La otra noche, estaba depurando una API para una plataforma de redes sociales cuando, de repente, salt\u00f3 la alarma de monitorizaci\u00f3n: hombre, decenas de miles de peticiones por segundo estaban llegando a raudales, y estaban secando el servidor. \u00bfY adivina qu\u00e9? No se trata de un ataque complejo, sino de un simple script que llama fren\u00e9ticamente a la interfaz de inicio de sesi\u00f3n e intenta descifrar por fuerza bruta la contrase\u00f1a del usuario. En estos d\u00edas, la API se ha convertido en la carne y las patatas de los hackers, especialmente las aplicaciones sociales, los datos de usuario, la interacci\u00f3n frecuente, un poco de falta de atenci\u00f3n ser\u00e1 apu\u00f1alado.<\/p>\n
Una CDN de alta defensa social no es s\u00f3lo para aparentar, tiene que vigilar tu pasarela API como un perro guardi\u00e1n. Me he dado cuenta de que muchos equipos pensaban que pod\u00edan estar tranquilos con una CDN, pero les faltaba la capa de protecci\u00f3n de la API y se la han colado hasta las madres. No creas en esas tonter\u00edas de \u201cprotecci\u00f3n con un solo clic\u201d, la verdadera seguridad debe empezar por la autenticaci\u00f3n y el l\u00edmite de frecuencia, o la CDN no podr\u00e1 evitar el abuso de la API por parte de los insiders.<\/p>\n
Empecemos insistiendo en la crueldad de los ataques a las API. Entre los m\u00e1s comunes se encuentran la inundaci\u00f3n DDoS, la inyecci\u00f3n SQL, el relleno de credenciales e incluso la enumeraci\u00f3n de puntos finales de API: los hackers escanean sus interfaces como si fueran un supermercado, en busca de objetivos f\u00e1ciles de pellizcar. Las aplicaciones sociales son especialmente vulnerables: la interfaz de contenido generado por el usuario (UGC), la API de la lista de amigos, el env\u00edo de mensajes, todos son objetivos. El a\u00f1o pasado, uno de mis clientes utiliz\u00f3 CDN07, era bastante estable, pero la API no puso l\u00edmites, el rastreador se apoder\u00f3 de cientos de miles de informaci\u00f3n de los usuarios, perdi\u00f3 el fondo del cielo.<\/p>\n
\u00bfPor qu\u00e9 no pueden hacerlo las CDN normales? Porque se centran en el almacenamiento en cach\u00e9 y la distribuci\u00f3n del tr\u00e1fico, pero las solicitudes de API suelen ser din\u00e1micas y deben procesarse en tiempo real, por lo que no pueden almacenarse en cach\u00e9. Las CDN de alta defensa deben ser como una navaja suiza, con protecci\u00f3n multidimensional. Por ejemplo, el programa de CDN5, he desmantelado su arquitectura, adem\u00e1s de la limpieza DDoS regular, pero tambi\u00e9n integrado API fingerprinting, puede distinguir entre usuarios normales y bot, que la lista negra de IP pura diez veces m\u00e1s inteligente.<\/p>\n
En cuanto a las soluciones, s\u00f3lo hay dos en el n\u00facleo: la autenticaci\u00f3n de la API y la limitaci\u00f3n de la frecuencia. La autenticaci\u00f3n es para ver qui\u00e9n tiene permiso de entrada, y la limitaci\u00f3n de frecuencia es para evitar que ande por ah\u00ed. Primero roc\u00edo forense - un mont\u00f3n de equipos con Basic Auth se atreven a ir en l\u00ednea, contrase\u00f1as en texto plano, esto no es una invitaci\u00f3n a los hackers a cenar? Por lo menos tienen que estar en OAuth 2.0 o JWT, con la firma y el l\u00edmite de tiempo.<\/p>\n
JWT juego el m\u00e1s, ligero y flexible. Por ejemplo, las plataformas sociales lo utilizan para gestionar las sesiones de usuario, incrustado en el token el ID de usuario y los permisos, los nodos de borde CDN comprueban directamente las firmas, reduciendo la presi\u00f3n sobre el back end. Pero ten cuidado de no meter datos sensibles en el payload, he visto a un amigo escribir su contrase\u00f1a de correo electr\u00f3nico en \u00e9l, y luego el token fue interceptado, y la comunidad muri\u00f3 directamente. La postura correcta es firmar con HS256 o RS256, y la rotaci\u00f3n de claves se realiza regularmente.<\/p>\n
Publicar un fragmento de mi middleware forense habitual Node.js y ponerlo en la l\u00f3gica de borde CDN para ejecutar:<\/p>\n
Este c\u00f3digo se pone en la funci\u00f3n de borde de la CDN5 ha sido probado, 100.000 solicitudes por segundo sin jadear. Pero la luz forense no es suficiente, el l\u00edmite de frecuencia es el anti-abuso de la matanza. Muchas API han explotado porque no hay l\u00edmite de velocidad, los hackers pueden tomar un grupo de IP proxy para hacer salir.<\/p>\n
La limitaci\u00f3n de frecuencia tiene que desplegarse en m\u00faltiples capas: una capa en el borde de la CDN, una capa en la pasarela API y otra capa para la l\u00f3gica de negocio. Recomiendo el algoritmo token bucket, la limitaci\u00f3n de flujo suave tambi\u00e9n puede reventar para hacer frente a los picos. Por ejemplo, la CDN social de 08Host tiene incorporada una limitaci\u00f3n de caudal din\u00e1mica, un control multidimensional basado en IP, ID de usuario y puntos finales de API, que es mucho m\u00e1s inteligente que los umbrales fijos.<\/p>\n
Ejemplo de configuraci\u00f3n: jugar con los l\u00edmites de frecuencia en Nginx, poner nodos de borde CDN:<\/p>\n
Esto establece un m\u00e1ximo de 10 solicitudes por IP por segundo, con r\u00e1fagas que permiten 20 para ir directamente a trav\u00e9s, y el exceso de procesamiento diferido. Ayud\u00e9 a una aplicaci\u00f3n social para ajustar este par\u00e1metro, los ataques de la API se redujo en 90%, el usuario no ha percibido. Pero no copiar ah, de acuerdo con el ajuste de negocios - interfaz de registro l\u00edmite estricto punto, carga de im\u00e1genes se puede relajar.<\/p>\n
Ahora rociar el mercado de proveedores de servicios CDN. CDN07 en el toro de aceleraci\u00f3n de cach\u00e9, pero la protecci\u00f3n de la API tiene que a\u00f1adir dinero para comprar la versi\u00f3n avanzada, lamentable. punto fuerte de CDN5 es la integraci\u00f3n de WAF y gesti\u00f3n de API, he probado su cadena de autenticaci\u00f3n de apoyo OAuth y JWT out-of-the-box, preocupaci\u00f3n. 08Host taz\u00f3n barato, frecuencia l\u00edmite de flexibilidad de configuraci\u00f3n, adecuado para el inicio de aplicaciones sociales. No estoy seguro de si va a ser capaz de hacerlo.<\/p>\n
Por \u00faltimo: la seguridad de la API no es una cuesti\u00f3n de una vez por todas, tiene que ser monitoreado continuamente. Enterr\u00e9 puntos en los registros CDN, an\u00e1lisis en tiempo real de los patrones de solicitud, anormalidades inmediatamente alertas. Las aplicaciones sociales, en particular, para evitar que los rastreadores \u201camistosos\u201d - que pretenden ser usuarios normales, datos de rastreo lento, restricciones de frecuencia tienen que utilizar el algoritmo de ventana deslizante para hacer frente.<\/p>\n
En resumen, la protecci\u00f3n de las API es como una relaci\u00f3n: hay que confiar y verificar. Una CDN de alta defensa es tu primera l\u00ednea de defensa, pero la autenticaci\u00f3n y los l\u00edmites de velocidad son el n\u00facleo. Si te andas con chiquitas, hasta la CDN m\u00e1s cara es un tigre de papel. Recuerda, los hackers no duermen la siesta, y tus APIs tienen que estar m\u00e1s despiertas que un caf\u00e9.<\/p>","protected":false},"excerpt":{"rendered":"
La otra noche, estaba depurando una API para una plataforma de redes sociales cuando, de repente, salt\u00f3 la alarma de monitorizaci\u00f3n: hombre, decenas de miles de peticiones por segundo estaban llegando a raudales, y estaban secando el servidor. \u00bfY adivina qu\u00e9? No se trata de un ataque complejo, sino de un simple script que llama fren\u00e9ticamente a la interfaz de inicio de sesi\u00f3n e intenta descifrar por fuerza bruta la contrase\u00f1a del usuario. En estos d\u00edas, la API se ha convertido en la carne y las patatas de los hackers, especialmente las aplicaciones sociales, los datos de usuario, la interacci\u00f3n frecuente, un poco de falta de atenci\u00f3n ser\u00e1 apu\u00f1alado. CDN de alta defensa social no es una configuraci\u00f3n, tiene que guardar su puerta de enlace API como un perro guardi\u00e1n. Me he dado cuenta de que muchos equipos piensan que con una CDN podr\u00e1n estar tranquilos y, como resultado, se han saltado la capa de protecci\u00f3n de la API y les ha salido el tiro por la culata. No creas en esas tonter\u00edas de \u201cprotecci\u00f3n con un solo clic\u201d, la verdadera seguridad debe empezar por la autenticaci\u00f3n y el l\u00edmite de frecuencia, \u00a1o si no!<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-956","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/956","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=956"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/956\/revisions"}],"predecessor-version":[{"id":1169,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/956\/revisions\/1169"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=956"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}