{"id":1028,"date":"2026-02-26T16:53:00","date_gmt":"2026-02-26T08:53:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1028"},"modified":"2026-02-26T16:53:00","modified_gmt":"2026-02-26T08:53:00","slug":"echecs-haute-defense-cdn-comment-faire-face-a-une-attaque-cc-et-proteger-la-salle-par-une-interception-precise","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1028-html","title":{"rendered":"Comment Chess High Defence CDN r\u00e9pond aux attaques CC et prot\u00e8ge les salles et les interfaces de connexion gr\u00e2ce \u00e0 une interception pr\u00e9cise"},"content":{"rendered":"<p>R\u00e9cemment, j'ai aid\u00e9 plusieurs plates-formes d'\u00e9checs \u00e0 renforcer leur s\u00e9curit\u00e9 et j'ai constat\u00e9 que cette bande d'attaques CC est de plus en plus raffin\u00e9e. Ne touchez pas \u00e0 votre site web officiel, ne touchez pas \u00e0 l'interface de paiement, concentrez-vous sp\u00e9cifiquement sur la salle de jeu et l'interface de connexion. La semaine derni\u00e8re, un client m'a appel\u00e9 \u00e0 trois heures du matin pour me dire qu'au m\u00eame moment, sur deux cents personnes en ligne, la charge du serveur montait directement \u00e0 90% - il s'agit manifestement d'une attaque de CC.<\/p>\n<p>Les attaques de CC dans l'industrie des \u00e9checs ont depuis longtemps \u00e9volu\u00e9 pour atteindre le stade de la \"frappe de pr\u00e9cision\". L'attaquant commence par enregistrer un compte pour d\u00e9couvrir la logique commerciale, l'interface pour cr\u00e9er une salle, l'interface pour v\u00e9rifier le jeton et m\u00eame l'intervalle entre les paquets de battements de c\u0153ur pour que vous puissiez les calculer clairement. J'ai attrap\u00e9 quelques paquets d'attaque et j'ai constat\u00e9 qu'ils simulent m\u00eame le rythme de fonctionnement de vrais utilisateurs : se connecter d'abord, demander une liste de salles toutes les 30 secondes, puis entrer dans la salle \u00e0 des intervalles al\u00e9atoires de quelques secondes. Ce type de trafic ne peut pas \u00eatre arr\u00eat\u00e9 par les pare-feu traditionnels, et chaque demande contient un cookie l\u00e9gitime.<\/p>\n<p>Vous souvenez-vous de l'ann\u00e9e derni\u00e8re, lorsqu'une plateforme d'\u00e9checs bien connue a \u00e9t\u00e9 attaqu\u00e9e \u00e0 l'aide d'un marteau ? Les attaquants ont utilis\u00e9 deux mille n\u0153uds de fonction cloud pour brosser \u00e0 tour de r\u00f4le l'interface de la salle, 3 000 requ\u00eates par seconde pour paralyser le service de la salle. Le plus dommageable, c'est qu'ils ont choisi l'heure de pointe de 22 heures pour le faire, et que la ran\u00e7on demand\u00e9e \u00e9tait 30 % plus \u00e9lev\u00e9e que celle de leurs homologues - c'est la formation de la cha\u00eene industrielle.<\/p>\n<p>Pourquoi les CDN ordinaires \u00e0 haute d\u00e9fense ne peuvent-ils pas se prot\u00e9ger contre de telles attaques ? Parce que la strat\u00e9gie de protection traditionnelle d\u00e9pend principalement de la fr\u00e9quence des IP. Mais les gens utilisent maintenant un grand nombre d'IP proxy + des demandes \u00e0 faible fr\u00e9quence, chaque IP demande plus d'une douzaine de fois par minute, il semble mieux que l'utilisateur r\u00e9el. J'ai test\u00e9 le mode de \"protection intelligente\" d'un fournisseur, les gens effleurent lentement l'interface de la salle pendant une demi-heure, le CDN n'en a en fait pas arr\u00eat\u00e9 un seul, mais au lieu de quelques rafra\u00eechissements fr\u00e9quents de la liste des utilisateurs r\u00e9els \u00e0 bloquer.<\/p>\n<p>Une protection vraiment efficace commence par la dimension commerciale. Par exemple, l'interface de salle du jeu de soci\u00e9t\u00e9, la fr\u00e9quence d'acc\u00e8s des utilisateurs normaux est plafonn\u00e9e - qui peut changer dix salles en une seconde ? Mais les r\u00e8gles par d\u00e9faut de nombreux fournisseurs de CDN ne font que limiter m\u00e9caniquement le nombre de requ\u00eates par seconde. Plus tard, lorsque j'ai modifi\u00e9 le WAF de CDN07 pour mon client, j'ai directement \u00e9crit une r\u00e8gle personnalis\u00e9e :<\/p>\n<p>La signification de cet ensemble de combinaisons est la suivante : de courtes rafales de 5 requ\u00eates sont autoris\u00e9es (pour faire face aux clics rapides), mais le nombre total de requ\u00eates par minute ne peut pas d\u00e9passer 10. En m\u00eame temps, l'identification \u00e0 deux facteurs \"IP + ID utilisateur\" emp\u00eache l'attaquant de modifier le compte en brossant la m\u00eame IP. Le jour du test r\u00e9el, 160 000 demandes malveillantes ont \u00e9t\u00e9 bloqu\u00e9es, et le taux de blocage erron\u00e9 n'a \u00e9t\u00e9 que de 0,2%.<\/p>\n<p>La protection de l'interface de connexion est encore plus mortelle. De nombreuses plateformes pensent que l'ajout d'un code de v\u00e9rification est une bonne chose, mais le r\u00e9sultat est que les gens utilisent le code de la plateforme + des scripts pour se brosser les dents. L'ann\u00e9e derni\u00e8re, une plateforme a \u00e9t\u00e9 victime d'une attaque. L'attaquant, qui disposait d'un dictionnaire d'un million de mots de passe, a proc\u00e9d\u00e9 par t\u00e2tonnements, essayant chaque heure six mille fois, choisissant en particulier l'op\u00e9ration de trois ou quatre heures du matin. Lorsque l'\u00e9quipe de s\u00e9curit\u00e9 l'a d\u00e9couvert, plus de trois cents comptes avaient d\u00e9j\u00e0 \u00e9t\u00e9 pirat\u00e9s.<\/p>\n<p>La pratique fiable consiste d\u00e9sormais \u00e0 d\u00e9ployer des m\u00e9canismes de contestation dynamiques. Par exemple, le module de v\u00e9rification intelligent de CDN5 d\u00e9clenche une r\u00e9ponse \u00e0 trois niveaux en cas de comportements de connexion anormaux : d'abord, il ouvre le curseur pour v\u00e9rifier, puis il passe \u00e0 la v\u00e9rification par question calcul\u00e9e lorsqu'il d\u00e9tecte une attaque continue et, enfin, il force la v\u00e9rification par SMS. La cl\u00e9 est que ce processus de commutation est compl\u00e8tement dynamique - l'attaquant ne peut tout simplement pas comprendre les r\u00e8gles de d\u00e9clenchement. J'ai laiss\u00e9 l'\u00e9quipe de test simuler l'attaque, le record le plus \u00e9lev\u00e9 a dur\u00e9 jusqu'\u00e0 la 173e demande avant de d\u00e9clencher le niveau de v\u00e9rification le plus \u00e9lev\u00e9, les utilisateurs normaux ne toucheront pas \u00e0 la ligne de fond.<\/p>\n<p>Le syst\u00e8me de protection de 08Host est assez int\u00e9ressant, il attribue des centaines de balises \u00e0 chaque session utilisateur : du trac\u00e9 de la souris au temps \u00e9coul\u00e9 entre les requ\u00eates, en passant par les caract\u00e9ristiques de la pile TCP. J'ai une fois attrap\u00e9 un groupe d'attaquants, chaque requ\u00eate simulait parfaitement le navigateur Chrome, mais juste parce que le r\u00e9glage initial de la taille de la fen\u00eatre TCP et la diff\u00e9rence r\u00e9elle de Chrome de quelques octets, directement marqu\u00e9s comme du trafic malveillant.<\/p>\n<p>L'aspect le plus dommageable des jeux de soci\u00e9t\u00e9 est l'attaque des connexions TCP. Certains attaquants n'envoient pas de requ\u00eates HTTP, ils se contentent d'\u00e9tablir des connexions TCP avec vous comme des fous et remplissent ensuite les ports. Pour ce sc\u00e9nario, vous devez limiter les connexions au niveau du CDN. Il est recommand\u00e9 de diviser la strat\u00e9gie par type d'entreprise :<\/p>\n<p>N'oubliez pas la protection WebSocket. De nos jours, les cartes avec un peu d'envergure utilisent de longues connexions pour communiquer, et les attaquants choisissent sp\u00e9cifiquement le canal WebSocket pour envoyer des paquets inutiles. Un client a \u00e9t\u00e9 pi\u00e9g\u00e9 - l'attaquant envoie des centaines de paquets inutiles compress\u00e9s par seconde, et l'unit\u00e9 centrale de d\u00e9compression du serveur est directement satur\u00e9e. Plus tard, j'ai configur\u00e9 des r\u00e8gles sp\u00e9cifiques \u00e0 WebSocket sur CDN07 :<\/p>\n<p>Pour \u00eatre honn\u00eate, on ne peut plus se contenter de la valeur de la bande passante pour choisir un CDN \u00e0 haute d\u00e9fense. Il faut voir si l'autre partie a de l'exp\u00e9rience dans le domaine de la protection des \u00e9checs, les r\u00e8gles WAF peuvent \u00eatre personnalis\u00e9es, il n'y a pas d'API permettant d'ajuster dynamiquement la strat\u00e9gie. Certains fournisseurs utilisent des centaines de T de bande passante de protection, le r\u00e9sultat est que la base de r\u00e8gles n'a pas \u00e9t\u00e9 mise \u00e0 jour depuis trois ans, et m\u00eame les attaques d'acc\u00e8s non autoris\u00e9 \u00e0 Redis ne peuvent pas \u00eatre emp\u00each\u00e9es.<\/p>\n<p>R\u00e9cemment, lorsque j'ai aid\u00e9 des clients \u00e0 effectuer une migration, j'ai compar\u00e9 plusieurs fournisseurs. L'avantage de CDN5 r\u00e9side dans l'algorithme de planification intelligent, qui permet de changer de ligne en quelques secondes en cas d'attaque ; le WAF de CDN07 a une forte capacit\u00e9 de personnalisation, m\u00eame la profondeur de la d\u00e9tection des param\u00e8tres JSON ; la latence du r\u00e9seau Anycast de 08Host est stable et rentable. En fin de compte, le client a obtenu une solution hybride : 08Host pour transporter le trafic quotidien, CDN5 pour effectuer la planification de sauvegarde de l'attaque, l'interface commerciale cl\u00e9 pour accrocher CDN07 WAF. Cet ensemble de combinaisons, l'augmentation du co\u00fbt mensuel de moins de 20%, mais la capacit\u00e9 de protection de tourner plus de cinq fois.<\/p>\n<p>Enfin, une le\u00e7on de larmes : ne pensez pas que vous achetez un CDN \u00e0 haute d\u00e9fense pour \u00eatre tranquille. V\u00e9rifier r\u00e9guli\u00e8rement la d\u00e9claration de protection est l'op\u00e9ration de base, le meilleur exercice hebdomadaire d'attaque et de d\u00e9fense. Une fois, j'ai d\u00e9couvert que l'ancienne interface API d'un client n'avait pas acc\u00e8s \u00e0 la protection, l'attaquant a squatt\u00e9 pendant trois mois et a finalement trouv\u00e9 cette faille, une nuit pour p\u00e9n\u00e9trer dans le serveur. Aujourd'hui, je demande \u00e0 mes clients de suivre strictement le principe \"online must be protected\", et toutes les nouvelles interfaces doivent subir des tests de s\u00e9curit\u00e9 avant d'\u00eatre d\u00e9ploy\u00e9es.<\/p>\n<p>La cybers\u00e9curit\u00e9 est aujourd'hui un jeu du chat et de la souris. Les r\u00e8gles d\u00e9ploy\u00e9es la semaine derni\u00e8re peuvent \u00eatre contourn\u00e9es la semaine suivante, il faut donc maintenir une mentalit\u00e9 de \"confrontation continue\". Un groupe d'attaquants a m\u00eame \u00e9tudi\u00e9 notre strat\u00e9gie de protection et a utilis\u00e9 un mode d'attaque bouddhiste pour vous broyer lentement - pour vous baiser pendant dix minutes toutes les heures, en choisissant le personnel de s\u00e9curit\u00e9 pour commencer pendant les heures de repas. Plus tard, nous avons \u00e9crit un script pour analyser automatiquement le mode d'attaque et passer directement au mode de protection lorsque nous trouvions une anomalie, ce qui nous a permis de stabiliser notre position.<\/p>\n<p>Soyons honn\u00eates, le renforcement de la s\u00e9curit\u00e9 dans le secteur des \u00e9checs est un gouffre sans fond. Mais si l'on pense aux pertes et aux paiements caus\u00e9s par les attaques, ces investissements ne repr\u00e9sentent vraiment rien. L'ann\u00e9e derni\u00e8re, une plateforme a \u00e9t\u00e9 victime de trois jours d'indisponibilit\u00e9 \u00e0 la suite d'un recours collectif des joueurs, et les indemnit\u00e9s vers\u00e9es ont suffi \u00e0 acheter cinq ann\u00e9es de services de d\u00e9fense de haut niveau. Aujourd'hui, les clients ont appris \u00e0 \u00eatre intelligents, le budget de la s\u00e9curit\u00e9 est pass\u00e9 de \"poste de co\u00fbt\" \u00e0 \"poste d'assurance\", ce qui est un bon indicateur des progr\u00e8s de l'industrie.<\/p>\n<p>(A la demande du client, une partie des d\u00e9tails techniques a \u00e9t\u00e9 trait\u00e9e de mani\u00e8re floue, la configuration sp\u00e9cifique, veuillez l'ajuster en fonction de l'activit\u00e9 r\u00e9elle).<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, j'ai aid\u00e9 plusieurs plates-formes d'\u00e9checs \u00e0 renforcer leur s\u00e9curit\u00e9 et j'ai constat\u00e9 que cette bande d'attaques CC est de plus en plus raffin\u00e9e. Ne touchez pas \u00e0 votre site web officiel, ne touchez pas \u00e0 l'interface de paiement, concentrez-vous sp\u00e9cifiquement sur la salle de jeu et l'interface de connexion. La semaine derni\u00e8re, un client m'a appel\u00e9 \u00e0 trois heures du matin pour me dire qu'au m\u00eame moment, deux cents personnes \u00e9taient en ligne et que la charge du serveur atteignait directement 90% - il s'agit manifestement d'une attaque de type CC. Les attaques de CC dans le secteur des \u00e9checs ont depuis longtemps \u00e9volu\u00e9 vers le stade de la \"frappe de pr\u00e9cision\". L'attaquant commencera par enregistrer un compte pour d\u00e9couvrir la logique commerciale, l'interface pour cr\u00e9er une salle, l'interface pour v\u00e9rifier le jeton, et m\u00eame l'intervalle des paquets de battements de c\u0153ur sont clairement calcul\u00e9s pour vous. J'ai attrap\u00e9 quelques paquets d'attaque et j'ai constat\u00e9 qu'ils simulent m\u00eame le rythme des op\u00e9rations des utilisateurs r\u00e9els : premi\u00e8re connexion, demande de la liste des salles toutes les 30 secondes, puis entr\u00e9e dans la salle \u00e0 des intervalles al\u00e9atoires de quelques secondes. Ce type de trafic peut \u00eatre bloqu\u00e9 par un pare-feu traditionnel.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1028","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1028"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1028\/revisions"}],"predecessor-version":[{"id":1097,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1028\/revisions\/1097"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1028"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}