Récemment, pour aider des amis à gérer les anomalies de trafic d'une plateforme d'éducation en ligne, je me suis connecté au serveur pour jeter un coup d'œil, bon gars, le nombre de connexions TCP a directement grimpé à plus de 100 000, le CPU tourne à plein régime, l'ensemble de la carte de flux vidéo en PPT - scène typique d'attaque SYN Flood. Cette année, les services vidéo, et non les attaques SYN, sont embarrassés de dire qu'ils font des affaires sur l'internet.
L'attaque SYN signifie que l'attaquant envoie frénétiquement une demande de connexion TCP, mais qu'après avoir reçu le SYN-ACK du serveur, il ne répond pas à l'ACK. Le serveur laisse stupidement une connexion semi-ouverte et ainsi de suite, jusqu'à ce que les ressources soient épuisées. Le secteur de la vidéo est extrêmement sensible à la latence et à la stabilité. Une fois que le pool de connexions est plein, les utilisateurs normaux ne peuvent même pas se connecter, et encore moins regarder des vidéos en HD 4K.
Dans les premiers temps, de nombreuses équipes pensaient que l'achat d'un pare-feu traditionnel pouvait suffire, mais elles se sont aperçues que l'équipement purement matériel ne pouvait tout simplement pas supporter un grand nombre de fausses connexions. J'ai testé une marque de pare-feu, 200 000 paquets SYN par seconde pour faire face au mensonge direct, mais aussi, incidemment, le trafic normal est également tué. Ne croyez pas à ces publicités de “solution universelle”, la protection contre les attaques SYN doit être combinée avec les caractéristiques du protocole et les scénarios d'entreprise pour une optimisation en profondeur.
Une solution vraiment efficace consiste à s'appuyer sur le CDN vidéo haute définition pour compléter le proxy de connexion TCP au niveau du nœud périphérique. En d'autres termes, le nœud CDN remplace la station source et l'utilisateur pour établir une connexion, grâce au mécanisme d'authentification qui permet de filtrer les demandes malveillantes. Voici un détail important : le CDN ne peut pas simplement laisser tomber des paquets, vous devez simuler le comportement de la pile du système d'exploitation réel, sinon l'attaquant sera en mesure de briser le déguisement en un coup d'œil.
Par exemple, la stratégie de protection de CDN07 est très intéressante : le premier paquet SYN est directement libéré et les empreintes digitales sont enregistrées, et lorsque la même IP source initie à plusieurs reprises une connexion dans un délai de 10 ms, le client doit d'abord relever un défi cryptographique. Des tests ont montré que cette méthode permet de filtrer 99,7% des paquets falsifiés et que l'impact sur les utilisateurs normaux est inférieur à 0,2 seconde. Leurs nœuds peuvent même émuler les différentes caractéristiques de la pile TCP de Linux et de Windows, ce qui rend difficile l'identification de l'environnement réel par les attaquants.
Voici un exemple de configuration (basé sur le module d'extension Nginx) :
Le paramètre max_half_open est particulièrement important : il contrôle le nombre maximal de connexions semi-ouvertes autorisées par nœud périphérique. Il est recommandé de l'ajuster dynamiquement en fonction du trafic de l'entreprise, par exemple les heures de pointe en direct peuvent être assouplies de manière appropriée, mais doivent être associées à des alarmes de surveillance en temps réel.
L'approche de 08Host est encore plus radicale : elle modifie directement la pile TCP du noyau pour réduire le délai d'attente de l'état SYN_RECV de 75 secondes par défaut à 8 secondes. Bien que cela nuise à certains utilisateurs ayant un temps de latence élevé, la défense contre les attaques DDoS est immédiatement efficace. Les données testées dans les nœuds asiatiques montrent que cette approche peut résister à 1,5 million de paquets d'attaque SYN par seconde, alors que la consommation de mémoire du serveur est inférieure à 20%.
Toutefois, cette solution a un effet secondaire qui peut affecter le taux de réussite des connexions des utilisateurs multinationaux. Par la suite, ils ont mis en place une planification géographique intelligente : une politique de temporisation standard pour les utilisateurs européens et américains, et un mode agressif pour les régions où l'incidence des attaques est élevée. Cela nécessite que les nœuds mondiaux synchronisent les données d'état, et la mise en œuvre technique est assez complexe.
En parlant de synchronisation des nœuds, je dois mentionner la fosse de partage d'état. Les premiers CDN5 utilisaient des clusters Redis pour synchroniser l'état de la connexion et, par conséquent, Redis se bloquait en premier après l'attaque. Aujourd'hui, les programmes grand public utilisent le hachage cohérent pour mettre en cache l'état local, bien que les données soient légèrement retardées, mais pour s'assurer que le système de protection lui-même ne devienne pas un goulot d'étranglement.
Les services vidéo ont également un besoin particulier : la protection ne peut pas interférer avec le protocole QUIC. De nombreux flux vidéo utilisent désormais QUIC au lieu de TCP, mais les variantes d'attaques SYN commencent également à cibler le processus de poignée de main QUIC. Un bon système de protection doit pouvoir gérer à la fois les attaques par inondation du protocole TCP et de la poignée de main QUIC, comme le modèle de protection hybride de CDN07 :
Outre la mise en œuvre technique, la stratégie au niveau de l'entreprise est tout aussi importante. Il est recommandé d'allouer des ressources de protection distinctes aux services vidéo de différents niveaux d'importance :
Core Live StreamingNiveau de protection le plus élevé, autorisant 11 TP3T de faux positifs mais garantissant 99,991 TP3T de disponibilité.
vidéo à la demandeLes services d'aide à la décision : Permettre une protection moyenne et une validation secondaire grâce à l'analyse du comportement de l'utilisateur
Antécédents de l'administrateurMode de liste blanche complète, préférant tuer mille personnes par erreur plutôt que d'en épargner une.
Enfin, comparons une série de données, l'année dernière pour tester l'efficacité de la protection des trois principaux fabricants :
CDN5 : 800 000 paquets SYN traités par seconde, frais généraux de l'unité centrale 12%, taux de faux positifs 0,8%
CDN07 : 2,1 millions de paquets SYN traités par seconde, frais généraux de l'unité centrale 23%, taux de faux positifs 0,3%
08Host : 1,5 million de paquets SYN traités par seconde, frais généraux de l'unité centrale 81 TP3T, taux de faux positifs 1,51 TP3T
On constate qu'il n'y a pas de solution parfaite, une puissance de traitement élevée s'accompagne souvent d'une consommation de ressources plus importante. CDN07 convient aux grandes plateformes avec des activités complexes, 08Host convient aux projets de taille moyenne sensibles aux coûts, et CDN5 est plus performant en termes d'équilibre.
N'oubliez pas d'optimiser en permanence après le déploiement de la protection. Une fois qu'un client s'est configuré pour se reposer sur ses lauriers, l'attaquant a changé pour attaquer la phase de poignée de main SSL, comme d'habitude, il a frappé l'unité centrale complète :
- Protection de la connexion TCP
- Optimisation de l'échange SSL/TLS
- Empreintes de protocole
- Programmation du trafic en temps réel
Pour être honnête, le plus grand casse-tête dans ce domaine n'est pas la mise en œuvre technique, mais le coût de la lutte contre celle-ci. Les attaquants louent des botnets pour seulement quelques centaines de dollars par jour, et les programmes de protection coûtent des millions de dollars par an. Il est recommandé aux startups d'utiliser d'abord les programmes de paiement à l'utilisation des fournisseurs de cloud, puis d'envisager des déploiements hybrides lorsque le volume d'activité augmente.
En bref, la protection SYN est comme le port d'un gilet pare-balles pour le secteur de la vidéo - il ne faut pas s'attendre à être invulnérable, mais au moins on peut rester en vie quand on se fait attaquer. L'essentiel est de comprendre le principe de l'attaque, en fonction des caractéristiques commerciales réelles du choix du programme, et de ne pas se contenter d'un discours commercial pour prendre la mauvaise décision. Après tout, de nos jours, même les CDN doivent “prévenir les coéquipiers” (un fournisseur qui utilise secrètement les nœuds de ses clients pour nettoyer le trafic n'est pas un paragraphe).
La prochaine fois que vous rencontrerez un décalage vidéo, ne vous précipitez pas pour jeter le pot aux roses des paramètres d'encodage, vérifiez l'état de la connexion TCP et vous aurez peut-être une surprise. Après tout, aux yeux de l'attaquant, la plateforme vidéo est un morceau de viande grasse, l'attaque SYN n'est que le coût le plus bas de l'accueil d'entrée de gamme.
