Cuando me uní por primera vez a la industria, también pensé que la documentación de la API de la CDN de alta defensa se colocó en la superficie como las mercancías en el supermercado, y como resultado, pisé el pozo y pisé el pozo para dudar de mi vida. Una vez con el fin de encontrar una interfaz de estadísticas de tráfico en tiempo real, hurgó en todos los rincones de la página web oficial del proveedor de servicios, y finalmente encontró una entrada oculta en el viejo post del foro de la comunidad en 2016 - esta cosa se esconde más profundo que los espías de la Guerra Fría.
La distribución de los documentos API de los principales proveedores de servicios CDN de alta defensa en el mercado es extremadamente fragmentada. Algunos ponen directamente la entrada en la página de inicio de la consola, otros necesitan solicitar una clave API antes de desbloquear los permisos del documento, y lo más escandaloso es que algunos proveedores realmente dispersan el documento bajo tres subdominios diferentes. Encontré que vendedores como CDN5 son más inteligentes, y hay una entrada permanente "Centro de Desarrolladores" en la esquina superior derecha después de iniciar sesión en la consola, mientras que CDN07 necesita habilitar el acceso a la API en "Seguridad de la Cuenta" antes de que el enlace del documento aparezca en el centro de ayuda en la esquina inferior izquierda.
Nunca confíe en los llamados "toda la red más completa colección de documentación de la API" de sitios web de terceros, el año pasado he visto a alguien a los documentos de la interfaz obsoleta como un bebé para los resultados del parámetro de límite de frecuencia de llamada ha sido durante mucho tiempo cambiado de 200 veces por minuto a 50 veces, lo que lleva directamente a la empresa en línea de los errores de información frecuentes. El más fiable o directamente picar en los documentos oficiales, aunque a veces se necesita un poco de esfuerzo para encontrar.
Documentación principal del proveedor de servicios para obtener la batalla real
En primer lugar, hablemos de CDN5, este documento se considera más amigable para los desarrolladores. Después de iniciar sesión en la consola, no es necesario solicitar permisos adicionales, y se puede ver la documentación en tiempo real directamente en la página "Herramientas e Integración" - "Gestión de API". La clave es que proporcionan SDK descarga y herramientas de depuración en línea, nueva clave de API siempre y cuando dos pasos:
CDN07 da un pequeño rodeo, hay que encontrar la pestaña "Características avanzadas" en la configuración de seguridad de la cuenta, y hay que verificar el teléfono móvil después de abrir el acceso a la API. Sus documentos se distribuyen en dos lugares: la interfaz de configuración básica se encuentra en la "Guía del desarrollador" del Centro de ayuda, mientras que las API relacionadas con las políticas de seguridad se colocan en realidad por separado en la sección "Interfaz abierta" de la Consola de protección DDoS: la lógica de diseño es como un laberinto.
08Host aún más desesperada, el documento no está abierto al público en absoluto, es necesario ponerse en contacto con el servicio al cliente para solicitar "permisos API de socios", después de recibir el paquete zip cifrado, sino también para utilizar la clave GPG proporcionada para descifrar. Ayudé a la integración del cliente el año pasado cuando esperé durante tres días enteros, después de la descompresión encontró que el documento también tiene 2018 en los parámetros de interfaz abandonados ...... Así que si quieres usar su API, se recomienda encontrar directamente el servicio técnico al cliente para solicitar la última versión, no utilice esas versiones que circulan en Internet.
API llama a esos escollos
Encontrar la documentación es sólo el primer paso, y hay más pozos en la invocación real. La mayoría de los proveedores de servicios CDN de alta defensa ahora requieren una doble autenticación: además de la clave de la API también debe añadirse al token dinámico. 08Host algoritmo de firma es particularmente perversa, es necesario hacer tres veces hash SHA256 después de la marca de tiempo, la clave y el empalme de parámetros no-ce:
Interfaz de estadísticas de tráfico es el más propenso a problemas. Una vez que llamé CDN07 interfaz de consulta de ancho de banda de acuerdo con el ejemplo del documento, el resultado de la unidad de datos de retorno por un tiempo es Mbps por un tiempo es Kbps, y más tarde se encontró que de acuerdo con el período de tiempo para cambiar automáticamente la unidad - este tipo de pozo oscuro en el documento no se escribirá, sólo puede confiar en la depuración de paquetes.
La interfaz de consulta del estado de limpieza también es una zona catastrófica. Cuando se produce un ataque DDoS, la CDN de alta defensa cambiará automáticamente al modo de limpieza, pero el estado de cada valor de retorno es extremadamente diferente. CDN5 utiliza los números 0-4 para indicar la intensidad de la limpieza, 08Host utiliza directamente la cadena "light/heavy/excessive", y CDN07 es aún más escandaloso - el retorno del código hexadecimal necesita ser buscado en el Sugiero envolver un parser de estado unificado. Sugiero envolver un parser de estado unificado:
La política de seguridad debe extraerse completa
Hoy en día, incluso las CDN tienen que ser "a prueba de compañeros de equipo". El año pasado se produjo un caso en el que un atacante robó maliciosamente cientos de terabytes de tráfico a través de una interfaz debido a la filtración de una clave API. Asegúrate de seguir el principio del menor privilegio:
Por ejemplo, en un escenario de monitorización pura, sólo se dan permisos report_read, y se crea una clave separada con sólo permisos cache_purge para operaciones de refresco de caché.CDN5 soporta listas blancas basadas en IP de restricciones de acceso a la API, y se recomienda que las IPs de los servidores de llamada a la API en el entorno de producción estén todas atadas:
Nunca codifique las claves API en el código del cliente. He visto a gente escribir la clave en un archivo JavaScript, sólo para ser atrapados por un rastreador. La forma correcta de hacerlo es retransmitir la llamada a través de un servicio backend, o utilizar un token a corto plazo (como el token temporal válido durante 2 horas que admite 08Host).
Cómo seguir las actualizaciones de los documentos
Las iteraciones de API para CDNs de alta defensa son mucho más rápidas de lo esperado, especialmente cuando se trata de nuevas técnicas de ataque DDoS, donde se pueden añadir varios parámetros de protección nuevos en una semana. Tengo tres métodos fiables:
Suscríbete al RSS del registro de cambios oficial (tanto CDN5 como CDN07 lo proporcionan), vigila su repositorio SDK en GitHub (las actualizaciones del SDK de 08Host están más al día que la documentación), y lo más rústico pero efectivo es añadir algunos grupos técnicos de proveedores - ¡su servicio de atención al cliente suele enviar primero las notificaciones de actualizaciones en los grupos! Lo más rústico pero efectivo es añadir unos cuantos grupos de intercambio técnico de vendedores - su servicio de atención al cliente suele enviar primero las notificaciones de actualizaciones en los grupos, y actualiza la documentación sólo cada dos días.
El año pasado, cuando CDN07 cambió repentinamente el nombre del parámetro "CC Protection Threshold" de cc_level a cc_protection_level, si no hubiera sido porque alguien del grupo nos avisó con antelación, todos nuestros scripts de automatización se habrían bloqueado. Ahora tengo la costumbre de comprobar el número de versión de la interfaz antes de cada llamada a la API:
en definitiva
Encontrar documentos API para CDN de alta defensa es como jugar a la búsqueda del tesoro, y la ubicación del mapa del tesoro y la forma de descifrarlo varían mucho de un proveedor de servicios a otro. Pero una vez que domine cada conjunto de formas, podrá integrar profundamente las capacidades de alta defensa en su propio sistema de operación y mantenimiento: desde la ampliación automática de la capacidad hasta la respuesta de emergencia a los ataques, toda la cadena de automatización es el objetivo final.
Recientemente, ayudé a un cliente de comercio electrónico a utilizar la API CDN5 para hacer un sistema de programación inteligente: monitorización en tiempo real del estado de limpieza y conmutación automática de los recursos estáticos centrales al nodo de reserva de 08Host en caso de ataque al megatráfico. Este sistema puede realmente salvarle la vida en momentos críticos, y el mes pasado, fue capaz de soportar un ataque híbrido de 800Gbps con cero interrupciones de negocio.
Si está empezando, se recomienda que comience con el entorno sandbox de CDN5, que tiene los mensajes de error más detallados y es relativamente fácil de usar para la depuración. Recuerde: la documentación de la API no es una biblia, siempre a la zaga de la función real, realmente se encuentran con problemas directamente al soporte técnico es más eficiente que mirar a través de los documentos - por supuesto, siempre que usted compra un paquete de servicios incluye los derechos de soporte técnico.
