تخفيف DDoS.
دفاعات الحافة التي تمنع الهجمات الحجمية من الوصول إلى VPS الخاص بك. دائمة التشغيل. مضمَّنة. ليست أبداً ميزة مدفوعة إضافية.
مجموعة الإجراءات التقنية — تحديد معدل الحافة، ومراكز التنقية، وتحويل anycast، وتصنيف حركة السلوك — التي تمنع هجوم حرمان موزَّع من الخدمة من إشباع نطاق ترددي أو حوسبة الخادم المستهدف. في NordBastion، التخفيف دائم التشغيل في حافة القلاع الأربع كلها، مضمَّن في كل فئة، بدون اختيار للدخول أو الخروج.
التخفيف أرضية، لا فئة مميزة.
المشكلة الهيكلية في حماية DDoS القابلة للفوترة هي أنها تتيح للمهاجم تحديد سعر العميل. إذا كان Gbps من الفيضان المُستوعَب يكلّفك مالاً، فإن مهاجماً يستطيع رمي بضع مئات Gbps على IP الخاص بك يمكنه إجبارك على ترك المنصة بالاقتصاد وحده — دون انتهاك أي شيء. NordBastion يعامل هذا كتكلفة على مستوى المنصة ويوزّعه عبر الكتالوج: كل VPS وكل فئة مخصصة تأتي بنفس التخفيف الحجمي والـ L7 دائم التشغيل، وحركة الهجوم المُستوعَبة لا تُفوتَر أبداً.
ميكانيكياً، تربط القلاع الأربع كل واحدة بـ 1.6–2.4 Tbps من دخول إجمالي مع تنقية دائمة التشغيل قريبة من تسليم الناقل. الفيضانات الحجمية (تضخيم UDP، فيضانات SYN، IP مجزّأ) تُسقَط في موجّه الحافة؛ عواصف الطبقة 7 (slow-POST، فيضانات HTTP GET بـ user-agents دوّارة) تُصنَّف سلوكياً قبل أن تصل إلى فئتك. مستوى التحكم anycast عبر المواقع الأربعة، لذا فإن هجوماً كبيراً بما يكفي ليهدد قلعة واحدة يُحوَّل تلقائياً عبر الأخرى.
ما لا يفعله التخفيف: لا يفحص حمولات تطبيقك، لا يُنهي TLS، لا يرى من سُجّل دخوله إلى خدمتك. هي أرضية طبقة شبكة تتيح لتطبيقك التركيز على الطلبات التي وصلت فعلاً. إذا كان عبء عملك يحتاج إلى تصفية طبقة التطبيق (حراس حقن SQL، تسجيل بوت مسيء)، شغّل WAF فوقه — لكن لا تخلط بين الاثنين.
تتبع التخفيف عبر NordBastion.
- · /network/ — خريطة الاتصال البيني لكل قلعة، طوبولوجيا التنقية، ورسم مستوى anycast.
- · /vps/ — كل فئة VPS (من Sentinel إلى Bastille) تأتي بتخفيف دائم التشغيل افتراضياً.
- · /dedicated/ — فئات الخوادم العارية ترث نفس حماية الحافة بسرعات وصلات صاعدة أعلى.
- · /status/ — إشباع الوصلة الصاعدة المباشر لكل قلعة وتاريخ عام للحوادث المُخفَّفة.
- · /peering/ — الوجود في IX ومزيج الترانزيت الذي يحدد السقف الحجمي في كل موقع.
- · / — الصفحة الرئيسية تُبرز ضمان التخفيف الدائم في شريط الميزات.
أسئلة حول التخفيف، بإجابات.
ما أحجام الهجوم التي تتعامل معها الحافة؟
كل قلعة تربط بـ 1.6–2.4 Tbps من سعة دخول إجمالية مع تنقية حجمية دائمة التشغيل، تستوعب الغالبية الساحقة من هجمات العالم الحقيقي — قياسات الربع الرابع 2025 العامة أظهرت أن 99.4% من أحداث DDoS الإنترنت كانت تحت 100 Gbps. فيضانات الطبقة 7 (عواصف HTTP GET/POST) تُصنَّف سلوكياً وتُسقَط قبل أن تصل إلى VPS الخاص بك. السقف الصارم لكل قلعة هو إجمالي الاتصال البيني؛ الهجمات على مستوى الدول (متعددة Tbps) تُحوَّل عبر مستوى anycast الرباعي للقلاع.
هل توجد رسوم إضافية لحماية DDoS؟
لا — وهذا متعمَّد. مضيفون آخرون يُسعّرون حماية DDoS كإضافة لكل Gbps أو فئة مؤسسية منفصلة، مما يعني فعلياً أن هدفاً صغيراً يُحاسَب على كونه مهاجَماً. NordBastion يضمّن التخفيف الدائم في كل فئة VPS من Sentinel (5.90$/شهر) إلى Bastille (23.90$/شهر) وفي كل فئة مخصصة، بدون فوترة قائمة على الاستخدام لحركة الهجوم المُستوعَبة. الاقتصاد ينجح لأن تكلفة التخفيف موزَّعة على المنصة، لا مُفوتَرة لكل حادث.
كيف يختلف عن WAF بأسلوب Cloudflare؟
WAF (Web Application Firewall) يعمل في الطبقة 7 من OSI — يفحص طلبات HTTP لتواقيع هجمات طبقة التطبيق (حقن SQL وXSS وأنماط بوت مسيئة) وهو بذاته وكيل عكسي يُنهي TLS. تخفيف DDoS في NordBastion يعمل في الطبقتين 3–4 — يُسقط الحزم المشوّهة وانعكاسات التضخيم والفيضانات الحجمية في حافة الشبكة قبل أن تستهلك نطاقك الترددي، ولا يُنهي TLS ولا يرى حمولات تطبيقك. الاثنان متكاملان؛ شغّل WAF فوقه إن احتاج تطبيقك إلى واحد.
ماذا لو كان عبء عملي بذاته هو المسبب للارتفاع؟
حدث حركة فيروسي مشروع — إطلاق، ضربة صحفية، صفحة Hacker News الأمامية — يأخذ شكل تحديد المعدل، لا شكل هجوم، وسيمرّره المصنّف السلوكي. إذا أشبعت الوصلة الصاعدة لفئتك بحركة مشروعة، فمسار الترقية هو نقرة لوحة تحكم واحدة إلى VPS أكبر أو فئة مخصصة بوصلة صاعدة أسمن؛ لا حاجة لتذكرة دعم. إساءة الاستخدام الصادرة (خادمك كمصدر لحركة هجوم، مثلاً كاسر SSH أو مُرحّل بريد مفتوح) يُتعامل معها منفصلاً — انظر /doctrine/ لما نستضيف وما لا نستضيف.