في الآونة الأخيرة، قال أحد الأصدقاء الذين يقومون بالتعليم عبر الإنترنت معي، إن فيديو الدورة التدريبية المسجلة عالية السعر في منزلهم، بضعة أيام في مجموعة متنوعة من مواقع القراصنة، وحتى تعبئتها وتعليقها على تاوباو لبيع 9.9. “لا يمكن منع آه، من الواضح أن استخدام CDN، كيف مع نفس معج الورق؟ أنا على دراية كبيرة بهذه المشكلة، واليوم سأقوم بسحب قلبي مع الرجال.
في هذه الأيام، لم تعد برامج الزحف "الزاحف" مجرد "زاحف". فالناس يستخدمون العقد الموزعة، والزحف البطيء منخفض المعدل، وحتى التنكر في شكل عميل تطبيق عادي، واختيار النقطة العمياء في دفاعك. هل تعتقد أنه يمكنك أن ترتاح مع شبكة CDN؟ ساذج. لا بأس بالتكوين الافتراضي للعديد من شبكات CDN لمنع هجوم CC، ضد برامج الزحف المحترفة هو خدش الحكة.
لقد اختبرت العديد من مزودي الخدمة الرئيسيين ووجدت العديد من الحفر. على سبيل المثال، لم يتم تحديث قاعدة قواعد WAF الخاصة ببعض شبكات CDN لسنوات، وواجهت وكيل مستخدم مشوه قليلاً سيتم إصداره مباشرةً؛ هناك أيضًا البعض من أجل السعي وراء تسريع الأداء، لا ينبغي أن تكون ذاكرة التخزين المؤقت رمز الحالة المخزنة مؤقتًا، ولكن بدلاً من الضوء الأخضر للزاحف. الشيء الأكثر إثارة للشفقة هو أن بعض مزودي الخدمة يضعون وظيفة مكافحة التسلق في حزمة القيمة المضافة، لا تضيف المال على العارية الأساسية.
نريد حقاً أن نمنع الزواحف، من التفكير “المتسارع” إلى التفكير “الهجومي والدفاعي”. يجب ألا تكون شبكة CDN مجرد حمالات مرور، يجب أن تكون خط الدفاع الأول. لا تتوقع وسيلة واحدة لحل المشكلة، يجب أن تلعب مجموعة من اللكمات. بعد ذلك، أشاركك بعض الاستراتيجيات المختبرة والفعالة، حتى أن بعض التكوينات يمكن أن تسمح لك باستخدام ميزانية متوسطة لتحقيق حماية عالية.
لنبدأ بالأبسط - تحديد حركة مرور الآلة. تتكاسل العديد من برامج الزحف عن إخفاء نفسها وتكشف عن نفسها مباشرةً في رأس الطلب. على سبيل المثال، المرجع الفارغ، أو لغة القبول المفقودة، أو استخدام الرؤوس الافتراضية لمكتبات أدوات HTTP غير الشائعة. يمكن اعتراضها عن طريق إقران قاعدة في الواجهة الخلفية لإدارة CDN:
لكن برامج الزحف المتقدمة ستقوم بتزييف بصمات المتصفحات، وعندها يجب تقديم آلية التحدي. أوصي بشدة بتمكين خاصية تحدي جافا سكريبت في شبكة CDN - المتصفحات العادية ستقوم تلقائيًا بإجراء حساب JS وإرسال الرمز المميز، بينما معظم برامج الزحف ستصعق مباشرة. يقوم شيء مثل CDN07 بعمل جيد بشكل خاص في هذا الأمر، ويميز أيضًا بين المتصفحات الحقيقية والأدوات التي لا رأس لها مثل PhantomJS.
التحكم في التردد هو الأهم. لا تستخدم أبدًا تقييد التردد العام، وإلا ستؤذي المستخدمين العاديين عن طريق الخطأ. عليك القيام بتحديد التدفق الديناميكي حسب عنوان IP أو معرّف الجلسة أو حتى بُعد العمل. على سبيل المثال، بالنسبة لواجهة واجهة واجهة برمجة تطبيقات الفيديو
ولكن الأكثر قسوة على الإطلاق هو التحليل السلوكي. سيقوم حل الحماية الاحترافي حقًا بإنشاء خط أساس لحركة المرور واكتشاف الأنماط غير المعتادة. على سبيل المثال، عبور عنوان IP معين فجأة من /video/123 إلى /video/99999 في الساعة 2:00 صباحاً بشكل جنوني، أو ارتفاع عدد التنزيلات من نفس الحساب بشكل كبير في فترة زمنية قصيرة. من الأفضل تنفيذ هذا النوع من القواعد الديناميكية بواسطة CDN5، والتي يمكن أن تؤدي إلى التحقق البشري في الوقت الحقيقي أو حتى الحظر المؤقت.
بالحديث عن العلامات المائية للفيديو، يعتقد الكثير من الناس أنها زاوية الشعار، هذا الشيء مع ffmpeg يمكن محو الأمر، لمنع وحيد. علامة مائية فعالة لتلبية ثلاثة شروط: العرض الديناميكي، وربط المعلومات، ومكافحة الإزالة. على سبيل المثال، لكل طلب للمستخدم لإنشاء علامة مائية منفصلة:
ولكن لا يزال من الممكن اعتراض ذلك. هناك نهج أكثر تقدماً يتمثل في العلامة المائية الرقمية المنفصلة - تقسيم معلومات المستخدم إلى إشارات مشفرة مدمجة في إطارات مختلفة من بيانات الصوت والفيديو، غير مرئية للعين المجردة ولكن يمكن استخلاصها بواسطة الخوارزميات. يوفر هذا النوع من الحلول 08Host تكاملاً خارج الصندوق، وهو أكثر تكلفة بعض الشيء ولكن يمكن استخدامه كدليل رئيسي في الطب الشرعي القانوني.
لقد وجدت مؤخرًا أيضًا عملية تورتة: ستقوم بعض برامج الزحف بانتحال هوية عقدة حافة CDN إلى طلب المصدر. في هذا الوقت، يجب عليك إجراء عملية تحقق ثنائية الاتجاه في المحطة المصدر، مثل بائع CDN لتعيين رمز حصري:
أخيرًا ، يجب أن أشتكي: بعض البائعين يخفون وظيفة مكافحة التسلق ، لا تشتري الحزمة الأغلى ثمناً لن يتم إعطاؤها للاستخدام. في الواقع ، مثل CDN07 واعٍ تمامًا ، الإصدار الأساسي من تقرير تحليل واجهة برمجة التطبيقات ، يمكنك أن ترى بوضوح خريطة حرارة الزاحف ومصدر الهجوم الأعلى. يوصى بسحب تقرير كل أسبوع للتركيز على المراقبة، ربما ستجد شريحة IP الخاصة بشركتك المنافسة في الزحف المجنون ...
بصراحة، لا يوجد حل 100% لمكافحة التسلق. ولكن مع وجود دفاع من ثلاث طبقات من قواعد CDN + تتبع العلامة المائية + التحقق من موقع المصدر، يمكنك على الأقل دفع تكلفة الزحف إلى مستوى لا يمكن للطرف الآخر تحقيق ربح منه. من المهم أن تستمر في التكرار - أقوم بتحديث قطاعات عناوين IP المحظورة مرة كل شهر وتعديل عتبات التردد مرة كل ثلاثة أشهر. من المفترض أن يكون الأمن متعلقًا بالهجوم والدفاع، والاستلقاء على الأرض ينتظر الزحف من خلاله.
إذا كنت ترغب حقًا في التوصية به، فإن CDN05 فعال من حيث التكلفة بما يكفي للمواقع الصغيرة والمتوسطة الحجم، ومنصات الفيديو عالية الحركة مباشرة على حل التحليلات السلوكية لـ CDN07. أما بالنسبة لـ 08Host، فهي مناسبة لأولئك الذين يحتاجون إلى علامات مائية مخصصة وعلامات قانونية متقدمة. لا تنسى أن خط الدفاع الأخير هو دائمًا تصميم إنساني - أضف زر “الإبلاغ عن القرصنة” في مشغل الفيديو، ودع المستخدمين يصبحون حراسك.
