هجمات الطبقة 3 و 4 و 7
هجمات الطبقة 3 تستهدف طبقة الشبكة (IP، ICMP) — أمثلتها هجمات إغراق ICMP وتجزئة IP. هجمات الطبقة 4 تستهدف طبقة النقل (TCP، UDP) — أمثلتها إغراق SYN وتضخيم UDP وتضخيم DNS. هجمات الطبقة 7 تستهدف طبقة التطبيق (HTTP، HTTPS) — أمثلتها إغراق HTTP GET/POST و Slowloris. كل طبقة تتطلّب تخفيفًا مختلفًا.
تحاول الهجمات الحجمية على الطبقتين 3 و 4 إشباع أنبوب الشبكة نفسه. تجاوزت أكبر الهجمات المُعلَنة عتبة عدّة تيرابت في الثانية — أبلغت Cloudflare عن تخفيف هجوم بسعة 7.3 Tbps في مايو 2025، وأبلغت AWS Shield عن هجوم بسعة 2.3 Tbps في فبراير 2020. تنجح هذه الهجمات لأن بروتوكولات التضخيم (DNS، NTP، memcached، CLDAP) تتيح لاستعلام صغير منتحل إطلاق ردّ أكبر بكثير يُرسل إلى الضحية — وُثِّقت معاملات تضخيم 50 ضعفًا لـ DNS و 200 ضعف لـ NTP و 50,000 ضعف لـ memcached. هجمات البروتوكول على الطبقة 4 — إغراق SYN، إغراق ACK، هجمات الحزم المُجزَّأة — تستنزف حالة تتبّع الاتصال على الجدران النارية وموازنات الحمل بدلًا من إشباع النطاق الترددي. هجمات الطبقة 7 هي الأصغر بالبايتات لكن الأصعب في التصفية: إغراق HTTP من شبكة بوتات بـ 100,000 عقدة يبدو بت ببت كمستخدمين حقيقيين، وفقط المنطق الواعي بالتطبيق يستطيع التمييز بينهم.
BGP blackhole و RTBH (الثقب الأسود المُحفَّز عن بُعد)
BGP blackholing هو التخفيف الوحشي لكن الفعّال كملاذ أخير: يعلن مشغّل الشبكة مسارًا /32 لـ IP المُهاجَم في مجتمع BGP خاص بـ 'blackhole'، مخبرًا جميع نظراء التيار الأعلى بإسقاط حركة المرور إلى ذلك IP بالكامل. يبقى الهدف خارج الخدمة، لكن بقية الشبكة تبقى عاملة. RTBH موحّد في RFC 5635 ومدعوم من قبل كل ناقل من المستوى الأول.
RTBH موثّق في RFC 5635 (أغسطس 2009) ويعمل عن طريق وسم مسار بسمة مجتمع يفسّرها نظراء التيار الأعلى على أنها 'تجاهل كل حركة المرور المتجهة إلى هذا البادئة'. التخفيف كلّي — يصبح IP المحمي غير قابل للوصول من الإنترنت بأكمله، بما في ذلك من المستخدمين الشرعيين — لكنه يحمي بقية أسطول العملاء من الأضرار الجانبية. بسبب فظاظته، RTBH مناسب عندما يكون IP واحد مُشبَع بهجوم بعدّة مئات من الجيغابت وعندما تكون تكلفة انقطاع أوسع تفوق إبقاء ذلك IP عاملًا. كثير من باقات VPS 'المحمية ضدّ DDoS' منخفضة الفئة تعني هذا بالضبط: سيُسقط المزوّد توجيه IP لديك تحت الهجوم لإبقاء بقية أسطوله آمنًا. هذا تخفيف من الحرمان من الخدمة بالتعريف، لكن المورد المحمي هو شبكة المزوّد، لا شبكتك.
مراكز التنظيف وتحويل حركة المرور
مركز التنظيف هو موقع شبكي محصّن حيث تُصفَّى حركة هجوم الهجوم وتُمرَّر حركة المرور النظيفة إلى المنشأ. تُحوَّل حركة المرور إلى هناك عبر إعلان BGP (دائم أو عند الطلب) أو توجيه DNS. سعة التنظيف لكل تيرابت/ثانية هي المقياس الرئيسي — يشغّل أكبر المزوّدين أكثر من 200 Tbps من التنظيف الإجمالي، بينما يُعلن مزوّدو الاستضافة المتخصّصون عادةً عن 1-10 Tbps.
تُشغّل مراكز التنظيف أجهزة متخصّصة — Arbor TMS، Radware DefensePro، A10 Thunder، NSFOCUS ADS، أو خطوط Linux/DPDK مخصّصة على نطاق واسع — تفحص كل حزمة، وتصنّف الأنماط الحميدة مقابل الخبيثة، وتمرّر فقط الجزء النظيف إلى المنشأ. عادةً ما يتمّ التحويل عبر BGP: تُعلَن بادئة العميل من شبكة anycast التابعة لمزوّد التنظيف خلال هجوم، ساحبةً كل حركة المرور نحو أقرب موقع تنظيف. بعد التنظيف، تُنفَّق حركة المرور (GRE، IPSec، وصلة بينية مخصّصة، أو تبادل مباشر) عائدةً إلى خادم المنشأ. زمن استجابة التنظيف عادةً 1-3 ms داخل المنطقة، إضافة إلى أي مسار إضافي يضيفه التحويل. التنظيف الدائم يُبقي التحويل دائمًا، فيُلغي زمن بدء التخفيف بتكلفة ضريبة زمن استجابة ثابتة. التنظيف عند الطلب يحوّل فقط أثناء الهجمات المُكتَشفة، وهو أرخص لكنه يقدّم نافذة تفعيل من 30-180 ثانية يحطّ خلالها الهجوم.
التخفيف الدائم مقابل عند الطلب
التخفيف الدائم يوجّه كل حركة المرور عبر طبقة التنظيف على مدار الساعة — صفر تأخير تفعيل، لكن كل حزمة تدفع ضريبة زمن استجابة صغيرة (1-5 ms معتاد). التخفيف عند الطلب يُفعَّل فقط عند اكتشاف هجوم، فيُلغي زمن الاستجابة في الحالة المستقرّة لكنه يكشف المنشأ خلال نافذة التفعيل (عادةً 30-180 ثانية). الإعدادات الهجينة تجمع الاثنين: دائم لـ HTTP/HTTPS، عند الطلب لحركة مرور IP الخام.
الاختيار بين الدائم وعند الطلب مقايضة بين زمن استجابة الحالة المستقرّة والتعرّض في نافذة الهجوم. الخدمات الحسّاسة لزمن الاستجابة — خوادم الألعاب متعدّدة اللاعبين، التداول منخفض زمن الاستجابة، الصوت/الفيديو — تختار عمومًا عند الطلب وتقبل فجوة التفعيل لأن كل ميلي ثانية من زمن الاستجابة في الحالة المستقرّة تكلّفها. الخدمات العامّة على الويب وواجهات API وتطبيقات SaaS تختار عمومًا الدائم أو طوبولوجيا شبيهة بـ CDN مُوكَّلة بالكامل حيث لا يكون IP المنشأ معروفًا علنيًا حتى، فتُلغى نافذة الهجوم بالكامل. مزوّدو حافة السحابة الحديثون (Cloudflare، Fastly، AWS Shield Advanced، Google Cloud Armor) يميلون إلى الدائم افتراضيًا لأن شبكتهم تنهي حركة المرور بالفعل عند مئات مواقع الحافة و'الانعطاف' في الجوهر صفر.
الحدّ من المعدّل و WAF والدفاع على طبقة التطبيق
الحدّ من المعدّل يضع حدًا على الطلبات لكل IP مصدر، أو لكل جلسة، أو لكل عنوان URL، فيُضعِف إغراقات الطبقة 7 دون التأثير على حركة المرور الشرعية. جدار حماية تطبيقات الويب (WAF) يفحص طلبات HTTP وفق قواعد — حماية OWASP Top 10، قواعد معدّل مخصّصة، حظر جغرافي، تحدّيات JS، و CAPTCHA. معًا يتعاملان مع هجمات الطبقة 7 التي لا يستطيع التنظيف الحجمي وحده التعامل معها.
يتوقّف التنظيف الحجمي عند حدّ IP والمنفذ. لإيقاف إغراق HTTP يبدو كحركة مرور Chrome حقيقية، تحتاج إلى قواعد تعمل على عناوين URL والترويسات وملفات تعريف الارتباط والسلوك. الحدّ من المعدّل هو أبسط وأكثر تحكّمات الطبقة 7 فعالية: حدّ IP واحد عند، مثلًا، 60 طلبًا في الدقيقة على /login، وأسقط الباقي. WAF يذهب أبعد بقواعد واعية بالمحتوى: احظر الطلبات بأنماط حقن SQL، أو وكلاء مستخدمين شاذّين، أو مراجع مفقودة، أو أصول جغرافية خارج منطقة خدمتك، أو أحجام حمولة بعيدة جدًا عن النطاق الشرعي. WAFs الحديثة (AWS WAF، Cloudflare WAF، Fastly Next-Gen WAF، ModSecurity مع OWASP Core Rule Set) تشغّل أيضًا تحدّيات JavaScript و hCaptcha واستدلالات بصمات البوتات التي تُسقط معدّل إصابة شبكة البوتات بـ 99%+ دون إزعاج المتصفّحات الحقيقية.
ما يضمّنه مزوّدو الاستضافة عادةً مقابل ما يفرضون رسومًا إضافية عليه
الفئات المجانية أو المضمّنة تغطّي عادةً هجمات الطبقة 3-4 الحجمية حتى حدّ ثابت بالجيغابت/ثانية (غالبًا 10-100 Gbps) باستخدام الحدّ الأساسي من المعدّل و BGP blackhole. الإضافات المدفوعة تشمل عادةً التنظيف الدائم و WAF وتخفيف الطبقة 7 وتأليف القواعد المخصّصة وضمانات تخفيف مدعومة بـ SLA. اقرأ العقد — 'حماية DDoS غير محدودة' غالبًا تعني 'سنُسقط توجيهك فوق X Gbps'.
تختلف تسويق DDoS من مزوّدي الاستضافة بشكل كبير. الحماية المفيدة فعلًا تشمل ثلاثة أشياء: (1) سعة معلنة واضحة بالـ Gbps أو Tbps، (2) تغطية من الطبقة 3 إلى الطبقة 7 بما في ذلك تخفيف إغراق HTTP، و (3) SLA مكتوب بزمن بدء تخفيف والتزامات فقدان حركة المرور. الحماية الأقل فائدة هي شارة 'محمي ضدّ DDoS' وحيدة بلا رقم سعة، وهي تعني عادةً BGP blackhole فقط — يُسقط توجيه IP لديك تحت الهجوم وتكون خارج الخدمة طوال المدّة. عند التقييم، اسأل: ما السعة المعلنة لكل IP؟ هل هي دائمة أم عند الطلب؟ هل تغطّي الطبقة 7؟ ما هو SLA زمن تفعيل التخفيف؟ ماذا يحدث بعد أن يتجاوز الهجوم حدّ فئتك؟ الإجابات تكشف ما إذا كنت تشتري حماية حقيقية أم ملصق تسويق.