الحماية من الدوس اتاك DDOS Protection باستخدام الكلاودفلير

منذ 5 سنوات 1444
الحماية من الدوس اتاك DDOS Protection باستخدام الكلاودفلير

تعريف الكلاود فلير Cloudflare : 

كلاود فلير شركة تقدم خدمات الويب المختلفة مثل  CDN, Security, Performance, Web ApplicationFirewall, Analytics, DNS, DDOS Protection  وغيرها. فهي تعمل كـ Proxy يقوم بتمرير الاتصالات إلى موقعك بعد ان يتم تنفيذ خواص الكلاودفلير عليها والتى تمنع الدوس اتاك.

image
آلية التنفيذ من كلاودفلير لحماية موقعك من الدوس اتاك :
1-  الاشتراك في الخطة بيزنس  Businessبكلاودفلير وتفعيلها بعد تعديل الـ NameServers ،  لماذا الخطة Business ؟ ﻷنها توفر حماية متقدمة من الـ DDOS على Layer 3,4,7 على عكس الـ Free والـ Pro .
2-  لوحة تحكم كلاودفلير يتم الدخول إلى تاب DNS ثم تفعيل Status عن طريق الضغط على الأيقون وتغيير حالتها من اللون الرمادي إلى البرتقالي وذلك ليتم تفعيل البروكسي على كافة الاتصالات إلى السيرفر من خلال كلاودفلير.
ويتم تنفيذ هذه الخطوة في كل الـ A Records والـ CNames واذا كان هناك قيمة واحدة فقط في هذه الصفحة غير مفعل عليها البروكسي فسيستطيع المهاجم الحصول على أيبي السيرفر (Server IP) بسهولة.
3- حذف أي ريكوردس أخرى تم اضافتها من كلاودفلير تشير إلى أيبي السيرفر الخاص بك أو أي TXT أو MX Records.  ليكون الشكل النهائي كمثال :

imageاضغط على الصورة لمشاهدة الحجم الكاملوبعد تنفيذ الخطوة السابقة سيتوقف الدومين عن استقبال ايميلات وتذكر أن الهدف هو أن نقوم باخفاء أيبي السيرفر تماما لذلك سيتطلب الأمر استخدام خدمة ايميلات خارجية وتوجيه الـ MX Records من خلال نفس التاب لتشير إلى سيرفر ايميلات آخر غير سيرفرك مثل Google, Zoho أو غيرها.
imageاضغط على الصورة لمشاهدة الحجم الكامل
4- استخدم تاب Firewall بلوحة تحكم كلاودفلير وقم بتغيير Security Level إلى High ، علما بأن تغييرها إلى I’m Under Attack mode  سيضيف طبقة حماية اضافية لمن يدخل موقعك وذلك بظهور رسالة التحقق من الاتصال تختفي بعد عدة ثواني وينصح بأن يتم تفعيلها اذا كان الأتاك كبير.
imageاضغط على الصورة لمشاهدة الحجم الكام
5-  من خلال نفس التاب قم بتفعيل قوانين Web Application Firewall فستضيف طبقة حماية قوية لموقعك من خلال قوانين OWASP أو قوانين كلاودفلير الخاصة.
imageاضغط على الصورة لمشاهدة الحجم الكامل6- عمل حجب أو تحقق Captcha للدول التي يأتيك الهجوم منها, فمثلا اذا كان الأتاك من الصين وروسيا وهونج كونج يمكنك عمل Challenge لها لتظهر لأي يوزر يدخل موقعك من هذه الدولة صفحة التحقق بال Captcha أو حجبهم تماما من الدخول.
imageاضغط على الصورة لمشاهدة الحجم الكامل
7-لا تقوم أبدا بنشر أيبي السيرفر الحقيقي وتستخدمه انت فقط في الدخول للسيرفر مثل SSH, FTP, SMTP, IMAP .. الخ ويفضل أن تقوم بتغيير أيبي السيرفر القديم إلى أيبي آخر جديد اذا كنت بالفعل تحت الهجوم قبل تفعيل كلاودفلير ﻷن الأيبي القديم بالفعل سيكون مع المهاجم.