ممارسات أمن النطاق الشخصية

يناقش هذا المقال ممارسات الأمان الشخصية في استخدام النطاقات، بما في ذلك تحليل هجمات الفحص، واستراتيجيات حماية النطاق، وأساليب الهجوم الشائعة، واختيار خدمات الأمان الحدية.
Tags:
Categories:

مقدمة

في عصر الإنترنت، أصبحت الهجمات السيبرانية أمراً شائعاً. يومياً، هناك عدد لا يحصى من الأدوات الآلية تقوم بمسح كل ركن من الإنترنت، باحثة عن أي ثغرات ممكنة. يعتقد الكثيرون أن الشركات الكبيرة فقط هي التي تصبح أهدافاً للهجمات، لكن في الواقع، وبسبب انخفاض تكلفة الهجوم وانتشار الأدوات، يمكن لأي خدمة مكشوفة على الإنترنت أن تصبح هدفاً.

تحليل حالات واقعية

مثال على هجوم الفحص

قمت بتشغيل موقع صغير للعرض على Cloudflare، على الرغم من أنه يحتوي على عنوانين URL فقط:

إلا أنه لا يزال يتعرض لهجمات فحص مستمرة.

في البداية، كانت جميع URLs الأخرى تعيد 404، وفي اليوم الأول للإطلاق بدأ مضيف من هونغ كونغ بالمسح، حيث يتم تغيير IP المصدر يومياً، لكن معظمها من هونغ كونغ. وبما أن بعض المستخدمين يزورون من IP هونغ كونغ، لا يمكنني حظر المنطقة مباشرةً.

جميع هذه URLs هي محاولات مستمرة لأهداف مختلفة، حيث يقوم Worker الخاص بي بالتعامل فقط مع / و/logs-collector. هذه المحاولات المستمرة تهدف في الغالب إلى اكتشاف الثغرات.

ولكن هذا الفحص يستهلك طلبات مجانية من CF، ويؤثر على سجلي، وهذا ليس بالأمر الجيد.

لاحقاً، بدأت بإرجاع 200 لجميع الطلبات الأخرى، مع إضافة Host on Cloudflare Worker, don't waste your time.

وهذا خفّض قليلاً من عمليات الفحص، بالرغم من أني لا أعلم إن كان هناك علاقة سببية.

إذا كان الخادم يعمل على جهاز خاص بك، وتتعرض لهجمات مستمرة يومياً، ولا تقوم بتحديث الأمان بشكل مستمر، ففي النهاية ستعثر على ثغرة.

بالنسبة للمهاجمين، إنها مجرد محاولات يومية متواصلة، تكلفة منخفضة، وغالباً ما تكون آلية، حيث تكون تكلفة الأجهزة والوقت منخفضة.

تحليل التهديدات الأمنية

خصائص المهاجمين

  • انتشار الجرائم العابرة للحدود، مما يقلل من إمكانية الملاحقة
  • استخدام واسع النطاق للأدوات الآلية، بما في ذلك أدوات مسح المنافذ مثل Nmap وMasscan
  • هجمات مستمرة، بتكلفة منخفضة
  • موارد واسعة من الأجهزة (botnets)، مع تغيير مستمر لعناوين IP
  • عادة ما تتم الهجمات في أوقات متأخرة من الليل أو في العطلات

أساليب الهجوم الشائعة

  1. مسح المنافذ
    • مسح جماعي للمنافذ المفتوحة
    • التعرف على الخدمات الشائعة (SSH، RDP، MySQL، إلخ)
  2. مسح الثغرات
    • مسح البرامج القديمة ذات الثغرات المعروفة
    • التعرف من خلال خصائص المسار وأسماء الملفات
  3. بناء إدخالات مخصصة لاستغلال ثغرات التحقق من المدخلات

ممارسات الأمان

استخدام VPN بدلاً من Reverse Proxy

معظم الناس لا يقومون بتحديث البرامج بشكل دوري، لذا من الأفضل عدم إظهار نطاقك. يمكن للمسح أن يقوم ببناء بادئات ولاحقة، وتجربة جميع النطاقات الفرعية.

مثل النطاقات الفرعية المعرضة للمسح:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

هذه أمثلة عشوائية، أما الهجوم الآلي فيستخدم قاموساً للنطاقات الفرعية، واختبارات آلية.

يمكنك إعداد خادم DNS محلي، مثل AdguardHome، وتكوينه لحل أسماء النطاقات، حيث يمكن لجميع الأجهزة على الشبكة المحلية الاتصال بعناوين IP ثابتة.

يمكن أيضاً تحقيق DDNS باستخدام API الخاص بـ AdguardHome. وبما أنه شبكة محلية، يمكن اختيار النطاق كما تشاء.

استخدام خدمات الأمان الحدية

لا داعي للإطالة في الحديث عن赛博佛祖Cloudflare، فبلا شك ستظل مجانية إلى أن تجد مشاريع تجارية ذات قيمة حقيقية. أما في الصين، فهي阿里云ESA، والتي أستخدمها أيضاً. الأشهر الثلاثة الأولى مجانية، وبعدها يكلف الشهر 10 يوان صيني مقابل 50 جيجابايت من الحركة. بالمقارنة مع CF المجانية بالكامل، لا أحتاج لتقديم تفاصيل إضافية.

عادةً ما تكون خدمات الأمان باهظة الثمن. إذا لم تحم نفسك، فستكون الخسائر كبيرة عند التعرض للهجوم، وإذا دفعت للحماية، فستراقب “الخسائر” اليومية مباشرةً.

خدمات الأمان الحدية تعتبر نوعاً من التأمين، وهي رخيصة جداً وتوفر قيمة أمان عالية جداً. إنها نموذج ممتاز لترك المهام للخبراء.

الهدف الأساسي من الأمان الحدي هو إخفاء IP الحقيقي الخاص بك، حيث يقوم المستخدم بالوصول إلى العقد الحدية، وتقرر العقدة الحدية ما إذا كانت ستعود إلى المصدر لزيارة IP الحقيقي.

بشكل أساسي، إنها Reverse Proxy أمامية مدمجة مع وظائف التخزين المؤقت، WAF، CDN، وحماية DDoS. وبما أن هناك طرفاً ثالثاً بين المستخدم والخدمة، فهناك احتمال بحدوث تدهور في تجربة المستخدم.

أستخدم كل من CF وESA، ويمكن تلخيص ذلك بأنه يجعل جزءاً صغيراً من المستخدمين ذوي التجربة الأفضل يواجهون انخفاضاً طفيفاً في التجربة، لكنه يحسن تجربة المستخدمين في مناطق أخرى. بشكل عام، لا يزال الأمر يستحق ذلك.

خلاصة

إذا كانت الخدمة للإستخدام الشخصي، يُفضل استخدام VPN، مثل tailscale أو zerotier. إذا كنت بحاجة إلى خدمة DNS، يمكنك إعداد AdGuardHome على الشبكة المحلية، واستخدام AdGuardPrivate على الإنترنت.

أما إذا كانت خدمة عامة للجمهور، فمن الأفضل استخدام Cloudflare، وإذا كنت تهتم بسرعة الوصول من الصين القارية، فاستخدم 阿里 ESA.

هذه الممارسات الأمنية仅供参考,非常欢迎 V 站大佬们提出建议。