کلودفلر (CloudFlare) واقعا یک آنتی دیداس است؟

[softlayer]

درود
گفته های شما در ارتباط به سرویس رایگان صدق میکنه.
البته خود cloudflare هم در رابطه با جلوگیری از حملات روی پلن رایگان هیچگونه ادعایی نداره. این مشکل از برداشت بد کاربران هست.
در ارتباط به سایر پلن ها مثل business , enterprise به وضوح اعلام شده که در برابر حملات لایه 3,4,7 محافظت شده هست.
وبسایت cloudflare کاملا تمام این موارد رو توضیح داده و نمیشه گفت مارو فریب داده ما بلد نیستیم مطالعه کنیم و این مشکل ماست نه cloudflare.

[smhnw]

خوب همین انجمن مرتب زیر حمله بود و چند روز مرتب دوون میشد الان داره از سرویس کلودفلیر استفاده میکنه و دوون نشده .

این سایت هم که فرمودید شناسایی میکنه کار خیلی راحتیه !

کلودفلیر به صورت پیشفرض یک رکورد به نام mail درست میکنه و هدایت میشه به ای پی سرورتون که با برداشتنش مخفی میشه .

اگر این رو بردارید و هاستتونم اگر سی پنل باشه ssl اجباری رو بردارید و راه های نفوذ اسکریپتتونم تا حد مناسبی ببندید امکان دراوردن ای پی اصلی خیلی سخت میشه .



خیلی خیلی راه هست برای دراوردن ای پی اصلی که نیاز به تجربه و وقت دارد .

ووو :: لطفا نگید : بابا تجربه . بابا استاد . بابا تو کار بلد . بابا تو آیفون 6 ما 1200 ---->>> بنده چیزی که میدونستم رو بیان کردم .

[viasky]

خوب همین انجمن مرتب زیر حمله بود و چند روز مرتب دوون میشد الان داره از سرویس کلودفلیر استفاده میکنه و دوون نشده .

این سایت هم که فرمودید شناسایی میکنه کار خیلی راحتیه !

کلودفلیر به صورت پیشفرض یک رکورد به نام mail درست میکنه و هدایت میشه به ای پی سرورتون که با برداشتنش مخفی میشه .

اگر این رو بردارید و هاستتونم اگر سی پنل باشه ssl اجباری رو بردارید و راه های نفوذ اسکریپتتونم تا حد مناسبی ببندید امکان دراوردن ای پی اصلی خیلی سخت میشه .



خیلی خیلی راه هست برای دراوردن ای پی اصلی که نیاز به تجربه و وقت دارد .

ووو :: لطفا نگید : بابا تجربه . بابا استاد . بابا تو کار بلد . بابا تو آیفون 6 ما 1200 ---->>> بنده چیزی که میدونستم رو بیان کردم .

بله در صورتی که ایمیل از طرف سرور برای شما ارسال بشه متاسفانه آی پی اصلی و می تونید مشاهده کنید و عملا دیگه بی اثر میشه این همه تدارک دیدن
الان شما امتحان بفرمایید
زرین پال
سیباپال
ایمیل ارسان نمی کنند و دارند از dns ***** استفاده می کنند
ایمیل بازیابی و ثبت نام برای شما ارسال نمیشه
به نظر بنده بهترین روش همون آنتی دیداس و فایروال سخت افزاری هست
موفق باشید

[iHSG]

سلام
ممنون مطلب فوق العاده ای بود.
به نظر من حتی اگر همه اینا درست باشه و CloudFlare هم آنتی دیداس نباشه باید توجه داشته باشید که این همه امکانات رو رایگان در اختیار ما میذاره.
وقتی رایگان این همه امکانات میده به جای تشکر و قدردانی باید از اینکه مثل سرویس پولی فلان شرکت نیست شاکی باشیم؟

نمی دونم چرا مردم ایران همه چیز رو رایگان که می خوان هیچ توی همون رایگانه هم بهترین امکانات رو می خوان

[smhnw]

سلام
ممنون مطلب فوق العاده ای بود.
به نظر من حتی اگر همه اینا درست باشه و CloudFlare هم آنتی دیداس نباشه باید توجه داشته باشید که این همه امکانات رو رایگان در اختیار ما میذاره.
وقتی رایگان این همه امکانات میده به جای تشکر و قدردانی باید از اینکه مثل سرویس پولی فلان شرکت نیست شاکی باشیم؟

نمی دونم چرا مردم ایران همه چیز رو رایگان که می خوان هیچ توی همون رایگانه هم بهترین امکانات رو می خوان

قدیما میگفتن کاچی بهتره هیچیه .

اما هزار نوع راه هست واسه درآوردن ای پی که همه بر میگرده به خوده وبمستر !

کلودفلیر کارشو به بهترین حالت داره انجام میده این وسط کوتاهی از طرف برخی مدیران هست که میگن با تغییر دی ان اس همه چی اوکی میشه !

افزونه واسه اسکریپت ها نوشته شده که مشکلاتو میگیره اما بگم تقریبا رفع میکنند .

[IrIsT]

سلام و درود.
طی تجربه هایی که با کلودفلیر داشتم,رایگانش برای دیداس نیست.رایگانش یک امکاناتی میده که میشه گفت خیلی هم کمک میکنه.نه بده نه خیلی خوب.اینکه بگیم برو روی کلوفلیر و دیگه راحت,این اشتباه است.
اما درکل بخوایم حساب کنیم خوبه.
نسخه آخرش از همه بتره و روی دیداس ها و اتک ها تاثیر داره.
اما یک چیزایی هستش که کانفیگ خود کلودفلیر هستش.باید تنظیماتی رو انجام بدین.
مثلا شما mybb استفاده میکنید.یهو میبینید ادیتور لود نمیشه.یک همچین مشکلاتی رو داره که باید با کانفیگهای اونو درست کنید.
اما استفاده ازش ضرر نداره.ولی دیگه اینم بگیم.نباید توقع داشت چون رایگانه باید کل حملات رو ببنده.دیگه اگه اینطوری بود که واویلا میشد.

[amirfateh]

با سلام؛ شاید برای برخی کاربران سوالات مبهمی در خصوص کلودفلر وجود داشته باشد؛ بعضی ها به عنوان CDN استفاده می کنند و بعضی ها به عنوان آنتی دیداس! بعضی ها از آنتی دیداس آن راضی هستند و برخی ها معتقد هستند اصلا مناسب برای آنتی دیداس نیست و برای صحت گفته های خود از تجربه ای که با کلود فلر داشتند ممکن است بگویند.
این تفاوت نظر ها در کجاست؟ آیا حملاتی که این نوع کاربران کلود فلر داشته اند با هم متفاوت است؟ نوع وب سایت کابران متفاوت بود؟
تصمیم گرفته ام در این تاپیک یک مطلبی در خصوص کلودفلر و نحوه عملکرد آن بنویسم؛ شاید دانستنی های جالبی برای شما وجود داشته باشد.

قبل از شروع مطلب شاید بپرسید که کلا سرویس کلودفلر چیست؟ با کلیک بر روی لینک می توانید به مطلب قبلی که در خصوص کلودفلر نوشته ایم دسترسی پیدا کنید. همانطور که در این مطلب اشاره شده کلودفلر یکی از سرویس های خوب و محبوب CDN به حساب می آید ( CDN چیست؟ ) .

اما همانطور که در سایت کلودفلر هم می بینید و یا احتمالا شنیده اید؛ کلودفلر (CloudFlare) به عنوان یک سرویس آنتی دیداس نیز شناخته شده است و جالب تر این است که این سرویس به صورت رایگان نیز ارائه می شود! اما چگونه ممکن است در زمانی که شرکت های بزرگی همچون incapsula, blacklotus, prolexic, arbornetworks, staminus و …. سرویس های دیداس پروتکشن (آنتی دیداس) خود را با قیمت های چند هزار دلاری ارائه می دهند؛ کلودفلر (CloudFlare) این سرویس را به صورت رایگان ارائه دهد؟

در مرحله اول باید بدانیم یک حمله DDoS دقیقا چیست؟

حقیقت ماجرا این است که کلودفلر (CloudFlare) ممکن است در بعضی مواقع جلوی حملات DDoS – دیداس را بگیرد اما در واقع نحوه عملکرد آن را شبیه هیچ یکی از سرویس های آنتی دیداس شرکت های بالا نیست و اگر قرار باشد یک تعریف کلی از یک سرویس آنتی دیداس با توجه به مجموعه سرویس های شرکت های بزرگ در این زمینه داشته باشیم کلودفلر در پلن های رایگان و حتی ۲۰۰دلاری خود هیچ سرویس آنتی دیداسی ارائه نمی دهد!


کلود فلر یک سرویس برای میزبانی شما نیست؛یعنی شما نمی توانید یک سرور از کلودفلر بخرید و سرویس خود را راه اندازی کنید! شما فقط این امکان را دارید تا از نیم سرور های کلودفلر برای تغییرIP رکورد A به سرور های آنها استفاده نمایید و این سرویس به نوعی یک رابط بین سرور شما و کاربرانتان فقط بر روی پورت ۸۰ و ۴۴۳ خواهد بود.
در حقیقت IP سرور شما مخفی می شود( که با محافظت شدن تفاوت دارد) در این روش اگر هکر (شخصی که قصد انجام حملات دیداس بر روی سرور شما را دارد) اگر بتواند به هر دلیلی IP سرور اصلی شما را به دست بیاورد می تواند به حملات خود بدون مشکل ادامه دهد چون مخفی کردن یک آی پی به این راحتی هم نیست!

مورد بعدی محدودیتی است که برای شما پیش می آید؛ اگر قصد داشته باشید به هر دلیلی از پورت های دیگر سرور برای سرویس های خود استفاده نمایید کلودفلر هیچ کنترلی بر روی آن نخواهد داشت و به راحتی می تواند باعث لو رفتن IP و انجام حملات شود یعنی در حقیقت سرویس هایتان مبتنی بر دامین است و هیچ سرویس مبتنی بر IP نخواهید توانست ارائه دهید.

این موارد در خصوص حملات لایه ۴ و ۳ شبکه می باشد ؛ اما در خصوص حملات لایه۷ که ترافیک شما بر خلاف سرویس های مبتنی بر IP ؛ از طریق دامین انجام می شود و به عبارتی از سرویس رابطه ای کلودفلر (CloudFlare) استفاده می کند به چه صورت است؟ ترافیک به صورت Real Time آنالیز و بررسی می شوند و حملات مهار می شوند؟ خیر !

حقیقت این است در سرویس های رایگان که هیچ، حتی در سرویس ۲۰۰ دلاری ماهیانه کلودفلر نیز حملات لایه ۷ بلاک و مهار نمی شوند و مستقیم بدون هیچ پروسس و هیچ فایروالی به سرورتان می رسند و می توانند برایتان به راحتی مشکل ساز شوند!

اما در عوض کلودفلر سیستم Under Attack را در اختیار کاربران می گذارد که در این روش در هنگام باز شدن سایت یک لودینگ ۵ ثانیه ای به نمایش در می آید و سپس کاربر به سایت اصلی شما هدایت می شود! ممکن است افرادی مایل نباشند در اول سایتشان چنین لودینگی ظاهر شود یا به دلایل تکنیکی و سئو و…. وجود یک لودینگ اجباری در اول سایت جالب نباشد. اما اگر این روش یک راه حل صد در صد برای جلوگیری از حملات باشد شاید نتوان از آن چشم پوشی کرد! بیایید ببینیم در این لودینگ چه اتفاقی می افتد؟

اگر در سورس این لودینگ دقت کنید یک form جهت پاس کردن یکسری مقادیر مشاهده می کنید:

مقادیر این فرم توسط یک پروسس جاوا اسکریپتی تکمیل می گردند:

و زمان پست می توانید مقادیر ارسالی را در هیدر ببینید:

اگر مقادیر ارسال شده توسط پست با سشن ذخیره شده در سرور کلود فلر یکسان بود یک کوکی منحصر به فرد ایجاد می شود. این کوکی تا زمانی که فعال باشد دیگر این لودینگ برای کاربر نمایش داده نخواهد شد؛ یعنی با استفاده از این کوکی کاربران مستقیم وارد سایت می شوند.

پس در این پروسس ساده باید دو عامل جاوا اسکریپت و کوکی فعال باشد که در همه مرورگر ها فعال است اما بات نت ها این امکان را نداشتند( البته در زمان قدیم تر) یعنی اکثر بات نت ها با ارسال دستورات GET یا POST سعی در حملات لایه ۷ داشتند که امکان پاس کردن این لودینگ و رفتن به سایت هدف را نداشتند و در حقیقت هیچ پروسس پیشرفته ای برای شناسایی حملات در کار نیست! هر کس جاوا را پاس کرد به راحتی وارد سایت می شود و پاس نکرد در پشت لودینگ می ماند.


اما در حال حاضر به راحتی امکان پاس کردن این مرحله و ورود به سایت توسط روبات ها و بات نت ها امکان پذیر است.ویروس in32/DoS.OutFlare.A یکی از مدرن ترین برنامه هایی است که برای بایپس کردن این پروسس کلود فلر استفاده شده است.


cloudflare-scrape نیز برنامه ای است که به زبان Python نوشته شده است که با استفاده از Node.js می تواند به راحتی کلودفلر را بایپس کند ( دور بزند ).بنابر مطالب گفته شده نباید از کلودفلر همانند یک سرویس آنتی دیداس واقعی انتظار داشته باشید؛ هر چند در خصوص برخی حملات لایه ۷ ( با استفاده از لودینگ 5 ثانیه ای) ممکن است کاربرد داشته باشد و یا IP شما را مخفی کند.

منبع: سنترال هاستینگ

تشکر از مطلب مفیدتون
اگر سناریویی برای راه اندازی آنتی دیداس یا مقابله با اتک ها در دیتاسنترهای داخل کشور دارید خوشحال میشیم بتونیم با شما در راه اندازی و اجرا مشارکت کنیم.

باتشکر،
فاتح

[IrIsT]

تشکر از مطلب مفیدتون
اگر سناریویی برای راه اندازی آنتی دیداس یا مقابله با اتک ها در دیتاسنترهای داخل کشور دارید خوشحال میشیم بتونیم با شما در راه اندازی و اجرا مشارکت کنیم.

باتشکر،
فاتح

با سلام و درود.
بنده هم اگر اجازه بدین,میتونم داخل سناریو آنتی دیداس شرکت کنم.میتونیم یک گروه درست کنیم.
من هستم.حتی داریم روش کار میکنیم.
بدون مخفی کردن آیپی,باید کاری کرد که بشه خیلی راحت جلوشو گرفت.نیازمند یک سری افراد با استعداد و با علم و دانش هستیم که نظرات خوبی بدن و روی سناریو کار کنیم و یک نفر که پیاده سازی کنه.یک نفر برنامه نویس هم هست داخل تیمم.
اگر خواستید در خدمت گذاری هستم و استقبال می کنم.

[alirezakaj]

تشکر از مطلب مفیدتون
اگر سناریویی برای راه اندازی آنتی دیداس یا مقابله با اتک ها در دیتاسنترهای داخل کشور دارید خوشحال میشیم بتونیم با شما در راه اندازی و اجرا مشارکت کنیم.

باتشکر،
فاتح

راهی که سراسر دنیا برای محافظت در برابر اتک انجام میدن ddos mitigation هست که نیازمند وقت زیاد و هزینه برای اینکار هست
https://www.google.com/search?q=ddos...utf-8&oe=utf-8
خوشبختانه عادت خوبی که خارجی ها دارند اینه که علم رو به اشتراک میزارن
پس در قدم اول میتونید با شرکت های فعال در این زمینه همکاری کنید
البته میگم این چیزا پول میخواد و دولت هم متاسفانه بودجه ای برای این کار در نظر نمیگیره ! همه ی ماجرا همینه وگرنه به نظر من ایران پتانسیل این کار رو داره

[IrIsT]

راهی که سراسر دنیا برای محافظت در برابر اتک انجام میدن ddos mitigation هست که نیازمند وقت زیاد و هزینه برای اینکار هست
https://www.google.com/search?q=ddos...utf-8&oe=utf-8
خوشبختانه عادت خوبی که خارجی ها دارند اینه که علم رو به اشتراک میزارن
پس در قدم اول میتونید با شرکت های فعال در این زمینه همکاری کنید
البته میگم این چیزا پول میخواد و دولت هم متاسفانه بودجه ای برای این کار در نظر نمیگیره ! همه ی ماجرا همینه وگرنه به نظر من ایران پتانسیل این کار رو داره

سلام و درود
یک سیستم بر پایه چک کردن رکیوست هایی که داده نیده
تعداد درخواست ها در ثانیه بر اسا یک آیپی
چک کردن یک پکت ارسالی جواب از سمت یک سیستم محافظ.
و ....
حالا سیستم دفاعی باید به چه شکلی باشه،به صورتی که لایه های دیگر رو ام سامورت کنه
ما پورت 80 و 443 رو میزنیم رو کلودفلیر.درخواست ها کنترل میشن
سرویس های دیگه در حال اجرا هم باید یک نوع به قول خودمون ***** داشته باشن.
کلود فلیر یک بایپس جالبی داره.اون توی درخواست ها خیلی حساسه.مثلا پکت ارسالی رو کنترل میکنه،بیشتر فعالیت بر روی ارسال یک نوع داده و جلوگیری از ارسال دادهوهای غیر مجاز
اما طی آنالیزی که کردیم،داح یک سیستم کلود فلیر هم میشه بهشوحمله کرد
ددسته آیپی ها رای سرورشون هستش و ازوآیپیوها محافظت میکنه
اما یک مشکل اساسی که چک گردیم،روی لایهو7
یک سایت واسه رورسه آیپی هستش.اسمش یادم شده.youcentral بود نمیدونم.تو همین مایه ها
روی اون چک کردیم.نسخه آخری استفاده میکنن،اما تونستیم دیتابیس رو مورد اختلال قرار یدیم که باعث میشد سایت بالا باشه،اما هیچ سایت یا آیپی رو رورشه نمیرد
میزد در دسترش نیست.

این ساین رو بخونید کامل:
http://www.wired.com/insights/2012/1...os-mitigation/

اینم توضیحات خود کلودفلیر در باره سیستم و عملکرد

https://www.cloudflare.com/ddos/

جالبه.بخونید.

- - - Updated - - -

خوب مسلما شما که انتظار ندارید من تمام روش ها و الگوریتم های استفاده شده را برای شما شرح بدم !
سرویس ما با سرویس کلودفلر قابل مقایسه نیست؛ چرا که برای مقایسه دو سرویس باید یکسری شرایط یکسان وجود داشته باشد؛کارکرد ها متفاوت است تا حدودی؛
کلودفلر در حقیقت تبدیل به یک شبکه جهانی شده است؛ پس انتظار نداشته باشید نه تنها ما؛ بلکه هیچ شرکت ایرانی دیگری ادعای این راداشته باشد که خود را باکلودفلر مقایسه کند؛
شبکه کلودفلر فقط شامل 79 دیتا سنتر از شرق تا غرب می باشد، تعداد سرور ها بماند.
مطمئنا در بحث جلوگیری از دیداس منابع سخت افزاری همیشه حرف اول را می زنند ! در خصوص CDN که باز هم بماند؛
تنها مقایسه ای که در تاپیک شد سرویس DDoS Protection لایه 7 کلودفلر بود؛ که البته باز هم در تاپیک مقایسه نشد و پاسخ به سوال یکی دیگر از کاربران بود.
کلودفلر از نظر لایه 7 هم قوی سیستم های تشخیص را دارد ولی به صورت رایگان در اختیار کسی نمی گذارد؛ در حالت رایگان فقط گزینه Under attack وجود دارد که همان لودینگ است و دیگر مراحل لودینگ که توضیح دادم؛
در سرویس کلودپروتکشن رکوئست های ارسالی """بررسی""" می شوند و اگر تشخیص حمله در یکی از مراحل صورت بگیرد آن رکوئست بلاک می شود.
یعنی در حالت عادی اصلا لودینگی به کاربر نمایش داده نمی شود که قابل دور زدن باشد، این ""بررسی"" شامل یکسری قوانین و دستور العمل ها و .... می باشد که تشخیص می دهد این یک حمله است یا خیر.

کلودفلر هم این کار را می کند ولی نه برای سرویس های رایگان؛ چون اگر قرار باشد چنین سرویسی را رایگان هم بدهد به چند برابر سخت افزار های فعلی جهت پردازش نیاز دارد.
و اگر نه هیچ وقت ما خودمان را به صورت کلی با سرویس دهنده بزرگی مثل کلودفلر مقایسه نکردیم.

اگر سوال تخصصی تری در خصوص سروریس کلود پروتکشن ما هست می توانید در تاپیک فروش ما بپرسید؛ این تاپیک آموزشی است و نمی توانیم زیاد در این خصوص توضیحی به شما بدهیم.

سلام و درود
بسیار ممنون که جواب رو به صورت یک جواب منطقی دادین
در مورد بحث آموزشی،والا گفتم جون با گوشی هستم نمیتونم هی ثبت نام کنم.واسوهمین گفتم سوالات رو اینجا بپرسیم و اگر مقدور باشه جواب رو بدین تا عملکرد سیستم خوبتون و تلاشتون در این زمینه،نمایان تر بشه
خوب اگه اشتباه نکنم فامیلتون آقای بنایی بود.
خوب،اون که منم حتی راضی نیستم که الگوریتم کاریت نو بگین.چون شما زحمت پاش کشیدین.چرا باید عمومی بگین.این کاملا درک میکنم
خوب حالا طی گفته های شما،این سیستم شما،بر اساس چک کردن درخواست هاست.یک سیشن خاص به یک شخص داده میشه
اون شخص احراز هویت میشه.شروع میکنه به درخواست و پاسخ.حالا اینکه به گفته شما درخواست ها رو چک میکنند،در صورتی که درخواست درست باشه پاسخ داده میشه
اما اگز درخواست مشکل داشته باشه رد درخواست و بلاک میشه
یک سیستمی که دارای فایروال سخت افزارس و آنتس دیداس نرم افزاری برای محافظت از لایه های دیگه و سرویس های مختلف
یک waf برای ***** کلمات و چک کردن یک درخواست.که میشه گفت تا حدودی متوجه شدم از عملکرد
اما یک سوال میمونه،دلیل اینکه پهنای باند خاصی رو ارائه میدین،بخاطر اینه که سروری که انتخاب گردین پهنای محوود میده؟یا اینکه بخاطر کمبود سرورها و cdn مخصوص هستش که هنوز به حدی نرسیده
که یتونه پهنای نا محدود رو سامورت کنه و حملات بر پایه پهنای باند رو جلوگیری کنه؟
بهوازای هر پهنای باند مختلف،هزینه مختلف
خوب یک سوال پیش میاد
اگر تعداد حملات زیادتر باشه،طوری که پهنای لاند کم بیاره،اون موقع تکلیف چیه؟
چون داره از پهنای شما کم میشا.نه سایتی مثلا سایت من.چون زیر مجموع سایت شماست..
با اینکه مطئنم کارهای برای این مشکل انجام دادین
اما گسترده،باعث فشار و همچنین مشکل برای پهنای باند پیش نمیاد؟
با تشکر از پاسخ گویی
طی جوابتون حتما از سیستم شما استفاده میکنم.وز پایه شروع میکنم تا به پکیج اصلی.
البته نه برای محافظت،برای روند کاری.
حالا یکم هزینه ها بالاست.سعی میکنم یک طور کنار بیام.مرسی از شما و پاسخ شما