في الآونة الأخيرة ، جاء أحد العملاء إلى الباب ، وقال إن واجهة تشغيل منصة الفيديو الخاصة بهم متخلفة دائمًا ، وانفجار شكاوى المستخدمين ، وسجلات الشيكات ، والرجل الجيد ، وحركة مرور هجوم CC مثل الفيضان ، مباشرة إلى الخادم الجاف الكذب. لقد وجدت أن الاختبار الفعلي، موقع الفيديو هذا العام هو حقًا منطقة كارثة، يختار المهاجم واجهة التشغيل للبدء، لأن حركة المرور هنا كبيرة، وتستهلك المزيد من الموارد، ويمكن أن يؤدي هجوم CC بشكل عرضي إلى هجوم CC إلى جعل جدول انفجار عرض النطاق الترددي CDN، وفاتورة مزود الخدمة تطير، وتجربة المستخدم إلى أسفل الوادي. لا تصدق أن ما يسمى ببرنامج “الحماية الشاملة”، فإن خصوصية مشهد الفيديو تحدد أنه يجب عليك استخدام دفاع دقيق، وإلا فهو مضيعة للمال ولكنه أيضًا يتعرض للضرب.
عندما يتعلق الأمر بهجمات CC، فهي ليست بالقوة الغاشمة مثل هجمات DDoS، بل تحاكي طلبات المستخدم العادية وتؤدي إلى استنفاد موارد الخادم بشكل محموم، مثل المكالمات المتكررة لعناوين URL الخاصة بتشغيل الفيديو، مما يؤدي إلى استنفاد موارد الخادم. واجهات تشغيل الفيديو ضعيفة بشكل خاص لأنها عادةً ما تنطوي على عمليات نقل ملفات كبيرة، وعمليات التحقق من المصادقة وإدارة الجلسات، ويمكن للمهاجمين بسهولة إطلاق تزامن عالٍ من خلال استخدام البرامج النصية ببساطة لإجراء طلبات مجمّعة، مما يؤدي إلى ارتفاع وحدة المعالجة المركزية والذاكرة. لقد واجهت نظامًا أساسيًا، حيث ارتفعت ذروة الهجوم إلى أكثر من 100,000، ولا يمكن للمستخدمين العاديين ببساطة تحميل الفيديو، وتعطلت ذاكرة التخزين المؤقت لشبكة CDN، ومهلة المحطة المصدر الخلفية 504 مباشرة. يتم تحليل هذه المشكلة، يكمن جوهرها في عدم وجود قيود على المعدل والتحقق الذكي من الواجهة، إلى جانب تكوين CDN عام للغاية، وليس لمسار الفيديو للقيام بتنقيح القواعد.
بالنسبة للحل، أوصي باستخدام شبكة CDN عالية الدفاع مع قواعد WAF مخصصة لتحقيق دفاع دقيق. أولاً وقبل كل شيء، يجب عليك عزل واجهة تشغيل الفيديو، مثل أن يتم التعامل مع جميع طلبات مسار “/ واجهة برمجة التطبيقات/ الفيديو/ التشغيل” بشكل منفصل، وإعداد تحكم صارم في التردد على شبكة CDN. CDN5، على سبيل المثال، لديهم وظيفة "حماية ذكية لـ CC"، لقد اختبرتها، يمكن أن تستند إلى IP، وكيل المستخدم والمرجع لإجراء تحليل متعدد الأبعاد، وحظر الطلبات غير الطبيعية تلقائيًا. التكوين، لقد أضفت قاعدة في وحدة التحكم: بالنسبة للمسار "/ الفيديو/" فإن أكثر من 50 طلبًا في الثانية سيؤدي إلى التحقق البشري، إذا كانت واجهة واجهة API، ثم حدد التدفق مباشرةً بـ 10 مرات في الثانية. على مستوى التعليمات البرمجية، يمكنك استخدام Nginx كوسيلة مساعدة، مثل نشر مثل هذا التكوين في الموقع المصدر:
ما يعنيه هذا التكوين هو تمكين الحد من معدل الطلبات لواجهة تشغيل الفيديو، بحد أقصى 50 طلبًا في الثانية لكل عنوان IP، و20 طلبًا مسموحًا به على دفعات، ثم رفضها تمامًا إذا تجاوزت الحد، لتجنب تكدس قوائم الانتظار. لقد جربت أيضًا برنامجًا مشابهًا على CDN07، ميزته أن هناك العديد من العقد العالمية، ووقت استجابة منخفض، ومناسب بشكل خاص لأعمال الفيديو، ولكن يجب ضبط التكوين يدويًا - على سبيل المثال، إعداد الحجب الجغرافي، والسماح فقط بالوصول إلى مناطق محددة، لتقليل حركة المرور الهجومية الخارجية. مقارنة البيانات، لقد اختبرت CDN5 و 08Host، CDN5 في توسيع النطاق الترددي أكثر مرونة، يمكن للهجوم أن يوسع مرونة الهجوم تلقائيًا، ويمكن التحكم في التكلفة؛ 08Host أفضل من حيث التكلفة، الحماية الأساسية مجانية، ولكن الميزات المتقدمة يجب أن تضيف المال. في الممارسة العملية، قمت بدمج CDN WAF والقواعد المبنية ذاتيًا لقمع حركة مرور الهجوم بأكثر من 90%.
أيضًا، لا تتجاهل الحيل القديمة الخاصة بـ CAPTCHA والتحقق من صحة الرمز المميز. بالنسبة لواجهة تشغيل الفيديو، غالبًا ما أقوم بإضافة تحقق بسيط من الرمز المميز، على سبيل المثال، يجب أن يكون الطلب برمز مميز تم إنشاؤه ديناميكيًا، وفترة الصلاحية للإصدار. مثال على الكود إذا تم تنفيذه في Python Flask:
بهذه الطريقة، من الصعب على البرامج النصية المهاجمة تزييف الطلبات بالجملة، لأن الرمز المميز يجب أن يتم إنشاؤه في الوقت الفعلي. لقد اختبرت ووجدت أنه على الرغم من أن هذه الطريقة تزيد من التأخير، إلا أن التأثير الدفاعي كبير، فالمستخدم يكاد يكون بلا معنى. أيضًا، تذكر تكوين CDN لفتح المراقبة والتنبيهات في الوقت الحقيقي، مثل تعيين عتبة QPS، وتجاوز الحد الأقصى على البريد الإلكتروني أو الرسائل القصيرة، لتسهيل الاستجابة في الوقت المناسب. ابصقها، بعض مزودي الخدمة الذين يقومون بالتسويق ينفخون في السماء، حقًا من مشكلة بطء طلب العمل، لذلك لا تنظر فقط إلى سعر CDN، عليك أن تنظر إلى ما بعد البيع - مثل CDN07 الدعم الفني على مدار الساعة طوال أيام الأسبوع موثوق به تمامًا، آخر حالة طوارئ استجابوا لها في غضون 10 دقائق.
باختصار، مفتاح دفاع شبكة CDN عالية الأمان للفيديو ضد هجمات CC هو الدقة والطبقات: واجهات معزولة، وتحديد المعدل، والتحقق الذكي، إلى جانب الميزات المفيدة لمزود خدمة CDN. من تجربتي، CDN5 مناسب لسيناريوهات حركة المرور العالية، و 08Host مناسب للفرق ذات الميزانيات المحدودة، ولكن بغض النظر عن الشخص الذي تختاره، عليك تخصيص القواعد، وإلا فإنها مجرد حبر على ورق. أخيرًا، تذكيرًا، الصناعة تتغير بسرعة، وطريقة الهجوم تتجدد كل يوم، استراتيجية الحماية المنتظمة هي الملك، لا تنتظر أن تتعرض للهجوم قبل أن تندم على عدم الاستعداد المبكر.
