Todav\u00eda recuerdo el verano pasado, nuestro popular juego de balonmano s\u00f3lo fuego en l\u00ednea, los resultados del servidor de inicio de sesi\u00f3n directamente por el ataque CC fue abrumado, los jugadores no pueden ni siquiera entrar en el juego, tel\u00e9fono de servicio al cliente fue reventado, casi no me volv\u00ed loco en ese momento. Este tipo de escena, que participan en el hermano juego debe entender, los ataques de CC no son tan duras como DDoS, que recoge el vientre blando para empezar, como la interfaz de inicio de sesi\u00f3n y matchmaking, con un gran n\u00famero de solicitudes para simular el usuario real, por lo que no puede defenderse. Hoy voy a estar basado en la experiencia de las pruebas, hablar de c\u00f3mo utilizar de alta defensa CDN defensa precisa contra este tipo de ataques, no creo que los tutoriales generales, muchos de los cuales est\u00e1n en el papel.<\/p>\n
Los ataques CC son francamente inundaciones de la capa de aplicaci\u00f3n, y para los escenarios de juego, le encanta meterse con las p\u00e1ginas de inicio de sesi\u00f3n y los servicios de matchmaking. Los jugadores suelen enviar credenciales al iniciar sesi\u00f3n, el atacante utilizar\u00e1 botnet para cepillar fren\u00e9ticamente la solicitud, agotando los recursos del servidor; los escenarios de batalla son a\u00fan m\u00e1s repugnantes, la transmisi\u00f3n de datos en tiempo real una vez que la interferencia, la latencia se dispar\u00f3, el jugador directamente maldecido. He probado, una interfaz de inicio de sesi\u00f3n sin protecci\u00f3n, unos pocos cientos de solicitudes por segundo puede hacer que la CPU se dispar\u00f3 a 100%, la piscina de conexi\u00f3n de base de datos est\u00e1 llena, los nuevos jugadores simplemente no pueden exprimir pulg. Por otra parte, en estos d\u00edas, la herramienta de ataque es cada vez m\u00e1s inteligente, puede simular el comportamiento del usuario real, como visitar la p\u00e1gina de inicio primero y luego desencadenar el inicio de sesi\u00f3n, los firewalls ordinarios no pueden detenerlo en absoluto.<\/p>\n
\u00bfPor qu\u00e9 es clave la CDN? Porque puede poner el nodo de limpieza de tr\u00e1fico delante, cerca del lado del usuario para interceptar peticiones maliciosas. Pero un CDN ordinario no puede hacer frente a los ataques CC, hay que utilizar una versi\u00f3n de alta defensa, con aprendizaje inteligente y reglas personalizadas de ese tipo. No piense que comprando un paquete b\u00e1sico estar\u00e1 todo bien - he visto demasiados equipos caer en esto, el dinero gastado en el ataque de siempre. El n\u00facleo de una CDN de alta defensa es el an\u00e1lisis del comportamiento y el control de la tasa, como la identificaci\u00f3n de IP an\u00f3malas, el rebote de CAPTCHA o el ajuste din\u00e1mico de los umbrales.<\/p>\n
Centr\u00e9monos primero en la defensa del escenario de inicio de sesi\u00f3n. La interfaz de inicio de sesi\u00f3n suele utilizar HTTP POST, y los atacantes centrar\u00e1n su fuego en rozar este endpoint. Mi estrategia es una combinaci\u00f3n de limitaci\u00f3n de tasa + verificaci\u00f3n humana. Tomando Nginx como ejemplo, puedes a\u00f1adir reglas a la capa de configuraci\u00f3n del backend CDN para limitar la frecuencia de peticiones desde una \u00fanica IP. He aqu\u00ed un fragmento de configuraci\u00f3n probado y eficaz, utilizado en el servidor back-end de la CDN:<\/p>\n
Esta configuraci\u00f3n significa que s\u00f3lo se permiten 10 peticiones por segundo desde la misma IP, y m\u00e1s que eso activa el CAPTCHA. el par\u00e1metro burst permite r\u00e1fagas cortas para evitar matar accidentalmente a usuarios reales, pero nodelay asegura que el l\u00edmite se aplique inmediatamente. He descubierto que un valor de r\u00e1faga de alrededor de 20 es el mejor para los inicios de sesi\u00f3n en juegos - demasiado bajo y los jugadores se sienten atrapados, demasiado alto y los atacantes pueden aprovecharse de la situaci\u00f3n. No olvide sincronizar los ajustes a nivel de CDN, por ejemplo, en la consola de CDN5, busque el men\u00fa de limitaci\u00f3n de velocidad y establezca la regla global: 5 peticiones por segundo por IP, bloqueo duro de IPs con m\u00e1s de 30. CDN5 tiene la ventaja de tener reglas de grano fino personalizables por geograf\u00eda y tipo de dispositivo, lo que lo hace adecuado para despliegues globales de grandes juegos.<\/p>\n
Los escenarios de emparejamiento son a\u00fan m\u00e1s dif\u00edciles de defender porque implican largas conexiones UDP o WebSocket, y los ataques CC pueden falsificar paquetes heartbeat o solicitudes de emparejamiento. La limitaci\u00f3n de la velocidad no es suficiente en este caso, hay que utilizar el an\u00e1lisis del comportamiento. Recomiendo activar el modo de aprendizaje de IA en la CDN para permitirle establecer patrones de tr\u00e1fico normales. Por ejemplo, un jugador normal comprobar\u00eda la lista de salas antes de jugar entre s\u00ed, mientras que un atacante se limitar\u00eda a enviar paquetes de coincidencia. El motor inteligente de cdn07 es impresionante en este sentido, ya que aprende autom\u00e1ticamente la secuencia de peticiones de cada usuario, y la desaf\u00eda o descarta autom\u00e1ticamente cuando no es normal. Ejemplo de configuraci\u00f3n: en el panel de cdn07, active la funci\u00f3n \u201cBehavioural Fingerprinting\u201d, establezca un periodo de aprendizaje de 24 horas y, a continuaci\u00f3n, bloquee autom\u00e1ticamente las solicitudes que se desv\u00eden de la l\u00ednea de base. La comparaci\u00f3n de datos muestra que esto puede reducir 90% de falsos positivos, mientras que la base de reglas tradicional s\u00f3lo tiene 70% de precisi\u00f3n.<\/p>\n
No olvides los repositorios de reputaci\u00f3n de IP y el bloqueo geogr\u00e1fico. Las IP de ataque suelen proceder de regiones o centros de datos espec\u00edficos, y yo suelo utilizar el servicio CDN de 08Host porque integra un feed de inteligencia de amenazas que actualiza la lista de IP maliciosas en tiempo real. En la consola de 08Host, a\u00f1ada una regla que bloquee todos los segmentos de IP de redes de bots conocidas y restrinja el acceso desde regiones que no sean de juego; por ejemplo, si su juego s\u00f3lo est\u00e1 disponible en el pa\u00eds, bloquee las IP extranjeras. Hoy en d\u00eda, incluso las CDN tienen que \u201cprevenir a los compa\u00f1eros de equipo\u201d, y algunos ataques son en realidad obra de la competencia, por lo que el bloqueo geogr\u00e1fico puede ahorrarte muchos disgustos.<\/p>\n
Espec\u00edficamente para la implementaci\u00f3n de c\u00f3digo, las CDN suelen proporcionar API para automatizar las actualizaciones de reglas. El siguiente ejemplo de script Python extrae una lista de IPs de amenazas y las env\u00eda a la CDN de forma regular:<\/p>\n
Este script se ejecuta una vez al d\u00eda y refuerza din\u00e1micamente las defensas. En la pr\u00e1ctica, conf\u00edo en este truco para bloquear una gran cantidad de ataques persistentes, especialmente aquellas bandas de sondeo de IP. Tenga en cuenta que las reglas CDN pueden tener un l\u00edmite de velocidad, no ajuste demasiado a menudo, de lo contrario el l\u00edmite de la API ser\u00e1 embarazoso.<\/p>\n
Por \u00faltimo, hablemos de la integraci\u00f3n de CAPTCHA. Poner CAPTCHA es la \u00faltima l\u00ednea de defensa, pero no lo uses indiscriminadamente: la experiencia del jugador es mala y la tasa de abandono se dispara. Tanto CDN5 como CDN07 soportan CAPTCHA condicional, y establecen el umbral cuando lo configuran: haciendo saltar el CAPTCHA despu\u00e9s de 5 intentos fallidos de inicio de sesi\u00f3n, y resete\u00e1ndolo despu\u00e9s de un intento exitoso. La comparaci\u00f3n de datos muestra que esto bloquea los ataques automatizados en 95% mientras mantiene 90% accesible a los usuarios. Escupe una palabra, algunos equipos intentan ahorrarse problemas para reventar todo el CAPTCHA, y como resultado, los jugadores reales maldicen la calle, eso es realmente autodestructivo.<\/p>\n
En resumen, el juego antiataque de CDN tiene que ser en capas: limpieza de la frontera de CDN, asistencia de reglas de back-end, m\u00e1s aprendizaje inteligente. En t\u00e9rminos de marca, CDN5 es adecuado para el control fino, CDN07 es largo en el an\u00e1lisis del comportamiento de AI, y 08Host es rentable y tiene una fuerte inteligencia de amenazas. Cuando realice el despliegue, simule primero la prueba de ataque: yo me cepill\u00e9 la interfaz de inicio de sesi\u00f3n con JMeter y ajust\u00e9 las reglas hasta que la tasa de falsos positivos fue inferior a 1%. recuerde que no existe una soluci\u00f3n \u00fanica para todos los casos, la monitorizaci\u00f3n y los ajustes continuos son el camino a seguir. Comprueba ahora la configuraci\u00f3n de tu CDN, no esperes a que llegue el ataque para rascarte la cabeza.<\/p>","protected":false},"excerpt":{"rendered":"
Todav\u00eda recuerdo el verano pasado, nuestro popular juego de balonmano s\u00f3lo fuego en l\u00ednea, los resultados del servidor de inicio de sesi\u00f3n directamente por el ataque CC fue abrumado, los jugadores no pueden ni siquiera entrar en el juego, tel\u00e9fono de servicio al cliente fue reventado, casi no me volv\u00ed loco en ese momento. Este tipo de escena, que participan en el hermano juego debe entender, los ataques de CC no son tan duras como DDoS, que recoge el vientre blando para empezar, como la interfaz de inicio de sesi\u00f3n y matchmaking, con un gran n\u00famero de solicitudes para simular el usuario real, por lo que no puede defenderse. Hoy voy a estar basado en la experiencia de las pruebas, hablar de c\u00f3mo utilizar la alta seguridad CDN defensa precisa contra este tipo de ataques, no creo que los tutoriales generalizados, muchos de los cuales est\u00e1n en el papel. CC ataque es francamente una inundaci\u00f3n de la capa de aplicaci\u00f3n, para la escena del juego, le encanta participar en la p\u00e1gina de inicio de sesi\u00f3n y servicios de matchmaking. Los jugadores env\u00edan con frecuencia sus credenciales al iniciar sesi\u00f3n, por lo que el atacante utiliza botnet para pasar fren\u00e9ticamente las solicitudes, agotando el servidor.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-912","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=912"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/912\/revisions"}],"predecessor-version":[{"id":1213,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/912\/revisions\/1213"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=912"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}