ماذا تفعل عند هجوم DDoS على موقع ويب؟

Avatar
Manuel Schulz · 31.10.2025 · أمن تكنولوجيا المعلومات · 7 دقائق

مؤخرًا تم Zerlo.net التعرّض لهجوم DDoS. يهمنا: كيف نتعامل مع ذلك، كيف نكتشف مثل هذا – وكيف أمكننا إثباته بشكل واضح؟ في هذا المقال أُبين خطواتنا، ما وراء DDoS، وكيف Cloudflare كطبقة حماية تساعد. إذا كان لديكم مشاكل مشابهة، ستجدون أدوات عملية على موقعنا Zerlo-Toolseite وفي المزيد من المقالات ضمن Zerlo-Blog .

بانر الميزة: هجوم DDoS – صورة رمزية

المصدر: عرض خاص

شرح: ما هو DDoS؟

هو Distributed-Denial-of-Service-Angriff (DDoS) هو المحاولة لإيقاف خدمة عبر الإنترنت من خلال طلبات موزعة بشكل جماعي. «Distributed» يعني: الهجوم يأتي في وقت واحد من مصادر كثيرة، غالباً آلية/أوتوماتيكية ( CISA-Leitfaden). ) HTTP-Floods. . كما تقدم OWASP مقدمة عملية وجيدة أيضًا ( (Denial of Service)).

كيف يمكن اكتشافه؟

قد لا يكفي قياس واحد عادة. الأنماط الشائعة هي: ارتفاع حاد في الحمل من الأصل، مع بقاء الجلسات/التحويلات الحقيقية بدون تغيير؛ فجأة العديد من الطلبات على نقاط النهاية “غالية” (تسجيل الدخول، البحث، /api، النماذج)؛ عناوين وكيل مستخدم مشبوهة أو فارغة؛ ارتفاعات غير مألوفة من ASN جديدة؛ ارتفاع CPU/IO بدون تغيير في الكود. السجلات النظيفة مفيدة، والتي تقومون بتحليلها، على سبيل المثال عبر Cloudflare Logpush/Log Explorer أو يتم تحليلها من جانب الخادم. يوجد قائمة تحقق موجزة في Zerlo-Blog عند حوادث مشابهة.

الكشف عبر Cloudflare

في Cloudflare يمكن تفكيك هذه الأنماط بشكل دقيق:

الخلاصة: للمواقع التي بها عدد كبير من المستخدمين، من الضروري وجود طبقة حماية أمامية مثل Cloudflare: Cloudflare Application Services عملياً واجب – تساعد Telemetrie والأدوات في التمييز بين الحمولة المشروعة والهجوم والرد بسرعة. داخلياً نُشير إلى مقالات أساسية على صفحة Zerlo-Blog و لأدوات على صفحة Zerlo-Tools.

شخصي

نحن من Zerlo في31.10.2025 كان علينا رصد تحميل غير عادي مرتفع – وفي فترات كان الموقع خارج الخدمة عدة مرات. في البداية اعتقدت أن المشكلة تقنية. ثم بحثت في أعداد الزوار: تقريبا مطابق لليوم السابق، وهو أمر غريب، لأن عدادنا يقيس فقط التفاعل البشري (JavaScript). Under-Attack-Mode (UAM) الاختبار المعاكس الكلاسيكي: شغّل كل شيء محليًا (localhost). النتيجة: محليًا 0% حمل – لذلك يجب أن تكون الحمولة الخارجية مصطنعة. في Cloudflare كان الارتفاع ظاهرًا بوضوح. قمت بتفعيل ميزة اختبارية

إحصاءات Cloudflare: ارتفاع قوي في الطلبات الواردة

المصدر: عرض شخصي

مختصر: لقد تعرضنا لهجوم DDoS. سنشارك المزيد من الرؤى باستمرار في Zerlo-Blog.

Cloudflare

إذا كان مزود استضافة الويب لديه حماية جيدة على مستوى الشبكة، فإن هذا غالباً يكفي للهجمات الحجمية، خاصةً إذا قام المزود بالتصدي للهجوم. نحن ندير في Zerlo مع ذلك، لدينا شبكة أوسع مع خدمات متعددة ونحتاج إلى واجهات أمامية مركزية ومسبقة تقطع المرور بشكل ذكي وتفلتره قبل أن يصل إلى أصولنا. هنا بالذات يساعد شبكة Edge العالمية مثل Cloudflare: Anycast، التخزين المؤقت، WAF, Bot Fight Mode, Rate-Limiting وتليمتري تفصيلية.

Cloudflare مستعمل مجاناً في الأساس ويمكن رفعه خلال الهجمات. لا يمكنه التعرّف تلقائياً على كل سيناريو بشكل مثالي – يجب مراقبة الأنماط – ولكن عند تطبيق القواعد الصحيحة فهو فعال جدًا. من أجل الإعدادات والاختبارات، نوثق أفضل الممارسات أيضًا على zerlo.net/de/tools.

شرح آلية حماية Cloudflare

ببساطة وبعبقرية: قبل طلب الصفحة الفعلي يمكن لـ Cloudflare إجراء فحص يعتمد على JavaScript ( Challenge) ) وتقييم إشارات من المتصفح. بالنسبة للمستخدمين الحقيقيين، يحدث ذلك مرة واحدة وبشكل غير ملحوظ؛ البوتات والسكربتات تفشل أو تحتاج إلى موارد أكبر بكثير. النتيجة: انخفضت عبء الخلفية فورًا واكتسبتم وقتًا لإجراء التهيئة الدقيقة ( WAF, Rate-Limits, Caching)).

DDoS لا يمكن منعه – بل يتم إدارته. الفن هو جعل الهجمات غير مرئية للبشر، لكنها مكلفة للبوتات.
Manuel Schulz
Manuel Schulz
Zerlo.net

المصدر: لمحة سريعة عن شبكات الروبوتات وDDoS.

ماذا يمكن فعله حيال ذلك؟

لا شيء. لن تتمكن من منع DDoS – فالجميع في الشبكة يحق له إرسال حزم. لكن يمكنك تقليل أثره بحيث تبقى الصفحة متاحة للمستخدمين الحقيقيين. هذا هو الهدف: خفف الأثر بذكاء بدلاً من الانتظار.

على المدى القصير: Under-Attack-Mode (UAM) تفعيلها لخفض عبء Layer-7 فورًا.

دائمًا: WAF-Regeln لـ POST/APIs/الطلبات GET المكلفة، Managed-Challenges لـ وكالات مستخدم مشبوهة، Rate-Limiting لكل IP. للصفحات العامة « Cache Everything“, »، لتسجيل الدخول/الإدارة «تجاوز الكوكيز». نماذج مع تدابير حماية. Turnstile .

تشغيل: Security Analytics رصد، وضع تنبيهات، Logs تأمين. يمكن لسكريبت بسيط سحب UAM تلقائياً عند فشل النبضات – ويخطرك. أمثلة وقطوع الشفرة على zerlo.net/de/blog.

Cloudflare: قواعد WAF/تحديد المعدل المفيدة
(len(http.user_agent) = 0
 or lower(http.user_agent) contains "python"
 or lower(http.user_agent) contains "curl"
 or lower(http.user_agent) contains "bot"
 or lower(http.user_agent) contains "crawler")
=> Action: Managed Challenge

(http.request.method eq "POST"
 or starts_with(http.request.uri.path, "/api/")
 or http.request.uri.path contains "/sendMail.php")
=> Action: Managed Challenge

# Rate Limiting (Beispiel)
(http.request.method eq "POST" and starts_with(http.request.uri.path, "/api/"))
Threshold: 10 requests in 10 seconds per IP
Action: Challenge

# Doku:
# UAM: https://developers.cloudflare.com/fundamentals/reference/under-attack-mode/
# WAF: https://developers.cloudflare.com/waf/
# Rate Limiting: https://developers.cloudflare.com/waf/rate-limiting-rules/
# Challenges: https://developers.cloudflare.com/cloudflare-challenges/
cloudflare_uam_toggle.sh
#!/usr/bin/env bash
# Under-Attack-Mode per API setzen (Beispiel)
# Voraussetzung: CF_API_TOKEN mit Berechtigung 'Zone Settings Edit'
ZONE_ID="<ZONE_ID>"

# UAM EIN
curl -sX PATCH "https://api.cloudflare.com/client/v4/zones//settings/security_level" \
  -H "Authorization: Bearer $CF_API_TOKEN" \
  -H "Content-Type: application/json" \
  --data '{"value":"under_attack"}'

# UAM AUS (z.B. wieder auf 'high' oder 'medium')
curl -sX PATCH "https://api.cloudflare.com/client/v4/zones//settings/security_level" \
  -H "Authorization: Bearer $CF_API_TOKEN" \
  -H "Content-Type: application/json" \
  --data '{"value":"high"}'

# Mehr: https://developers.cloudflare.com/api/operations/zone-settings-change-security-level
nginx_rate_limit_example.conf
# Nginx: simples per-IP-Limit (Beispiel)
limit_req_zone $binary_remote_addr zone=perip:10m rate=30r/s;

server {
  location /api/ {
limit_req zone=perip burst=60 nodelay;
proxy_pass http://backend;
  }
}

# OWASP-DoS-Cheatsheet: https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet.html

موارد إضافية

أساسيات وتعمّق: NIST-DoS, NIST-DDoS, CISA-DDoS, OWASP-DoS, Cloudflare Learning Center. مزيد من مقالات الممارسة والأدوات تجدونها على zerlo.net وعلى وجه الخصوص ضمن zerlo.net/de/tools.

الخلاصة

DDoS ليس حالة استثنائية، بل حالة تشغيلية. من يتعرّف على الشذوذ بسرعة، يخففه مؤقتًا ثم يعززها بشكل مقصود، يبقى عبر الإنترنت. للمواقع التي تشهد نموًا، وجود طبقة حماية أمامية مثل: Cloudflare كطبقة حماية أمامية موصى بها للغاية: الرؤية، الإجراءات الفورية وبناءات لاستدامة التشغيل. بالنسبة للإعدادات الفردية، قوائم تحقق ونماذج أمثلة، نشير إلى المقال Zerlo-Blog Zerlo-Tools.

شارك مقالتنا!