{"id":1049,"date":"2026-02-27T17:00:00","date_gmt":"2026-02-27T09:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1049"},"modified":"2026-02-27T17:00:00","modified_gmt":"2026-02-27T09:00:00","slug":"como-puede-la-cdn-de-alta-seguridad-reducir-la-tasa-de-falsos-positivos-y-recortar-mediante-la-optimizacion-inteligente-de-las-reglas-de-identificacion","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/1049-html","title":{"rendered":"C\u00f3mo las CDN de alta defensa pueden reducir las tasas de falsos positivos y reducir el bloqueo de solicitudes normales mediante la optimizaci\u00f3n inteligente de las reglas de identificaci\u00f3n."},"content":{"rendered":"<p>Recientemente, un amigo se quej\u00f3 a m\u00ed que despu\u00e9s de su negocio en la CDN de alta defensa, el efecto de protecci\u00f3n de la seguridad es para arriba, pero la tasa de falsos bloqueos tambi\u00e9n es rid\u00edculamente alta, no se mueve al usuario normal para detener fuera. Me re\u00ed despu\u00e9s de escuchar este problema que me encontr\u00e9 hace tres a\u00f1os, cuando el cliente fue casi rega\u00f1ado a dudar de la vida.<\/p>\n<p>Para ser honesto, muchos proveedores de servicios CDN de alta defensa en el mercado ahora, simplemente no toman la \u201ctasa de bloqueos falsos\u201d como los indicadores b\u00e1sicos para hacer frente. Ellos est\u00e1n m\u00e1s dispuestos a presumir de lo fuerte que su capacidad de protecci\u00f3n, el n\u00famero de nodos, la capacidad de limpieza, pero el uso real, la probabilidad de una solicitud normal para ser interceptado que la probabilidad de ser atacado es mayor. Esto es como si usted instal\u00f3 una puerta de seguridad, el resultado es que su propia familia se queda fuera todos los d\u00edas.<\/p>\n<p>He probado una serie de servicios, incluyendo CDN5, CDN07 y 08Host, y encontr\u00f3 que detr\u00e1s de la alta tasa de bloqueo es en realidad el resultado de una serie de problemas. Por ejemplo, la base de reglas es anticuado, el modelo de an\u00e1lisis de comportamiento es \u00e1spera, e incluso algunos proveedores de servicios con el fin de ahorrar problemas directamente a trav\u00e9s del tablero - un cierto segmento IP es un poco de tr\u00e1fico anormal, todo el segmento est\u00e1 bloqueado para usted. Este tipo de pr\u00e1ctica \u00e1spera, en la era actual de funcionamiento afinado, es simplemente una broma.<\/p>\n<p>Una regla de reconocimiento inteligente realmente buena debe ser como un viejo cazador cazando, que puede apuntar al objetivo con precisi\u00f3n pero no herir\u00e1 por error a la vegetaci\u00f3n circundante. Debe ser capaz de distinguir entre \u201cataques maliciosos\u201d y \u201cpicos normales de actividad\u201d, identificar \u201ccomportamientos de rastreo\u201d y \u201coperaciones repentinas de usuarios humanos\u201d, e incluso adaptarse a las caracter\u00edsticas del tr\u00e1fico de diferentes industrias y escenarios. \"Incluso tiene que ser capaz de adaptarse a las caracter\u00edsticas del tr\u00e1fico de diferentes industrias y escenarios.<\/p>\n<p>En primer lugar, me gustar\u00eda decir que el malentendido m\u00e1s com\u00fan: muchos equipos vienen con una pila loca de las normas, el odio todas las reglas WAF, lista negra de IP, la estrategia de protecci\u00f3n CC abierta, el resultado es que la solicitud normal tambi\u00e9n es golpeado con un moret\u00f3n. He visto una estaci\u00f3n de comercio electr\u00f3nico, debido a que la protecci\u00f3n CC es demasiado estricta, un tercio de la solicitud de pedido durante la promoci\u00f3n fue juzgado err\u00f3neamente como un ataque, grandes p\u00e9rdidas.<\/p>\n<p>De hecho, la clave para reducir la tasa de falsos bloqueos no reside en el n\u00famero de reglas, sino en la calidad e inteligencia de las mismas. Por ejemplo, CDN5 ha realizado un trabajo m\u00e1s detallado en este \u00e1mbito. En lugar de basarse \u00fanicamente en umbrales de frecuencia para emitir juicios, combinan informaci\u00f3n multidimensional como huellas JA3, tama\u00f1os de ventana TCP y caracter\u00edsticas de temporizaci\u00f3n del tr\u00e1fico para realizar un modelado del comportamiento. De este modo, aunque una IP tenga un gran n\u00famero de solicitudes en un corto periodo de tiempo, no se bloquear\u00e1 f\u00e1cilmente siempre que otras caracter\u00edsticas sean normales.<\/p>\n<p>Otra cosa que vale la pena mencionar es el \u201cModo de Aprendizaje\u201d de 08Host. Permiten a los clientes abrir un per\u00edodo de observaci\u00f3n, para que el sistema pueda aprender el patr\u00f3n de tr\u00e1fico normal, y luego habilitar gradualmente las reglas de protecci\u00f3n. Esta caracter\u00edstica es especialmente adecuada para proyectos con patrones de tr\u00e1fico comerciales especiales, como servidores de juegos, servicios de interfaz API, etc. Varios de mis propios proyectos han utilizado este enfoque para suprimir la tasa de falsos positivos por debajo de 0,5%.<\/p>\n<p>Por supuesto, no basta con confiar en las reglas por defecto que le proporciona su proveedor de servicios. Tienes que hacer ajustes personalizados en funci\u00f3n de las caracter\u00edsticas de tu negocio. Por ejemplo, si haces negocios internacionales, entonces tienes que prestar especial atenci\u00f3n para evitar bloquear IPs extranjeras por error; si tus usuarios se centran principalmente en el m\u00f3vil, entonces tienes que centrarte en la fluctuaci\u00f3n del pool de IPs del operador.<\/p>\n<p>Suelo recomendar al equipo que despliegue un sistema de an\u00e1lisis de registros de tr\u00e1fico en segundo plano para registrar todas las solicitudes bloqueadas y realizar an\u00e1lisis de rastreo con regularidad. Muy a menudo descubrir\u00e1s que ciertos bloqueos falsos son en realidad regulares: por ejemplo, los usuarios de una determinada regi\u00f3n siempre activan las reglas, o una determinada interfaz API es f\u00e1cil que se considere an\u00f3mala debido a su dise\u00f1o especial.<\/p>\n<p>Por ejemplo, tenemos un cliente APP antes, cada actualizaci\u00f3n se centrar\u00e1 en la explosi\u00f3n de un lote de solicitudes, las reglas de protecci\u00f3n tradicionales basadas en la frecuencia son f\u00e1ciles de vencer a esta ola de tr\u00e1fico en un ataque. M\u00e1s tarde configuramos las siguientes reglas en CDN07:<\/p>\n<p>Esta simple combinaci\u00f3n de reglas resuelve nuestro problema de bloqueo err\u00f3neo de 90%. Tenga en cuenta que aqu\u00ed no utilizamos el l\u00edmite de frecuencia directamente, sino que lo combinamos con la puntuaci\u00f3n de amenaza y las caracter\u00edsticas de agente de usuario para emitir un juicio, lo que no solo garantiza la seguridad, sino que tambi\u00e9n evita los falsos asesinatos.<\/p>\n<p>Profundizando, el n\u00facleo del reconocimiento inteligente de reglas es el \u201cajuste din\u00e1mico\u201d. Un buen sistema de protecci\u00f3n debe ser capaz de aprender patrones de tr\u00e1fico en tiempo real y relajar o endurecer autom\u00e1ticamente las reglas. Por ejemplo, los algoritmos de CDN5 pueden ajustar autom\u00e1ticamente los umbrales durante los periodos de mayor actividad, en lugar de ce\u00f1irse a un valor fijo.<\/p>\n<p>Tambi\u00e9n hay algunos escenarios que requieren un cuidado especial, como el streaming de v\u00eddeo, la carga de archivos, las conexiones largas WebSocket y negocios de este tipo, cuyos patrones de tr\u00e1fico son inherentemente diferentes de las peticiones HTTP ordinarias. Si utilizas directamente las reglas por defecto para proteger, la probabilidad se ver\u00e1 anulada. Yo suelo configurar una pol\u00edtica de protecci\u00f3n separada para este tipo de negocios, o incluso un subdominio separado para evitar interferencias.<\/p>\n<p>Hablando de eso, tengo que escupir una frase, en estos d\u00edas, incluso CDN tienen que \u201cevitar que los compa\u00f1eros de equipo\u201d. Algunos proveedores de servicios con el fin de mostrar su propio efecto de protecci\u00f3n se ve bien, deliberadamente ajustado las normas particularmente sensibles, de todos modos, por error bloqueado el usuario no se encuentra necesariamente. Esta mentalidad es realmente perjudicial. As\u00ed que la hora de elegir un proveedor de servicios, debemos ver si proporcionan registros detallados de interceptaci\u00f3n y herramientas de an\u00e1lisis, o c\u00f3mo se muere no lo s\u00e9.<\/p>\n<p>Por \u00faltimo, me gustar\u00eda compartir algunos datos del mundo real: uno de nuestros proyectos con un PV diario de 10 millones, antes de la optimizaci\u00f3n, la tasa de falsos sellos era tan alta como 7%, despu\u00e9s de tres semanas de ajuste de reglas y personalizaci\u00f3n de estrategias, la tasa de falsos sellos se redujo finalmente por debajo de 0,3%. Esto no utiliza ninguna tecnolog\u00eda negra, es analizar honestamente los registros, ajustar las reglas, probar AB y luego iterar. El fragmento de configuraci\u00f3n optimizado espec\u00edfico es el siguiente:<\/p>\n<p>Por supuesto, cada situaci\u00f3n empresarial es diferente, este conjunto de configuraciones puede no ser adecuado para usted, pero la idea es la misma: refinar la escena, combinado con el negocio, el ajuste din\u00e1mico. No creo que los que afirman que \u201cuna clave para proteger\u201d la propaganda, la seguridad de este asunto nunca es una bala de plata.<\/p>\n<p>En general, reducir la tasa de falsos positivos es una tarea de ingenier\u00eda que requiere una inversi\u00f3n continua. Pone a prueba tanto la fuerza t\u00e9cnica del proveedor de servicios, sino tambi\u00e9n el grado de atenci\u00f3n del equipo de operaci\u00f3n y mantenimiento. Ahora estoy m\u00e1s miedo de escuchar a alguien decir \u201cnosotros en la CDN de alta defensa en la seguridad\u201d, de hecho, en el s\u00f3lo el principio, la parte posterior de la puesta a punto es el evento principal.<\/p>\n<p>Si sufre un quebradero de cabeza por los bloqueos err\u00f3neos, se recomienda empezar con el an\u00e1lisis de registros para clasificar las caracter\u00edsticas de las solicitudes bloqueadas err\u00f3neamente antes de ajustar las reglas de forma selectiva. Recuerde que una buena estrategia de protecci\u00f3n debe ser como un bistur\u00ed, que elimine con precisi\u00f3n la amenaza preservando al mismo tiempo el m\u00e1ximo de tejido sano. Ese tipo de soluci\u00f3n general, de talla \u00fanica, deber\u00eda haberse eliminado hace mucho tiempo.<\/p>\n<p>Despu\u00e9s de todo, ya es bastante dif\u00edcil hacer negocios hoy en d\u00eda, no dejes que la seguridad se convierta en la gota que colme el vaso y acabe con la experiencia del usuario.<\/p>","protected":false},"excerpt":{"rendered":"<p>Recientemente, un amigo se quej\u00f3 a m\u00ed que despu\u00e9s de su negocio en la CDN de alta defensa, el efecto de protecci\u00f3n de la seguridad es para arriba, pero la tasa de falsos bloqueos tambi\u00e9n es rid\u00edculamente alta, no se mueve al usuario normal para detener fuera. Me re\u00ed despu\u00e9s de escuchar este problema que me encontr\u00e9 hace tres a\u00f1os, cuando el cliente fue casi rega\u00f1ado a dudar de la vida. Para ser honesto, muchos proveedores de servicios CDN de alta defensa en el mercado ahora, simplemente no toman la \u201ctasa de falsos positivos\u201d como los indicadores b\u00e1sicos para hacer frente. Ellos est\u00e1n m\u00e1s dispuestos a presumir de lo fuerte que su capacidad de protecci\u00f3n, el n\u00famero de nodos, la capacidad de limpieza, pero el uso real, la probabilidad de una solicitud normal para ser interceptado que la probabilidad de ser atacado sigue siendo alta. Esto es como si usted instal\u00f3 una puerta de seguridad, el resultado es que la familia se queda fuera todos los d\u00edas. He probado una serie de servicios para el hogar, incluyendo CDN5, CDN07 y 08Host, y encontr\u00f3 que detr\u00e1s de la alta tasa de falsos bloqueos.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1049","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1049"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1049\/revisions"}],"predecessor-version":[{"id":1076,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1049\/revisions\/1076"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1049"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}