در این راهنما قصد داریم نحوه استفاده از بخش گزارشگیری، مانیتورینگ و تحلیل حملات در پنل CDN ایرانسرور را آموزش دهیم تا بتوانید رفتار مهاجمان، کشور مبدأ حملات و جزئیات هر رویداد را بررسی و تحلیل کنید.
گزارشگیری، مانیتورینگ و تحلیل حملات در CDN ایرانسرور
در بخش گزارشات CDN ایرانسرور، تمام رویدادهای امنیتی مربوط به حملات، دسترسیهای مشکوک و درخواستهای غیرمجاز بهصورت دقیق ثبت و قابل بررسی است. این ابزار به مدیران وبسایتها کمک میکند تا رفتار کاربران و مهاجمان را رصد کنند، کشور مبدأ حملات را تشخیص دهند و در صورت نیاز، قوانین محدودسازی یا مسدودسازی هدفمند تنظیم کنند. بهعبارت دیگر، این قسمت چشم اصلی سیستم امنیتی CDN برای مانیتورینگ رفتار شبکه و پیشگیری از حملات بعدی است.
مشاهده گزارش حملات (Event Logs)
در این صفحه، هر خط از جدول نشاندهندهی یک رویداد امنیتی است که توسط فایروال یا سامانهی WAF شناسایی و ثبت شده است. اطلاعاتی مانند کشور مبدأ، IP درخواستدهنده، نام دامنه، پورت هدف و بازه زمانی وقوع حمله در ستونهای مختلف نمایش داده میشود.
با بررسی این دادهها میتوانید تشخیص دهید بیشترین حجم حملات از چه کشورهایی انجام میشود یا کدام دامنه و پورت بیشتر در معرض تهدید قرار دارد. برای مثال، اگر چندین بار حمله از IPهایی در محدودهی خاص (مثلاً آلمان یا ایالات متحده) تکرار شود، میتوان با استفاده از فایروال آن کشور یا IPها را محدود کرد تا خطر کاهش یابد.
فیلتر براساس IP، زمان یا کشور
در بالای صفحه، چند فیلد برای فیلترکردن دادهها وجود دارد که کار تحلیل را بسیار آسانتر میکند. اگر میخواهید فقط حملات مربوط به یک IP خاص را ببینید، کافیست آن IP را در فیلد مربوطه وارد کنید. همچنین میتوانید بازهی زمانی خاصی برای جستجو تعیین کنید تا فقط رویدادهای همان دوره نمایش داده شوند.
بهعنوان مثال، فرض کنید قصد دارید حملات روز گذشته را بررسی کنید. در قسمت «تاریخ شروع» و «تاریخ پایان» بازهی موردنظر را وارد کرده و روی دکمهی جستجو کلیک کنید. بلافاصله جدول فقط همان رویدادهای مربوط را نمایش میدهد. در صورت نیاز به حذف تمام فیلترها و مشاهدهی مجدد همه دادهها، میتوانید از دکمهی پاکسازی استفاده کنید.
تفسیر نوع حملات در گزارشها
در این مرحله باید دادههای جمعآوریشده را تحلیل کنید تا بتوانید نوع حملات و رفتار مهاجمان را تشخیص دهید. برای نمونه، اگر چندین IP از کشورهای مختلف در مدت کوتاهی به یک پورت خاص (مثلاً 443 یا 80) حمله میکنند، این نشانهی یک اسکن خودکار یا حمله DDoS است.
همچنین در صورتی که حملات روی مسیرهای خاصی از سایت (مانند /admin یا /login) متمرکز باشند، احتمال دارد مهاجمان بهدنبال نفوذ از طریق فرم ورود یا بخش مدیریت باشند. در چنین حالتی فعالسازی WAF در حالت «حفاظتی» یا «مسدودسازی» توصیه میشود.
توجه به الگوهای زمانی نیز اهمیت دارد. گاهی حملات در ساعتهای خاصی از شبانهروز شدت میگیرند، که ممکن است بهدلیل فعالیت رباتهای خودکار باشد. با شناسایی این الگوها، میتوانید قوانین هوشمندتری برای مسدودسازی در همان بازهها تنظیم کنید.
نحوه پاکسازی و جستجو در سوابق
در طول زمان، تعداد رویدادهای ثبتشده ممکن است زیاد شود و مشاهدهی اطلاعات جدید سختتر گردد. برای نظمبخشیدن به صفحه و تمرکز بر حملات تازه، میتوانید از گزینهی پاکسازی استفاده کنید. با کلیک روی این دکمه، فیلترها و نتایج موقت حذف میشوند و فقط دادههای فعلی یا جدید قابل مشاهده خواهند بود.
این قابلیت فقط برای نمایش و مدیریت دادههاست و هیچ اطلاعات امنیتی اصلی از سیستم حذف نخواهد شد. بنابراین میتوانید بدون نگرانی از بین رفتن گزارشها، برای مرتبسازی سریع از آن استفاده کنید.
نکات امنیتی برای بررسی حملات پرتکرار
در هنگام بررسی گزارشها، اگر متوجه شدید IP یا کشوری بهصورت مداوم در فهرست حملات تکرار میشود، بهتر است بلافاصله اقدام کنید. برای این کار وارد بخش قوانین فایروال (Firewall Rules) شوید و یک قانون مسدودسازی (Blacklist) یا محدودسازی نرخ (Rate Limit) برای آن IP یا محدودهی کشور تعریف کنید.
اگر حملات بهصورت خودکار و سریع انجام میشوند، احتمالاً توسط رباتها صورت گرفته است. در این شرایط فعالسازی بخش Anti-bot در WAF توصیه میشود تا درخواستهای غیرانسانی بهصورت خودکار شناسایی و متوقف شوند.
همچنین برای اینکه امنیت سایت همیشه پایدار بماند، بهتر است هر چند روز یکبار گزارشها را بررسی کنید. این کار کمک میکند اگر حمله یا فعالیت مشکوکی در حال شکلگیری بود، زود متوجه شوید و قبل از گسترش آن، اقدام لازم را انجام دهید.
با تحلیل دقیق دادههای ثبتشده در بخش گزارشات CDN ایرانسرور، میتوانید بهصورت مستمر وضعیت امنیتی سایت خود را پایش کرده و با تنظیم قوانین هدفمند، از بروز حملات آینده پیشگیری کنید.