Lorsque j'ai rejoint l'industrie pour la première fois, je pensais également que la documentation de l'API du CDN de haute défense était placée à la surface comme les marchandises dans le supermarché, et en conséquence, j'ai marché sur la fosse et j'ai marché sur la fosse pour douter de ma vie. Une fois, afin de trouver une interface de statistiques de trafic en temps réel, j'ai fouillé dans tous les coins du site Web officiel du fournisseur de services, et j'ai finalement trouvé une entrée cachée dans l'ancien message du forum de la communauté en 2016 - cette chose est cachée plus profondément que les espions de la guerre froide.
La distribution des documents API des principaux fournisseurs de services CDN haute définition sur le marché est extrêmement fragmentée. Certains placent directement l'entrée sur la page d'accueil de la console, d'autres doivent demander une clé API avant de débloquer les autorisations du document, et le plus scandaleux est que certains fournisseurs dispersent en fait le document sous trois sous-domaines différents. J'ai constaté que des fournisseurs comme CDN5 sont plus intelligents, et qu'il y a une entrée permanente "Developer Centre" dans le coin supérieur droit après s'être connecté à la console, tandis que CDN07 doit activer l'accès API dans "Account Security" avant que le lien du document n'apparaisse dans le centre d'aide dans le coin inférieur gauche.
Ne jamais faire confiance à ces soi-disant "collection de documentation API la plus complète du réseau" de sites web tiers, l'année dernière, j'ai vu quelqu'un utiliser des documents d'interface obsolètes comme un bébé pour les résultats du paramètre de limite de fréquence d'appel a longtemps été modifié de 200 fois par minute à 50 fois, conduisant directement à l'entreprise en ligne des erreurs de rapport fréquentes. Le plus fiable ou directement grignoter sur les documents officiels, bien que parfois il faut un peu d'effort pour trouver.
Documentation générale du fournisseur de services pour obtenir la bataille réelle
Tout d'abord, parlons de CDN5, ce document est considéré comme plus convivial pour les développeurs. Après vous être connecté à la console, vous n'avez pas besoin de demander des autorisations supplémentaires, et vous pouvez voir la documentation en temps réel directement dans la page "Outils et intégration" - "Gestion de l'API". L'essentiel est qu'ils fournissent le téléchargement du SDK et des outils de débogage en ligne, une nouvelle clé API ne nécessitant que deux étapes :
CDN07 est un peu un détour, vous devez trouver l'onglet "Advanced Features" dans les paramètres de sécurité du compte, et vous devez vérifier votre téléphone portable après avoir ouvert l'accès à l'API. Leurs documents sont distribués en deux endroits : l'interface de configuration de base se trouve dans le "Guide du développeur" du Centre d'aide, tandis que les API liées à la politique de sécurité sont en fait placées séparément dans la section "Open Interface" de la console de protection contre les attaques DDoS - la logique de conception ressemble à un labyrinthe.
08Host encore plus désespéré, le document n'est pas ouvert au public du tout, vous devez contacter le service client pour demander des "autorisations API partenaire", après avoir reçu le paquet zip crypté, mais aussi d'utiliser la clé GPG fournie pour décrypter. J'ai aidé à l'intégration du client l'année dernière quand j'ai attendu pendant trois jours entiers, après décompression trouvé que le document a également 2018 sur les paramètres de l'interface abandonnée ...... Donc, si vous voulez utiliser son API, il est recommandé de trouver directement le service client technique pour demander la dernière version, n'utilisez pas ces versions qui circulent sur Internet.
L'API appelle ces pièges
Trouver la documentation n'est que la première étape, et il y a d'autres pièges dans l'invocation elle-même. La plupart des fournisseurs de services CDN de haut niveau exigent désormais une double authentification : en plus de la clé API, il faut également ajouter le jeton dynamique. L'algorithme de signature de 08Host est particulièrement pervers : il faut effectuer trois fois le hachage SHA256 après l'épissage de l'horodatage, de la clé et du paramètre non-ce :
L'interface des statistiques de trafic est la plus sujette aux problèmes. Une fois que j'ai appelé l'interface d'interrogation de la bande passante de CDN07 selon l'exemple du document, le résultat de l'unité de données de retour pendant un certain temps est Mbps pendant un certain temps est Kbps, et plus tard j'ai découvert que selon la période de temps pour changer automatiquement l'unité - ce genre de puits sombre dans le document ne sera pas écrit, on ne peut compter que sur le débogage des paquets.
L'interface d'interrogation sur l'état du nettoyage est également une zone sinistrée. Lorsqu'une attaque DDoS se produit, le CDN de haute défense passe automatiquement en mode nettoyage, mais le statut de chaque valeur de retour est extrêmement différent. CDN5 utilise les chiffres 0-4 pour indiquer l'intensité du nettoyage, 08Host utilise directement la chaîne "light/heavy/excessive", et CDN07 est encore plus scandaleux - le retour du code hexadécimal doit être recherché dans la base de données de CDN5, ce qui n'est pas le cas de CDN07. Je suggère d'intégrer un analyseur d'état unifié. Je suggère d'intégrer un analyseur d'état unifié :
La politique de sécurité doit être tirée au complet
De nos jours, même les CDN doivent être à l'épreuve des coéquipiers. L'année dernière, un attaquant a pu s'approprier des centaines de téraoctets de trafic par le biais d'une interface grâce à la fuite d'une clé API. Veillez à respecter le principe du moindre privilège :
Par exemple, dans un scénario de surveillance pure, seules les autorisations report_read sont données, et une clé séparée avec uniquement les autorisations cache_purge est créée pour les opérations de rafraîchissement du cache.CDN5 prend en charge la liste blanche basée sur l'IP des restrictions d'accès à l'API, et il est recommandé que les IP des serveurs d'appel de l'API dans l'environnement de production soient toutes liées :
Ne jamais coder en dur les clés d'API dans le code côté client ! J'ai vu des gens écrire la clé dans un fichier JavaScript, et se faire repérer par un crawler. La bonne façon de procéder est de relayer l'appel par un service backend, ou d'utiliser un jeton à court terme (tel que le jeton temporaire valide pendant 2 heures pris en charge par 08Host).
Comment suivre les mises à jour des documents
Les itérations de l'API pour les CDN à haute défense sont beaucoup plus rapides que prévu, en particulier lorsqu'il s'agit de nouvelles techniques d'attaque DDoS, où plusieurs nouveaux paramètres de protection peuvent être ajoutés en une semaine. J'ai trois méthodes fiables :
Abonnez-vous au RSS du changelog officiel (CDN5 et CDN07 le fournissent tous les deux), surveillez leur dépôt SDK sur GitHub (les mises à jour du SDK de 08Host sont plus récentes que la documentation), et le plus rustique mais le plus efficace est d'ajouter quelques groupes techniques de vendeurs - leur service client envoie souvent les notifications de mises à jour en premier dans les groupes ! La solution la plus rustique mais la plus efficace est d'ajouter quelques groupes d'échange technique des fournisseurs - leur service clientèle envoie souvent les notifications de mise à jour dans les groupes en premier, et ne met à jour la documentation que tous les deux jours.
L'année dernière, lorsque CDN07 a soudainement changé le nom du paramètre "CC Protection Threshold" de cc_level à cc_protection_level, si quelqu'un dans le groupe ne nous avait pas prévenus à l'avance, tous nos scripts d'automatisation auraient planté. Maintenant, j'ai pris l'habitude de vérifier le numéro de version de l'interface avant chaque appel à l'API :
en dernière analyse
Trouver des documents d'API pour les CDN à haute défense s'apparente à une chasse au trésor, et l'emplacement de la carte au trésor et la manière de la décrypter varient considérablement d'un fournisseur de services à l'autre. Mais une fois que vous maîtrisez chaque série de moyens, vous pouvez intégrer en profondeur les capacités de haute défense dans votre propre système d'exploitation et de maintenance - de l'expansion automatique de la capacité à la réponse d'urgence aux attaques, l'ensemble de la chaîne d'automatisation est l'objectif ultime.
Récemment, j'ai aidé un client e-commerce à utiliser l'API CDN5 pour mettre en place un système de planification intelligent : surveillance en temps réel de l'état de nettoyage, et basculement automatique des ressources statiques centrales vers le nœud de secours de 08Host en cas d'attaque sur le méga-trafic. Ce système peut vraiment vous sauver la vie dans les moments critiques, et le mois dernier, il a été capable de résister à une attaque hybride de 800Gbps sans aucune interruption d'activité.
Si vous débutez, il est recommandé de commencer par l'environnement sandbox de CDN5, qui contient les messages d'erreur les plus détaillés et qui est relativement convivial pour le débogage. Rappelez-vous : la documentation de l'API n'est pas une bible, elle est toujours en retard par rapport à la fonction réelle, les problèmes réellement rencontrés directement par le support technique sont plus efficaces que la recherche dans les documents - bien sûr, à condition que vous achetiez un paquet de services comprenant des droits de support technique.
