما تُظهر الفيضانات التي تقودها شبكات botnet تركزاً كثيفاً من دول أو أنظمة ASN معينة، خاصة تلك المعروفة باستضافة بنية تحتية مخترقة.
  • نسب البروتوكولات: على خادم ويب طبيعي، يجب أن تكون حركة مرور UDP جزءاً صغيراً من TCP. إذا أصبحت UDP فجأة تمثل 95% من الحزم الواردة، فثمة خطأ ما.

لماذا لا يستطيع خادمك تحمّل الهجوم وحده؟

من الأوهام الشائعة أنك تحتاج فقط إلى خادم قوي بما يكفي. CPU وRAM أقل أهمية مما تظن خلال هجمة حجمية. الاختناق يحدث دائماً تقريباً في الرابط الشبكي نفسه.

حتى لو تجاهل CPU الخادمُ كل حزمة خبيثة، لا بد أن تصل هذه الحزم إلى بطاقة الشبكة أولاً قبل أن يمكن إسقاطها. هجمة بسرعة 10 Gbps على خادم بسرعة 1 Gbps لا تحتاج إلى معالجة — تحتاج فقط إلى الوجود. الأنبوب يمتلئ بغض النظر عما يفعله الخادم داخلياً. لا يمكنك مواجهة هجمة حجمية بالأجهزة على مستوى الخادم.

لهذا السبب يحدث الدفاع الحقيقي الوحيد في مرحلة أعلى، قبل أن تصل حركة المرور إلى خادمك أصلاً. تناولنا هذا بالتفصيل في شرح هجمات DDoS: ما هي وكيف تعمل الحماية على مستوى الاستضافة.

أين تتدخل حماية DDoS في الاستضافة فعلاً؟

تعمل حماية DDoS في الاستضافة الفعّالة عن طريق تنقية حركة المرور في مرحلة أعلى عند حافة الشبكة — في نقطة من البنية التحتية تمتلك طاقة استيعابية أكبر بكثير من أي خادم منفرد. عند اكتشاف هجوم، تُعاد توجيه حركة المرور عبر مراكز التنقية القادرة على معالجة مئات الغيغابت في الثانية، وتصفية الحزم الخبيثة، وتمرير حركة المرور النظيفة فقط إلى خادمك.

الخطوات التقنية الرئيسية تبدو كالتالي:

  1. الاكتشاف: يتم تحديد خطوط الأساس لحركة المرور. الحالات الشاذة — ارتفاعات مفاجئة في UDP، أو توزيعات غير معتادة لأحجام الحزم، أو بلوغ حدود المعدل — تُطلق تنبيهاً.
  2. التصنيف: تُحدَّد بصمة حركة مرور الهجوم. هل هو هجوم انعكاس؟ UDP Flood؟ ما المنافذ والبروتوكولات وأنماط المصدر؟
  3. التصفية: تُطبَّق قواعد لإسقاط حركة المرور المطابقة قبل وصولها إلى الخادم الأصلي. تستمر حركة المرور النظيفة. تُتجاهل حركة المرور الخبيثة.
  4. المراقبة: كثيراً ما يتغير نمط الهجوم حين يدرك المهاجمون أن فيضانهم يُعادَل. يتكيف التحليل المستمر مع الفلاتر في الوقت الفعلي.

تعمل حماية DDoS في الاستضافة الجيدة بطاقة شبكية تجعل حتى الهجمات الكبيرة قابلة للإدارة — لأن طبقة التنقية تمتص الحجم قبل أن يراه خادمك. هذا ما نقوم به هنا، ولهذا يجب أن تكون الحماية على مستوى البنية التحتية للاستضافة وليس على الخادم نفسه.

للاطلاع على كيفية دمج هذا في استراتيجية أمنية أشمل، يستحق قراءة مجموعة أدوات أمان المواقع التي يجب أن يعرفها كل مالك موقع في 2025.

ماذا عن هجمات طبقة التطبيقات؟

الهجمات الحجمية تستهدف عرض النطاق الترددي. لكن هناك فئة مرتبطة بها — هجمات Layer 7 أو طبقة التطبيقات — تستهدف بدلاً من ذلك طاقة معالجة خادم الويب. ترسل طلبات تبدو كحركة مرور HTTP طبيعية لكنها مصممة لاستنفاد موارد الخادم (اتصالات قاعدة البيانات، وذاكرة الجلسات، وCPU).

تستخدم هذه الهجمات عرض نطاق ترددي أقل بكثير ويصعب اكتشافها من خلال تحليل الحزم وحده. هنا يأتي دور جدار حماية تطبيقات الويب WAF — فهو يفحص محتوى الطلبات، لا حجمها فحسب. الدفاعان يكملان بعضهما البعض، وليسا بديلين عن بعض. ما هو جدار حماية تطبيقات الويب وهل تحتاجه فعلاً؟ يشرح كيف تعمل تلك الطبقة عملياً.

يمكنك أيضاً الاطلاع على التفاصيل التقنية لكيفية تعاملنا مع كلا النوعين من التهديدات في نظرة عامة على تخفيف DDoS وتوثيق WAF.

الخلاصة العملية

هجمات DDoS الحجمية هي مشكلة عرض نطاق ترددي، لا مشكلة برمجيات. لن تنقذك أي كمية من تقوية الخادم أو إضافات WordPress أو إعدادات مستوى التطبيق حين يضرب فيضان بعدة غيغابت رابطك الشبكي. يجب أن تحدث الحماية في مرحلة أعلى، على مستوى الشبكة، بطاقة كافية لامتصاص حركة مرور الهجوم أو تصفيتها قبل أن تصل إليك.

إذا كانت خطة استضافتك لا تتضمن حماية DDoS في الاستضافة على مستوى البنية التحتية، فأنت تراهن على قدرة خادمك على تحمّل شيء لا يستطيع بطبيعته تحمله وحده. هذا هو الجانب الذي يستحق الفهم — والتحقق منه قبل الهجمة القادمة، لا بعدها.

فريق Proginter
فريق Proginter خبراء في إدارة الخوادم وأمن المواقع والأداء. ندير الخوادم حتى لا تضطروا لذلك.

مقالات ذات صلة

كيف تؤثر حماية أمان المواقع على ترتيبك في Google وثقة المستخدمين
الأمان

كيف تؤثر حماية أمان المواقع على ترتيبك في Google وثقة المستخدمين

حماية أمان المواقع لها تأثير مباشر على ترتيبك في Google ومدى ثقة الزوار بموقعك. إليك بالضبط كيف تنعكس قرارات الأمان على كليهما.

13 مايو 2026
أبرز ميزات حماية أمان المواقع التي تتجاهلها معظم خطط الاستضافة
الأمان

أبرز ميزات حماية أمان المواقع التي تتجاهلها معظم خطط الاستضافة

شهادة SSL وجدار حماية أساسي لا يكفيان. إليك نظرة على طبقات حماية أمان المواقع التي تتجاهلها معظم خطط الاستضافة بهدوء — ولماذا هي أهم مما تتوقع.

6 مايو 2026
كيف تراجع حماية أمان موقعك الحالية دون الاستعانة بمتخصص
الأمان

كيف تراجع حماية أمان موقعك الحالية دون الاستعانة بمتخصص

لست بحاجة إلى استشاري أمني لتعرف أين يقف موقعك. هذه المراجعة الذاتية العملية تأخذك خطوة بخطوة عبر أهم الفحوصات التي يجب على كل صاحب موقع إجراؤها للكشف...

29 أبريل 2026