Recientemente, un amigo haciendo la educación en línea conmigo, dijo que su casa de alto precio grabado vídeo del curso, a los pocos días en una variedad de sitios piratas, e incluso empaquetado y colgado en Taobao para vender 9.9. “No se puede evitar ah, obviamente, el uso de la CDN, ¿cómo con el mismo que el papel maché?” Estoy demasiado familiarizado con este problema, y hoy voy a sacar mi corazón con los chicos.
Hoy en día, los rastreadores ya no son sólo `curl`. Utilizan nodos distribuidos, rastreo lento de baja tasa, e incluso se disfrazan de cliente de aplicación normal, escogiendo el punto ciego de tu defensa. ¿Crees que puedes estar tranquilo con una CDN? Ingenuo. La configuración por defecto de muchas CDN para evitar un ataque CC está bien, contra crawlers profesionales es para rascarse el dedo.
He probado varios proveedores de servicios principales y encontré muchos pozos. Por ejemplo, la base de reglas WAF de algunos CDN no se ha actualizado durante años, se encontró con un ligeramente deformado User-Agent se dará a conocer directamente; también hay algunos para la búsqueda de un rendimiento acelerado, la memoria caché no debe ser el código de estado en caché, pero en lugar de la luz verde a la oruga. Lo más lamentable es que algunos proveedores de servicios de poner la función anti-escalada en el paquete de valor añadido, no añadir dinero en el desnudo básico.
Realmente queremos evitar los reptiles, pasar del pensamiento “acelerador” al pensamiento “ofensivo y defensivo”. CDN no debe limitarse a portar tráfico, debe ser la primera línea de defensa. No esperes que un solo medio resuelva el problema, hay que jugar una combinación de golpes. A continuación, comparto algunas estrategias probadas y eficaces, algunas configuraciones pueden incluso permitirle utilizar un presupuesto medio para lograr una protección de gama alta.
Empecemos por lo más sencillo: identificar el tráfico de las máquinas. Muchos rastreadores son demasiado perezosos para disfrazarse y se exponen directamente en la cabecera de la petición. Por ejemplo, Referer vacío, falta Accept-Language, o utilizan las cabeceras por defecto de bibliotecas de herramientas HTTP no comunes. Estos pueden interceptarse emparejando una regla en el backend de gestión de CDN:
Pero los rastreadores avanzados falsificarán las huellas del navegador, y es entonces cuando hay que ofrecer el mecanismo de desafío. Recomiendo encarecidamente activar la función de desafío JavaScript de la CDN: los navegadores normales realizarán automáticamente el cálculo JS y enviarán el token, mientras que la mayoría de los rastreadores se quedarán directamente atónitos. Algo como CDN07 hace un trabajo particularmente fino de esto, y también distingue entre navegadores reales y herramientas sin cabeza como PhantomJS.
El control de frecuencia es lo más importante. Nunca utilices la limitación de frecuencia global, o perjudicarás accidentalmente a los usuarios normales. Tienes que hacer una limitación dinámica del flujo por IP, ID de sesión o incluso dimensión empresarial. Por ejemplo, para la interfaz API de vídeo:
Pero el más despiadado de todos es el análisis del comportamiento. Una solución de protección verdaderamente profesional establecerá una línea de base de tráfico y detectará patrones inusuales. Por ejemplo, una determinada IP de repente pasa de /video/123 a /video/99999 a las 2:00 de la madrugada de forma frenética, o el número de descargas desde la misma cuenta se dispara en un corto periodo de tiempo. Este tipo de reglas dinámicas se implementan mejor con CDN5, que puede activar la verificación humana en tiempo real o incluso el bloqueo temporal.
Hablando de marcas de agua de vídeo, mucha gente piensa que es la esquina de un logotipo, esa cosa con ffmpeg un comando se puede borrar, para evitar que un solitario. Marca de agua eficaz para cumplir tres condiciones: la representación dinámica, la vinculación de la información, anti-eliminación. Por ejemplo, a cada solicitud para que el usuario genere una marca de agua por separado:
Pero puede ser interceptada. Un enfoque más avanzado es la marca de agua digital discreta, que divide la información del usuario en señales codificadas incrustadas en diferentes fotogramas de datos de audio y vídeo, invisibles a simple vista pero extraíbles mediante algoritmos. Este tipo de solución, que 08Host ofrece de serie, es un poco más cara, pero puede utilizarse como prueba clave en investigaciones forenses.
Recientemente también he encontrado una operación de tarta: algunos rastreadores se hará pasar por el nodo de borde CDN de nuevo a la solicitud de origen. En este momento, usted tiene que hacer la verificación de dos vías en la estación de origen, como el proveedor de CDN para asignar Token exclusivo:
Por último, debo quejarme: algunos vendedores ocultar la función anti-escalada, no comprar el paquete más caro no se le dará a utilizar. De hecho, como CDN07 es bastante concienzudo, la versión básica del informe de análisis de la API, se puede ver claramente el mapa de calor de rastreo y TOP fuente de ataque. Se recomienda sacar un informe cada semana para centrarse en la vigilancia, tal vez usted encontrará el segmento IP de su empresa competidora en el rastreo loco ...
Para ser sincero, no existe una solución 100% contra el rastreo. Pero con una defensa de tres capas de reglas CDN + rastreo de marcas de agua + verificación del sitio de origen, al menos puedes reducir el coste del rastreo a un nivel en el que la otra parte no pueda obtener beneficios. Yo actualizo los segmentos de IP de bloqueo una vez al mes y ajusto los umbrales de frecuencia una vez al trimestre. Se supone que la seguridad consiste en atacar y defenderse, y estar tumbado es esperar a ser rastreado.
Si realmente quiere recomendarlo, CDN05 es lo suficientemente rentable para sitios pequeños y medianos, y las plataformas de vídeo de alto tráfico están directamente en la solución Behavioural Analytics de CDN07. En cuanto a 08Host, es adecuado para quienes necesitan marcas de agua personalizadas y un análisis forense legal avanzado. No lo olvide, la última línea de defensa es siempre un diseño humano: añada el botón “Denunciar piratería” en el reproductor de vídeo, deje que sus usuarios se conviertan en sus centinelas.
