Recientemente, varios hermanos de aplicaciones sociales vinieron a m\u00ed para escupir sus quejas, diciendo que su interfaz API se cepilla todos los d\u00edas, y la carga de im\u00e1genes es tan lento que el usuario maldice directamente. En estos d\u00edas, no es f\u00e1cil participar en los productos sociales, los competidores maliciosamente rastreando datos, bandas de chantaje cepillado interfaces, el servidor no se mueve en el tiempo de inactividad, la experiencia del usuario toc\u00f3 fondo. Ech\u00e9 un vistazo a su arquitectura, buen tipo, servidor API desnuda expuesta directamente a la red p\u00fablica, ni siquiera una protecci\u00f3n decente, esto no est\u00e1 a la espera de ser martillado?<\/p>\n
Para ser honesto, los ataques que enfrentan las aplicaciones sociales son mucho m\u00e1s complejas de lo imaginado. interfaces API son vulnerables a los ataques de CC, registro malicioso, SMS bombardeo, rastreo de contenido, y los recursos est\u00e1ticos, tales como im\u00e1genes y videos se enfrentan al riesgo de robo de la cadena, los ataques lentos, y el agotamiento de ancho de banda. Simplemente confiar en la resistencia dura del servidor es simplemente poco realista - m\u00e1s el costo de la m\u00e1quina en el cielo, no a\u00f1adir la experiencia de la m\u00e1quina accidente. He visto demasiados equipos pisando la selecci\u00f3n t\u00e9cnica de la fosa, compr\u00f3 una IP de alta defensa, pero encontr\u00f3 que la velocidad de carga de im\u00e1genes es conmovedora, con un CDN ordinaria y no puede evitar que la capa API de ataques de precisi\u00f3n.<\/p>\n
Una soluci\u00f3n realmente eficaz debe tener una gobernanza por capas: la protecci\u00f3n de la API debe ser lo suficientemente dura como para identificar a los usuarios normales y el tr\u00e1fico malicioso; la carga de recursos debe ser lo suficientemente r\u00e1pida como para garantizar una experiencia de acceso global. Esto debe combinarse con la capacidad de limpieza distribuida y la estrategia de programaci\u00f3n inteligente de la CDN de alta defensa, en lugar de limitarse a comprar un gran ancho de banda para terminar el trabajo. A continuaci\u00f3n, combinado con la experiencia de las pruebas, hablo de c\u00f3mo aterrizar.<\/p>\n
Empecemos por la l\u00f3gica central de la protecci\u00f3n de API. No te creas esa propaganda de \u201cprotecci\u00f3n con un solo clic\u201d, los ataques a las API han evolucionado mucho para simular el comportamiento de personas reales. He comprobado que es f\u00e1cil confiar \u00fanicamente en la restricci\u00f3n de la frecuencia IP, especialmente en el caso de las redes de campus y empresariales que comparten salidas NAT. La clave est\u00e1 en construir una imagen a partir de m\u00faltiples dimensiones: caracter\u00edsticas temporales de las solicitudes, huellas dactilares de los dispositivos, integridad de la cadena de llamadas a la API e incluso la razonabilidad de la l\u00f3gica empresarial.<\/p>\n
Por ejemplo, la protecci\u00f3n de la interfaz de inicio de sesi\u00f3n, adem\u00e1s del l\u00edmite de velocidad regular de la IP, tiene que a\u00f1adir una verificaci\u00f3n secundaria de verificaci\u00f3n humana. Cuando la misma IP inicia m\u00faltiples solicitudes de inicio de sesi\u00f3n en un corto per\u00edodo de tiempo, la verificaci\u00f3n deslizante se activa en primer lugar, si sigue siendo anormal, se solicita el c\u00f3digo de verificaci\u00f3n SMS. Este conjunto de combinaciones hacia abajo, 90% crash ataque puede ser noqueado. A continuaci\u00f3n se muestra la configuraci\u00f3n din\u00e1mica de limitaci\u00f3n de flujo que implementamos en la capa Nginx:<\/p>\n
Pero el nivel de Nginx s\u00f3lo puede hacer la protecci\u00f3n b\u00e1sica, las reglas m\u00e1s detalladas tienen que depender de la WAF. mercado de la corriente principal de alta defensa CDN proporcionar la funci\u00f3n de reglas personalizadas, he comparado CDN5 y CDN07 dos, la brecha de flexibilidad estrategia es muy grande. motor de reglas CDN5 apoyo extensi\u00f3n de script Lua, puede acoplar datos de control de viento en tiempo real, tales como esta configuraci\u00f3n:<\/p>\n
La configuraci\u00f3n de reglas de CDN07 es bastante d\u00e9bil, aunque la interfaz es elegante, pero la capa inferior todav\u00eda se basa en el conjunto de reglas WAF tradicional, que es b\u00e1sicamente ineficaz para atacar la l\u00f3gica de negocio. La reciente nueva funci\u00f3n de borde de 08Host es un punto brillante, que puede ejecutar directamente la l\u00f3gica de JavaScript en el nodo CDN para lograr el control de riesgo de negocio de, por ejemplo, \u201csi el mismo usuario presta atenci\u00f3n a m\u00e1s de 100 personas en 5 minutos, se dispara autom\u00e1ticamente la verificaci\u00f3n\u201d. El mismo usuario sigue a m\u00e1s de 100 personas en cinco minutos, a continuaci\u00f3n, desencadena autom\u00e1ticamente la verificaci\u00f3n de este tipo de control de riesgo empresarial.<\/p>\n
La protecci\u00f3n de los recursos de imagen es otra historia. La velocidad de carga de im\u00e1genes de las APP sociales afecta directamente a la tasa de retenci\u00f3n, pero es f\u00e1cil que se vea arrastrada por el robo de cadenas y los ataques DDoS cuando hay mucho tr\u00e1fico. Mi sugerencia es separar completamente el tr\u00e1fico din\u00e1mico del est\u00e1tico: las API van en l\u00edneas de alta defensa, y las im\u00e1genes y v\u00eddeos van en l\u00edneas aceleradas. Mucha gente intenta ahorrarse problemas acelerando todo el sitio y, como resultado, las solicitudes de API se almacenan en cach\u00e9, lo que provoca una desalineaci\u00f3n de los datos.<\/p>\n
La mejor soluci\u00f3n es utilizar diferentes nombres de dominio para dividir el negocio: api.yourapp.com apunta a una CDN de alta defensa, img.yourapp.com apunta a una CDN acelerada pura. De esta forma, el tr\u00e1fico de ataque no saturar\u00e1 el ancho de banda de la imagen, y puede optimizar la configuraci\u00f3n para diferentes escenarios. Recuerde habilitar la cadena antirrobo y la autenticaci\u00f3n de token para los dominios de imagen, para que la gente no tome f\u00e1cilmente su cama de im\u00e1genes como almuerzo gratis:<\/p>\n
La estrategia de almacenamiento en cach\u00e9 tambi\u00e9n debe dise\u00f1arse cuidadosamente. El tiempo de almacenamiento en cach\u00e9 de archivos peque\u00f1os, como avatares y emoticonos, puede establecerse m\u00e1s largo (m\u00e1s de 30 d\u00edas), y se recomienda almacenar en cach\u00e9 las im\u00e1genes de flujo de alimentaci\u00f3n seg\u00fan la jerarqu\u00eda de nivel de calor: el contenido caliente se almacena en cach\u00e9 en el nodo de borde, y el contenido fr\u00edo se recupera en la fuente. He probado la funci\u00f3n de precalentamiento de cach\u00e9 inteligente en CDN5, empujando el contenido que se espera que explote a los nodos de borde por adelantado, y el retraso de carga de la imagen se redujo en 40% durante las horas punta de la tarde.<\/p>\n
El entorno de red m\u00f3vil es complejo, pero tambi\u00e9n hay que tener en cuenta la optimizaci\u00f3n del protocolo. protocolo HTTP\/3 en el entorno de red d\u00e9bil rendimiento es significativamente mejor que HTTP \/ 2, especialmente en la alta tasa de p\u00e9rdida de paquetes de la red 4G. Sin embargo, en esta etapa el costo QUIC abierto completo es alto, se recomienda que el primer nombre de dominio de imagen para abrir HTTP\/3 piloto, nombre de dominio API para mantener el protocolo TCP para garantizar la fiabilidad. 08Host HTTP\/3 implementaci\u00f3n es m\u00e1s estable, y soporta la recuperaci\u00f3n de la conexi\u00f3n 0-RTT, escenarios de conmutaci\u00f3n de red frecuente m\u00f3vil es muy amigable.<\/p>\n
Nunca hay que saltarse las alarmas de monitorizaci\u00f3n. Una vez me llamaron en mitad de la noche para hacer frente a un ataque porque no hab\u00eda configurado una alarma de aumento del ancho de banda. Ahora configurar\u00e9 tres capas de alertas en el fondo de la CDN: enviar un recordatorio cuando el ancho de banda supere los 80%, activar autom\u00e1ticamente la expansi\u00f3n el\u00e1stica cuando el QPS sea anormal y llamar directamente cuando la tasa de errores 5xx supere los 1%. Un proveedor de servicios CDN verdaderamente fiable deber\u00eda proporcionar informes de ataques en tiempo real; por ejemplo, la funci\u00f3n de an\u00e1lisis de ataques de CDN07 hace un buen trabajo al mostrar claramente el tipo de ataque, la regi\u00f3n de origen y la IP TOP del ataque.<\/p>\n
Por \u00faltimo, unas palabras sobre el control de costes. El precio de la alta defensa CDN tiene un mont\u00f3n de agua, no comprar directamente de acuerdo a la oferta del sitio web oficial. Grandes cantidades pueden ir al precio del contrato, por lo general reducir el precio de 5-7% de descuento. Si el tr\u00e1fico es peque\u00f1o, es m\u00e1s rentable utilizar la facturaci\u00f3n por volumen, pero preste atenci\u00f3n a la explosi\u00f3n de la factura causada por el tr\u00e1fico repentino. Hay una manera dif\u00edcil: el tr\u00e1fico de la API para el paquete de alta defensa, im\u00e1genes y v\u00eddeos para ir paquete de tr\u00e1fico barato (como el paquete de tr\u00e1fico de tiempo de inactividad de 08Host), el costo total se puede reducir 60% o m\u00e1s.<\/p>\n
Por perfecto que sea el programa t\u00e9cnico, es in\u00fatil sin procesos de apoyo. Se recomienda establecer un sistema regular de pruebas de penetraci\u00f3n, al menos una vez al mes para hacer un escaneo completo de vulnerabilidades. Las nuevas funciones deben estar en l\u00ednea antes de la revisi\u00f3n de seguridad, centr\u00e1ndose en comprobar la potencia de la interfaz y el control de autoridad. El entorno en l\u00ednea est\u00e1 estrictamente aislado, y est\u00e1 prohibido llevar la configuraci\u00f3n de la base de datos de prueba al entorno de producci\u00f3n - he visto este tipo de error de bajo nivel no menos de diez veces.<\/p>\n
Al final, la esencia de la protecci\u00f3n es encontrar un equilibrio entre experiencia y seguridad. Sellar demasiado fuerte para matar al usuario real, poner demasiado flojo y chantajear explotando las lagunas. La mejor manera es establecer una defensa multicapa: los nodos de borde para hacer el filtrado de grano grueso, el cl\u00faster central para hacer el control de viento de grano fino, y luego se combina con los datos del cliente inform\u00f3 para formar un bucle cerrado. No espere una soluci\u00f3n \u00fanica, la seguridad es un proceso continuo de confrontaci\u00f3n.<\/p>\n
Despu\u00e9s de muchas batallas de verificaci\u00f3n, ahora uso una combinaci\u00f3n de programas: protecci\u00f3n de API con CDN5 + puerta de enlace de control de viento de auto-investigaci\u00f3n, aceleraci\u00f3n de imagen con 08Host red de programaci\u00f3n inteligente, datos importantes y luego establecer una capa de transmisi\u00f3n cifrada privada. Este conjunto de arquitectura para llevar la vida cotidiana de diez millones de presi\u00f3n de las aplicaciones sociales, la tasa de interceptaci\u00f3n de ataques API de 98% o m\u00e1s, la carga de im\u00e1genes P90 control de tiempo dentro de 800ms. La clave es el costo controlable, no porque la protecci\u00f3n necesita para hacer la arquitectura demasiado compleja.<\/p>\n
Hablar sobre el papel siempre es superficial, realmente queremos prevenir los ataques pero tambi\u00e9n necesitamos seguir iterando. Se recomienda hacer un simulacro trimestral de ataque y defensa para simular escenarios reales de ataque para probar el sistema de protecci\u00f3n. Encuentre nuevas t\u00e9cnicas de ataque y actualice a tiempo las reglas, no espere a tener problemas para poner remedio. Recuerde: no existe un sistema de seguridad absoluto, s\u00f3lo la evoluci\u00f3n continua de la estrategia de defensa.<\/p>","protected":false},"excerpt":{"rendered":"
Recientemente, varios hermanos de aplicaciones sociales vinieron a m\u00ed para escupir sus quejas, diciendo que su interfaz API se cepilla todos los d\u00edas, y la carga de im\u00e1genes es tan lento que el usuario maldice directamente. En estos d\u00edas, no es f\u00e1cil participar en los productos sociales, los competidores maliciosamente rastreando datos, bandas de chantaje cepillado interfaces, el servidor no se mueve en el tiempo de inactividad, la experiencia del usuario toc\u00f3 fondo. Ech\u00e9 un vistazo a su arquitectura, buen tipo, servidor API desnuda expuesta directamente a la red p\u00fablica, ni siquiera una protecci\u00f3n decente, esto no est\u00e1 a la espera de ser martillado? Para ser honestos, los ataques a los que se enfrentan las aplicaciones sociales son mucho m\u00e1s complejos de lo imaginado; las interfaces API son susceptibles a ataques CC, registros maliciosos, bombardeo de SMS, rastreo de contenidos, y los recursos est\u00e1ticos como im\u00e1genes y v\u00eddeos se enfrentan al riesgo de robo en cadena, ataques lentos y agotamiento del ancho de banda. Confiar simplemente en que el servidor resistir\u00e1 es sencillamente poco realista: \u00a1a\u00f1ada el coste de la m\u00e1quina en el cielo, no a\u00f1ada el colapso de la experiencia de la m\u00e1quina!<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-918","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=918"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/918\/revisions"}],"predecessor-version":[{"id":1207,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/918\/revisions\/1207"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=918"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}