Recientemente, un cliente llegó a la puerta, dijo que su interfaz de reproducción de la plataforma de vídeo siempre se está quedando, las quejas de los usuarios estallan, un registro de verificación, buen tipo, el tráfico de ataque CC como una inundación más, directamente al servidor seco mentira. He encontrado que la prueba real, este año el sitio de vídeo es realmente una zona de desastre, el atacante elige la interfaz de reproducción para empezar, porque el tráfico aquí es grande, consumen más recursos, casualmente llegar a un ataque CC puede hacer que el ancho de banda CDN tabla de ráfaga, la factura del proveedor de servicios de volar, la experiencia del usuario a la parte inferior del valle. No creo que el llamado programa de “protección universal”, la especificidad de la escena de vídeo determina que usted tiene que utilizar la defensa precisa, de lo contrario es una pérdida de dinero, sino también golpeado.
Cuando se trata de ataques CC, no son tan de fuerza bruta como los DDoS, sino que simulan las peticiones normales de los usuarios y rozan frenéticamente las interfaces, como las llamadas frecuentes a las URL de reproducción de vídeo, lo que provoca el agotamiento de los recursos del servidor. Las interfaces de reproducción de vídeo son especialmente vulnerables porque suelen implicar grandes transferencias de archivos, comprobaciones de autenticación y gestión de sesiones, y los atacantes pueden desencadenar fácilmente una alta concurrencia simplemente utilizando scripts para hacer peticiones por lotes, disparando la CPU y la memoria. Me he encontrado con una plataforma, el ataque pico QPS se precipitó a más de 100.000, los usuarios normales simplemente no pueden cargar el vídeo, caché CDN están rotos, la estación de origen back-end directamente 504 tiempo de espera. Este problema se analiza, el núcleo radica en la falta de limitación de la tasa y la verificación inteligente de la interfaz, junto con la configuración de la CDN es demasiado general, no para la ruta de vídeo para hacer el refinamiento de las reglas.
Para la solución, recomiendo utilizar una CDN de alta defensa combinada con reglas WAF personalizadas para lograr una defensa precisa. En primer lugar, hay que aislar la interfaz de reproducción de vídeo, como todas las solicitudes de ruta `/api/video/play` se manejan por separado, y establecer un estricto control de frecuencia en la CDN. CDN5, por ejemplo, tienen una función de “protección CC inteligente”, he probado, puede basarse en IP, User-Agent y Referer para hacer análisis multidimensional, bloquear automáticamente las solicitudes anormales. Configuración, he añadido una regla en la consola: para la ruta `/video/`, más de 50 solicitudes por segundo activará la verificación humana, si se trata de la interfaz API, entonces directamente limitar el flujo a 10 veces por segundo. A nivel de código, puede utilizar Nginx como una ayuda, como el despliegue de dicha configuración en el sitio de origen:
Lo que esta configuración significa es habilitar la limitación de la tasa de peticiones para la interfaz de reproducción de vídeo, con un máximo de 50 peticiones por segundo por IP, y 20 permitidas en ráfagas, y luego rechazarlas de plano si se pasan, para evitar el apilamiento de colas. También probé un programa similar en CDN07, su ventaja es que hay muchos nodos globales, baja latencia, especialmente adecuado para el negocio de vídeo, pero la configuración tiene que ser ajustada manualmente - por ejemplo, establecer geo-bloqueo, sólo permitir el acceso a regiones específicas, para reducir el tráfico de ataque en el extranjero. Comparación de datos, he probado CDN5 y 08Host, CDN5 en la expansión de ancho de banda es más flexible, el ataque puede ampliar automáticamente la capacidad de la elasticidad del costo puede ser controlado; 08Host está ganando en el rentable, la protección básica es gratuita, pero las características avanzadas tienen que añadir dinero. En la práctica, he combinado el CDN WAF y reglas auto-construidos para suprimir el tráfico de ataque por más de 90%.
Además, no ignore los viejos trucos de CAPTCHA y validación de token. Para la interfaz de reproducción de vídeo, a menudo añadir una simple verificación de token, por ejemplo, la solicitud debe ser con un token generado dinámicamente, el período de validez para liberar. Ejemplo de código si se implementa en Python Flask:
De esta manera, es difícil para los scripts atacantes falsificar peticiones en masa, porque el token necesita ser generado en tiempo real. He probado y encontrado que aunque este método aumenta el retraso, pero el efecto de defensa es grande, el usuario está casi sin sentido. Además, la configuración de CDN recuerde abrir el monitoreo en tiempo real y alertas, tales como el establecimiento del umbral de QPS, superando el límite en el correo electrónico o SMS, para facilitar la respuesta oportuna. Escupirlo, algunos proveedores de servicios de marketing que sopla en el cielo, realmente fuera del problema de la orden de trabajo lento, así que no sólo mirar el precio de la CDN, usted tiene que mirar el post-venta - como CDN07 24/7 soporte técnico es bastante fiable, mi última emergencia respondieron a un 10 minutos.
En resumen, la clave de la defensa CDN de alta seguridad de vídeo contra los ataques CC es la precisión y la estratificación: interfaces aisladas, limitación de velocidad, verificación inteligente, junto con las características ventajosas del proveedor de servicios CDN. Según mi experiencia, CDN5 es adecuado para escenarios de alto tráfico, y 08Host es adecuado para equipos con presupuestos limitados, pero elijas a quien elijas, tienes que personalizar las reglas, o de lo contrario será papel mojado. Por último, un recordatorio, la industria está cambiando rápidamente, el método de ataque se renueva cada día, la revisión regular de la estrategia de protección es el rey - no esperes a ser golpeado para lamentar no haber hecho una preparación temprana.
