مع تطور التكنولوجيا في كل المجالات، تحسنت أيضًا فرص فقدان البيانات والهجمات الإلكترونية. تلعب التقنيات الجديدة دورًا حيويًا في مجال التنمية الأخلاقية، وبنفس الطريقة يمكن أيضًا استخدام هذه التقنيات للقيام بأعمال غير أخلاقية بطريقة أكثر دقة وسهولة. أحد هذه الهجمات التي يمكن أن يقوم بها المتسلل هو ' رفض الخدمة (CWE-400) '.
يشرح هذا الدليل الإجراء الخاص بمنع رفض خدمة CWE-400 في خادم Nodejs HTTP.
ما هو رفض الخدمة لخادم HTTP (CWE-400)؟
رفض الخدمة (CWE-400) هو محاولة من قبل المهاجم لجعل التطبيق غير متاح للمستخدمين الأصليين عن طريق إغراق التطبيق بحركة مرور الروبوتات. يتم تنفيذ هذا الهجوم أيضًا عن طريق استغلال الثغرات الأمنية الموجودة في التطبيق لجعل التطبيق أبطأ بكثير.
هل تطبيقات Node Js عرضة للهجمات الضارة؟
نعم، يمكن أن تكون تطبيقات Node.js عرضة للهجمات الضارة تمامًا مثل أي برنامج أو تطبيق آخر. بعض الأنواع الأكثر شيوعًا وشائعة من الهجمات الضارة مذكورة أدناه:
-
- هجمات حجب الخدمة
- هجمات الحقن
- هجمات البرمجة النصية عبر المواقع (XSS).
- هجمات اختطاف الجلسة
كيفية منع رفض الخدمة (CWE-400) في خادم Node.js HTTP؟
لمنع رفض الخدمة في خادم Node.js HTTP، يجب تقييد عدد الطلبات المستلمة من عنوان IP واحد خلال إطار زمني محدد. بهذه الطريقة، تتم معالجة حركة المرور المستلمة عبر تطبيقك وهناك طرق أخرى مختلفة أيضًا للتخفيف من رفض الخدمة (CWE-400) في Node.js.
الطريقة الأولى: استخدام محدد السعر
محدد المعدل هو أفضل طريقة لمنع هجوم رفض الخدمة على وجه التحديد، حيث يمكنه تحديد عدد الطلبات التي قد تصل من كل طلب لكل إطار نافذة:
const expObj = require ( 'يعبر' ) ;الحد الثابت = يتطلب ( 'الحد الأقصى للسعر السريع' ) ;
const demoApp = expObj ( ) ;
const cusLim = الحد ( {
نافذة السيدة: 2 * 60 * 1000 , // خمسة عشر دقائق
الأعلى: 100 ,
} ) ;
com.demoApp.use ( cusLim ) ;
وصف الكود أعلاه هو كما يلي:
-
- أولاً، قم بتثبيت واستيراد ' يعبر ' و ' الحد الأقصى للمعدل السريع 'في مشروع Node Js الخاص بك باستخدام' npm أنا <اسم الحزمة> 'الأمر و' يتطلب() 'الطريقة على التوالي.
-
- بعد ذلك، قم بإنشاء تطبيق سريع باسم ' com.demoApp 'وإنشاء محدد للمعدل عن طريق تعيين القيم المطلوبة لـ ' windowsMs ' و ' الأعلى ' خصائص ' الحد الأقصى للمعدل السريع ' هدف.
- ال ' windowsMs ' يضبط المدة الزمنية للنافذة و' الأعلى ' يضبط الحد الأقصى للطلب الذي يمكن تلقيه من عنوان IP واحد لكل نافذة.
- الآن قم بتطبيق ' يستخدم() 'طريقة تحتوي على محدد المعدل مع' com.demoApp تطبيق للحد من الطلب الذي يتلقاه تطبيق “demoApp”.
الطريقة الثانية: استخدام أساليب المهلة
ال ' نفذ الوقت 'أساليب مثل' setTimeout() '،' headersTimeout '،' requestTimeout '،' نفذ الوقت '، و ' استمر في حياة الوقت الضائع() 'تستخدم للخروج أو إنهاء' خادم http ' الخادم. سيؤدي هذا إلى منع رفض الخدمة (CWE-400) من خلال توفير الحد الأدنى من الإطار الزمني المفتوح. على سبيل المثال، تم حذف الطلب أو سيتم إغلاق النافذة بعد ' 3 'ثواني:
خادم ثابت = http.createServer ( ( الطلب، الدقة ) = > {req.setTimeout ( 3000 ) ;
// طلب التعامل
} ) ;
نصائح إضافية للتخفيف من رفض الخدمة في Node Js
هناك بعض النصائح الإضافية التي تساعد في تخفيف رفض الخدمة (CWE-400) في خادم Nodejs HTTP، وهي مدرجة أدناه:
-
- ال ' عكس الوكلاء 'يجب استخدامه لإرسال أو استقبال الطلبات إلى تطبيق Node Js. توفر هذه الوكلاء التخزين المؤقت وموازنة التحميل والقائمة السوداء لعناوين IP مما يساعد كثيرًا في تخفيف DoS(CWE-400).
- استخدام شبكة تسليم المحتوى ' CDN يساعد على منع هجوم DoS(CWE-400) عن طريق تقسيم التعليمات البرمجية إلى أجزاء متعددة وتحميلها بشكل منفصل على خوادم متعددة.
- استخدام جدار حماية تطبيقات الويب ' واف 'يحمي تطبيقك عن طريق حظر الطلبات الواردة من مصدر ضار معروف.
- استغلال ' موازن التحميل 'يقسم تحميل الطلبات بالتساوي عبر جميع الخوادم، مما يمنع التحميل الزائد على خادم واحد.
ملحوظة: يمكنك أيضًا التحقق من الوثائق الأصلية لـ Node.js للحصول على مزيد من المعلومات عنها رفض الخدمة (CWE-400) .
يتعلق الأمر كله بمنع رفض الخدمة (CWE-400) في خادم Node.js HTTP.
خاتمة
لمنع رفض الخدمة (CWE-400) في Node.js HTTP Server، استخدم ' محدد المعدل '،' طرق المهلة '،' عكس الوكلاء '،' شبكات CDN '،' واف ' و ' موازن التحميل 'تقنيات. فهي تحدد عدد الطلبات، وتغلق نافذة الطلب، وتعيد توجيه الطلب إلى موقع ويب آخر، وتقسم الكود الأصلي وتحميله إلى خوادم متعددة، وموازنة التحميل على كل خادم على التوالي. يوضح هذا الدليل السريع عملية تخفيف أو منع رفض الخدمة (CWE-400) في خادم Node.js HTTP.