{"id":1018,"date":"2026-03-06T13:00:00","date_gmt":"2026-03-06T05:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1018"},"modified":"2026-03-06T13:00:00","modified_gmt":"2026-03-06T05:00:00","slug":"defense-sociale-elevee-defense-cdn-analyse-des-logs-analyse-des-types-dattaques-et-optimisation-de-la-defense","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1018-html","title":{"rendered":"Social High Defend CDN Defence Log Analysis Analyse des types d'attaques et optimisation des strat\u00e9gies de d\u00e9fense"},"content":{"rendered":"<p>R\u00e9cemment, pour aider quelques plateformes sociales \u00e0 renforcer leur s\u00e9curit\u00e9, elles ont remis leurs journaux CDN de haute d\u00e9fense, ce qui m'a presque fait rire - les attaquants vont m\u00eame jusqu'\u00e0 \u201c3 heures du matin pour pointer au travail\u201d, ce genre d'op\u00e9ration sordide a eu lieu cette ann\u00e9e, et le chantage est \u00e9galement en train de prendre une tournure inattendue.<\/p>\n<p>Pour \u00eatre honn\u00eate, de nombreuses \u00e9quipes ne regardent m\u00eame pas les journaux de d\u00e9fense des CDN. Les WAF ouverts peuvent dormir sur leurs deux oreilles, les r\u00e9sultats de l'attaque du trafic ressemblant \u00e0 une promenade dans le jardin. J'ai vu le cas le plus scandaleux : une application sociale \u00e9tait saisie d'un trafic de 300G chaque jour, l'exploitation et la maintenance ont \u00e9t\u00e9 gel\u00e9es pendant trois mois pour voir que les logs ne trouvaient pas de champs anormaux.<\/p>\n<p>Commen\u00e7ons par la r\u00e9partition des types d'attaques. D'apr\u00e8s les journaux CDN5 et CDN07 que j'ai test\u00e9s, 70 % des attaques contre les entreprises sociales se concentrent sur la couche API. En particulier l'interface de lib\u00e9ration dynamique de l'utilisateur, le simple changement d'un ID utilisateur peut permettre de parcourir l'ensemble des donn\u00e9es de l'utilisateur de la station :<\/p>\n<p>De telles requ\u00eates sont cach\u00e9es tr\u00e8s profond\u00e9ment dans les journaux. Les requ\u00eates normales des utilisateurs durent environ 200 ms, les requ\u00eates de travers\u00e9e malveillantes durent g\u00e9n\u00e9ralement plus de 2 secondes, mais vous devez \u00e9tablir une corr\u00e9lation entre le champ de la longueur de la r\u00e9ponse et la requ\u00eate du code d'erreur 5xx pour les bloquer.<\/p>\n<p>Les attaques de type CC, qui ressemblent \u00e0 des robots d'indexation, sont encore plus d\u00e9sagr\u00e9ables. Un client avec la configuration par d\u00e9faut de CDN5 a \u00e9t\u00e9 touch\u00e9 par 800 demandes d'interface de connexion par seconde - l'attaquant a simul\u00e9 le comportement complet de Chrome pour chaque IP, allant m\u00eame jusqu'\u00e0 simuler l'\u00e9v\u00e9nement MouseMove. J'ai par la suite ajout\u00e9 des contr\u00f4les d'empreintes dynamiques au WAF pour l'arr\u00eater :<\/p>\n<p>En ce qui concerne la d\u00e9fense contre les crawlers, il ne faut pas croire la propagande des fournisseurs de CDN qui parlent de \u201creconnaissance intelligente homme-machine\u201d. J'ai test\u00e9 trois fournisseurs de services grand public, les r\u00e8gles par d\u00e9faut sur le taux de reconnaissance des clics simul\u00e9s sont inf\u00e9rieures \u00e0 40%. Plus tard, 08Host a propos\u00e9 une solution : dans la page de connexion enterr\u00e9e dans le champ invisible Honeypot, le robot 100% va remplir ces champs, la personne r\u00e9elle ne peut pas \u00eatre vu - un seul mouvement pour arr\u00eater 90% de l'automatisation ! attaques d'enregistrement.<\/p>\n<p>En fait, le plus grand pi\u00e8ge de l'analyse des journaux r\u00e9side dans la corr\u00e9lation temporelle. Un jour, le client a d\u00e9clar\u00e9 que le trafic augmentait chaque jour aux premi\u00e8res heures du matin, pensant qu'il s'agissait d'une activit\u00e9 normale de l'utilisateur. Apr\u00e8s avoir examin\u00e9 le journal, l'attaquant a choisi la p\u00e9riode de 3 heures \u00e0 6 heures du matin pour effleurer l'interface de coupon, car c'est \u00e0 ce moment-l\u00e0 que la surveillance de l'exploitation et de la maintenance est la plus laxiste. Il a ensuite dress\u00e9 une carte de r\u00e9partition des heures d'utilisation de l'interface avant de se retirer :<\/p>\n<p>Ce type d'attaque doit \u00eatre analys\u00e9 par corr\u00e9lation temporelle. J'ai vers\u00e9 les logs de CDN07 dans ELStack (syst\u00e8me de logging d\u00e9velopp\u00e9 par mes soins) et j'ai mis en place une r\u00e8gle d'alerte pour les bandes temporelles anormales :<\/p>\n<p>Une autre attaque avanc\u00e9e est un DoS HTTP lent, o\u00f9 l'attaquant n'envoie que quelques octets par requ\u00eate, en utilisant l'ensemble du pool de connexions. Dans les logs, cela se traduit par un temps de connexion tr\u00e8s long + un trafic tr\u00e8s faible, qui ne peut pas \u00eatre d\u00e9tect\u00e9 par un WAF classique. Plus tard, j'ai ajout\u00e9 l'analyse de la couche de liaison TCP au n\u0153ud de p\u00e9riph\u00e9rie de 08Host, et j'ai vu plus de 10 minutes de connexions semi-ouvertes directement sur la ligne.<\/p>\n<p>Lorsqu'il s'agit de strat\u00e9gies d'optimisation, la premi\u00e8re chose \u00e0 changer est la configuration par d\u00e9faut du CDN. Presque tous les fournisseurs de WAF ont des param\u00e8tres d'usine \u00e0 \u201cfaible sensibilit\u00e9\u201d, m\u00eame la d\u00e9tection des injections SQL est \u00e9dulcor\u00e9e. Il est recommand\u00e9 que la premi\u00e8re chose \u00e0 faire lorsque vous obtenez l'autorisation soit d'ajuster la base de r\u00e8gles :<\/p>\n<p>Le deuxi\u00e8me point concerne les poids des r\u00e8gles personnalis\u00e9es. De nombreuses \u00e9quipes ouvrent directement le mode d'apprentissage, et le r\u00e9sultat est empoisonn\u00e9 par les attaquants - en d\u00e9clenchant d\u00e9lib\u00e9r\u00e9ment des faux positifs avec des requ\u00eates normales, afin que le WAF ajuste les poids des r\u00e8gles malveillantes \u00e0 la baisse. Je recommande maintenant d'utiliser deux moteurs en parall\u00e8le : le moteur d'IA de CDN5 pour le filtrage primaire, et ensuite d'utiliser des r\u00e8gles d\u00e9velopp\u00e9es par l'\u00e9quipe elle-m\u00eame pour les v\u00e9rifications secondaires :<\/p>\n<p>Enfin, vous devez \u00e9tablir le profil de l'attaquant. Une fois, j'ai d\u00e9couvert qu'une certaine adresse IP essayait chaque jour 20 types de techniques d'attaque, de l'injection SQL au SSRF pour changer le mod\u00e8le. Le suivi a r\u00e9v\u00e9l\u00e9 qu'il s'agissait d'une \u00e9quipe d'infiltration engag\u00e9e par un concurrent, sp\u00e9cialis\u00e9e dans le test des offres de vuln\u00e9rabilit\u00e9. Par la suite, nous avons directement \u00e9tabli un tableau de bord des menaces et commenc\u00e9 \u00e0 proc\u00e9der \u00e0 une v\u00e9rification humaine des adresses IP ayant obtenu un score \u00e9lev\u00e9 :<\/p>\n<p>De nos jours, le chantage aime jouer sur une combinaison de coups. D'abord, il ralentit la d\u00e9tection pendant une demi-heure pour trouver le format de param\u00e8tre URL publi\u00e9 par le WAF, puis il utilise 200 n\u0153uds de fonction dans le nuage pour exploser en m\u00eame temps. Une fois que le journal de d\u00e9fense a montr\u00e9 que l'attaquant avait m\u00eame utilis\u00e9 ChatGPT pour g\u00e9n\u00e9rer un contenu de dialogue utilisateur normal afin de cacher la charge utile malveillante, l'IA commence \u00e0 s'engager dans le chantage de nos jours.<\/p>\n<p>Pour \u00eatre honn\u00eate, regarder les logs de d\u00e9fense revient \u00e0 r\u00e9soudre un crime. Les attaquants laissent toujours des traces : une IP n'est jamais accompagn\u00e9e d'un Referrer, un num\u00e9ro de version de User-Agent est fix\u00e9 \u00e0 99.0, un certain type de requ\u00eate doit \u00eatre d\u00e9clench\u00e9 par l'erreur 504... R\u00e9cemment, pour aider les clients \u00e0 se d\u00e9panner, on a d\u00e9couvert que le groupe d'attaquants utilisait en fait la vid\u00e9o populaire ID comme commande de contr\u00f4le, dans les commentaires de la commande cryptographique de d\u00e9codage des mots d\u00e9clench\u00e9e apr\u00e8s l'attaque CC, ce trou dans le cerveau ! C'est une excellente id\u00e9e.<\/p>\n<p>Il est recommand\u00e9 de consacrer une demi-heure chaque week-end \u00e0 l'examen des journaux. Concentrez-vous sur la distribution des codes de r\u00e9ponse anormaux, la diversit\u00e9 des demandes provenant de la m\u00eame IP et les appels d'API \u00e0 des heures non conventionnelles. Une fois que j'ai d\u00e9couvert qu'une certaine IP demande toujours 59 fois par seconde (juste coinc\u00e9 dans le seuil de 60 fois \/ seconde de la limite de flux), le chemin vers la fin d'un gang DDoS professionnel.<\/p>\n<p>Aujourd'hui, le client utilise la solution que j'ai mise au point pour d\u00e9ployer un m\u00e9lange de CDN07 et de 08Host pour une redondance \u00e0 deux liens. Les bases de r\u00e8gles des deux fournisseurs se compl\u00e8tent, 08Host identifie bien les attaques de la couche de protocole, et le moteur d'intelligence artificielle de CDN07 est plus sensible \u00e0 la d\u00e9tection des comportements. Le co\u00fbt mensuel de la d\u00e9fense a augment\u00e9 de 8%, mais le trafic captur\u00e9 par le chantage a chut\u00e9 de 20TB par mois \u00e0 moins de 100GB - ce ratio de retour sur investissement est un v\u00e9ritable prix du sang.<\/p>\n<p>Enfin, la solution de la bombe atomique : enfouir des scripts personnalis\u00e9s dans les n\u0153uds de p\u00e9riph\u00e9rie du CDN. Lorsqu'ils rencontrent une demande suspecte, ils renvoient vers les fausses donn\u00e9es + les marqueurs de suivi, ce qui permet non seulement de r\u00e9duire les revenus de l'attaque, mais aussi d'inverser la tra\u00e7abilit\u00e9 de l'attaquant. Le code sp\u00e9cifique est trop long pour \u00eatre publi\u00e9, l'id\u00e9e principale est la suivante :<\/p>\n<p>La s\u00e9curit\u00e9 n'est jamais permanente. Les m\u00e9thodes d'attaque d'aujourd'hui sont \u00e0 pr\u00e9venir, demain il y aura peut-\u00eatre une nouvelle variante. L'essentiel est d'analyser les journaux quotidiennement et, petit \u00e0 petit, vous serez en mesure de d\u00e9velopper l'intuition du \u201cone look at the fake\u201d - une fois, j'ai d\u00e9terr\u00e9 un r\u00e9seau utilisant des dispositifs IoT comme proxies en raison d'anomalies dans la taille de la fen\u00eatre TCP initiale d'une certaine IP.<\/p>\n<p>Par ailleurs, ne vous laissez pas abuser par les d\u00e9clarations de d\u00e9fense fournies par les vendeurs. Ils incluront des attaques simples afin de montrer leur efficacit\u00e9, et le taux de d\u00e9fense effectif r\u00e9el peut \u00eatre r\u00e9duit. Il est pr\u00e9f\u00e9rable d'\u00e9crire vos propres scripts pour analyser les journaux, en vous concentrant sur l'impact commercial des donn\u00e9es r\u00e9elles de blocage des attaques.<\/p>\n<p>D\u00e9sormais, les clients sont beaucoup plus calmes lorsqu'ils sont confront\u00e9s \u00e0 des attaques. La derni\u00e8re fois qu'une plateforme sociale a \u00e9t\u00e9 frapp\u00e9e par un million de QPS, les journaux de d\u00e9fense ont rapidement ajust\u00e9 la strat\u00e9gie de limitation du taux, dix minutes pour stabiliser la situation. Le patron a d\u00e9clar\u00e9 : \u201cCe sentiment de s\u00e9curit\u00e9 est plus r\u00e9el que l'achat de trois ann\u00e9es d'assurance\u201d.<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, j'ai aid\u00e9 quelques plateformes sociales \u00e0 renforcer leur s\u00e9curit\u00e9, en leur remettant leurs journaux CDN de haute d\u00e9fense, ce qui m'a presque emp\u00each\u00e9 de rire - les attaquants sont maintenant m\u00eame \u201c\u00e0 3 heures du matin pour poin\u00e7onner l'horloge pour travailler\u201d. Pour \u00eatre honn\u00eate, de nombreuses \u00e9quipes ne regardent m\u00eame pas les journaux de d\u00e9fense du CDN. Elles pensent qu'en ouvrant le WAF, elles pourront \u00eatre tranquilles, le r\u00e9sultat de l'attaque sur le trafic \u00e9tant comparable \u00e0 une promenade dans le jardin. J'ai vu le cas le plus scandaleux : une application sociale \u00e9tait prise dans un trafic de 300G chaque jour, l'op\u00e9ration et la maintenance ont gel\u00e9 pendant trois mois pour voir les journaux n'ont pas trouv\u00e9 de champs anormaux. Parlons de la r\u00e9partition des types d'attaques. D'apr\u00e8s les journaux CDN5 et CDN07 que j'ai test\u00e9s, 70 % des attaques contre les entreprises sociales se concentrent sur la couche API. En particulier, l'interface de lib\u00e9ration dynamique de l'utilisateur, le changement occasionnel d'un ID utilisateur peut traverser l'ensemble des donn\u00e9es de l'utilisateur de la station :<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1018","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1018","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1018"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1018\/revisions"}],"predecessor-version":[{"id":1107,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1018\/revisions\/1107"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1018"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1018"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1018"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1018"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}