R\u00e9cemment, il y a toujours des copains qui me demandent si le CDN \u00e0 haute s\u00e9curit\u00e9 n'est pas vraiment capable de pr\u00e9venir les attaques CC ? C'est une bonne question, mais la r\u00e9ponse n'est pas si simple. J'ai vu trop de gens penser que l'achat d'un paquet de haute d\u00e9fense sera tout \u00e0 fait correct, les r\u00e9sultats de l'attaque CC ont p\u00e9n\u00e9tr\u00e9 apr\u00e8s le visage de la confusion. Aujourd'hui, parlons de cette question.<\/p>\n
Une attaque CC est, pour parler franchement, une simulation d'un grand nombre de requ\u00eates normales, \u00e9puisant les ressources de votre serveur. Il ne s'agit pas d'un DDoS qui s'attaque directement \u00e0 la bande passante, mais d'un couteau lent qui coupe la viande, en particulier pour abattre l'unit\u00e9 centrale, les connexions \u00e0 la base de donn\u00e9es et les maillons faibles. J'ai subi une perte dans les premi\u00e8res ann\u00e9es, lorsque je pensais que les r\u00e8gles du pare-feu \u00e9taient suffisamment strictes, les r\u00e9sultats de l'autre c\u00f4t\u00e9 avec une demande lente \u00e0 faible fr\u00e9quence + Referer al\u00e9atoire ont facilement contourn\u00e9 la base de r\u00e8gles - de nos jours, m\u00eame le CDN doit \u00eatre \u2018anti-teammate\", apr\u00e8s tout, certains des trafics d'attaque ressemblent plus \u00e0 de vraies personnes ! aussi comme une vraie personne.<\/p>\n
Pourquoi les CDN ordinaires ne peuvent-ils pas faire face ? Les attaques CC ciblent souvent les interfaces dynamiques, telles que la page de connexion, l'interface de recherche, la passerelle API, ces chemins sont fondamentalement incapables de mettre en cache. L'ann\u00e9e derni\u00e8re, pour m'aider \u00e0 g\u00e9rer l'urgence d'une station de commerce \u00e9lectronique, j'ai d\u00e9couvert que les attaquants se concentraient sp\u00e9cifiquement sur l'interface de chargement des revues de produits, 3000 requ\u00eates par seconde \u00e9tant toutes accompagn\u00e9es d'un identifiant de session al\u00e9atoire \u201cutilisateurs l\u00e9gitimes\u201d, le WAF traditionnel ne peut pas faire la distinction entre l'ennemi et moi.<\/p>\n
La valeur fondamentale d'un CDN de haute d\u00e9fense est ici : il ne s'agit pas simplement d'empiler de la bande passante, mais de s'appuyer sur l'analyse comportementale + les contraintes de fr\u00e9quence pour effectuer une interception intelligente. Prenons l'exemple de CDN5, leur algorithme de suivi des empreintes digitales est vraiment quelque chose - j'ai d\u00e9couvert que la m\u00eame IP, m\u00eame si le remplacement fr\u00e9quent de UserAgent, tant que les empreintes TCP et les caract\u00e9ristiques de la poign\u00e9e de main TLS sont les m\u00eames, le syst\u00e8me peut toujours \u00eatre associ\u00e9 au m\u00eame sujet de l'attaque.<\/p>\n
La configuration pratique r\u00e9elle doit \u00eatre combin\u00e9e avec les caract\u00e9ristiques de l'entreprise. Par exemple, pour la protection de l'interface API, je recommande g\u00e9n\u00e9ralement de proc\u00e9der comme suit :<\/p>\n
Bien s\u00fbr, les r\u00e8gles de Nginx ne suffisent pas. De nos jours, les attaques avanc\u00e9es ont une saveur d'apprentissage automatique - l'autre partie utilisera l'apprentissage par renforcement pour ajuster l'intervalle de requ\u00eate, de sorte que vous pensiez que c'est l'utilisateur qui parcourt la page. Il est temps de s'appuyer sur le r\u00e9seau d'intelligence globale du CDN. 08Host fait un meilleur travail \u00e0 cet \u00e9gard, en partageant les caract\u00e9ristiques des attaques \u00e0 travers le r\u00e9seau en temps r\u00e9el : d\u00e8s qu'un n\u0153ud identifie un nouveau mod\u00e8le CC, tous les n\u0153uds p\u00e9riph\u00e9riques mettront automatiquement \u00e0 jour leurs r\u00e8gles de d\u00e9tection dans un d\u00e9lai de 15 minutes.<\/p>\n
Ce qui m'\u00e9nerve le plus, c'est que certaines personnes se targuent d'avoir une \u201cd\u00e9fense illimit\u00e9e\u201d. Si l'on rencontre des attaques CC vraiment avanc\u00e9es, se contenter de s'appuyer sur le mat\u00e9riel pour les mener \u00e0 bien, c'est chercher la mort. L'ann\u00e9e derni\u00e8re, un client a utilis\u00e9 un certain CDN appel\u00e9 protection de niveau T, les r\u00e9sultats ont \u00e9t\u00e9 CC p\u00e9n\u00e9trer dans la base de donn\u00e9es. Plus tard, il a d\u00e9couvert que le probl\u00e8me r\u00e9sidait dans l'architecture - l'attaquant avait contourn\u00e9 le CDN pour r\u00e9soudre directement l'IP source, 20 000 demandes de connexion par seconde directement le pool de connexion MySQL \u00e9tait plein. Ne croyez donc pas au fant\u00f4me de la \u201cprotection \u00e0 cl\u00e9 unique\u201d, la dissimulation de la station source, le filtrage des ports, le pool de connexion \u00e0 la base de donn\u00e9es pour limiter le flux de ces comp\u00e9tences de base ne sont pas en place, l'achat de CDN plus co\u00fbteux est \u00e9galement inutile.<\/p>\n
Dans la pratique, vous devez \u00e9galement pr\u00eater attention au taux de faux positifs. Certains fournisseurs de CDN, pour que les donn\u00e9es aient l'air bonnes, font en sorte que les utilisateurs normaux se d\u00e9barrassent des CAPTCHA. Une bonne protection devrait \u00eatre comme le pouls d'un vieux m\u00e9decin chinois - vous devez faire la distinction entre le comportement de recherche et le brossage malveillant de l'interface. J'ai l'habitude de commencer par un seau pour \u00e9chantillonner le trafic d'une semaine et d\u00e9terminer statistiquement la fr\u00e9quence d'acc\u00e8s de base de chaque URL. Par exemple, la page des coordonn\u00e9es de l'utilisateur, dont le pic d'acc\u00e8s normal est de 50 fois par seconde, passe soudainement \u00e0 2000 fois, ce qui pose certainement un probl\u00e8me, mais si la grande promotion de la page de la liste des produits passe \u00e0 3000 fois par seconde, il peut s'agir d'un trafic normal.<\/p>\n
Enfin, une le\u00e7on de larmes : un CDN \u00e0 haute d\u00e9fense n'est pas une solution miracle. Une fois qu'il y avait un site financier par l'attaque CC, l'attaquant chaque demande avec de vrais cookies vol\u00e9s, l'apparence et la session normale exactement la m\u00eame. \u00c0 ce stade, l'analyse de la fr\u00e9quence seule est inutile, et il faut finalement s'appuyer sur les r\u00e8gles commerciales pour arr\u00eater la perte - par exemple, le m\u00eame utilisateur n'a pas r\u00e9ussi \u00e0 se connecter plus de 3 fois en 5 minutes pour forcer le verrouillage, ou v\u00e9rifier le solde de l'interface de requ\u00eate doit passer par la v\u00e9rification MFA. La v\u00e9ritable protection est donc une guerre tridimensionnelle, le CDN n'\u00e9tant que la premi\u00e8re ligne de d\u00e9fense.<\/p>\n
Revenons au d\u00e9but de la question : un CDN \u00e0 haute d\u00e9fense peut-il emp\u00eacher le CC ? Oui, mais cela d\u00e9pend de la mani\u00e8re dont il fonctionne. Les vendeurs se concentrent sur trois points : la fr\u00e9quence des mises \u00e0 jour de la biblioth\u00e8que d'empreintes digitales intelligentes, la granularit\u00e9 des r\u00e8gles personnalis\u00e9es et la possibilit\u00e9 pour la station source de se cacher compl\u00e8tement.CDN5, mod\u00e8le d'apprentissage en profondeur du taux de reconnaissance lent du CC, peut atteindre 92%, mais le prix est \u00e9lev\u00e9 ; CDN07, mod\u00e8le de protection de l'API pr\u00eat \u00e0 l'emploi, convient aux projets de petite et moyenne taille ; 08Host, faible latence du r\u00e9seau Anycast mondial pour le commerce \u00e9lectronique transfrontalier. En fin de compte, il n'y a pas de meilleur CDN, mais seulement la conception d'architecture la plus appropri\u00e9e.<\/p>\n
Les vrais ma\u00eetres font de la d\u00e9fense en profondeur. Mon programme actuel est g\u00e9n\u00e9ralement le suivant : CDN front pour nettoyer le trafic \u2192 couche interm\u00e9diaire avec OpenResty pour restreindre le flux de la logique commerciale \u2192 station source du noyau pour r\u00e9gler les param\u00e8tres de connexion TCP. Ces trois couches de tamisage vers le bas, peut se pr\u00e9cipiter \u00e0 la base de donn\u00e9es des demandes malveillantes moins de 0,1%. Rappelez-vous ah, la s\u00e9curit\u00e9 est un projet syst\u00e9matique, ne vous attendez pas \u00e0 un seul produit peut vous donner le fond.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, il y a toujours des copains qui me demandent si le CDN \u00e0 haute s\u00e9curit\u00e9 n'est pas vraiment capable de pr\u00e9venir les attaques CC ? C'est une bonne question, mais la r\u00e9ponse n'est pas si simple. J'ai vu trop de gens penser que l'achat d'un paquet de haute d\u00e9fense sera tout \u00e0 fait correct, les r\u00e9sultats de l'attaque CC ont p\u00e9n\u00e9tr\u00e9 apr\u00e8s le visage de la confusion. Aujourd'hui, parlons-en. Les attaques CC, pour parler franchement, consistent \u00e0 simuler un grand nombre de requ\u00eates normales, \u00e9puisant ainsi les ressources de votre serveur. Ce n'est pas comme le DDoS qui bouscule directement la bande passante, mais c'est un couteau lent qui coupe la viande, sp\u00e9cifiquement pour faire tomber le CPU, la connexion \u00e0 la base de donn\u00e9es, ces maillons faibles. J'ai subi une perte dans les premi\u00e8res ann\u00e9es, lorsque je pensais que les r\u00e8gles du pare-feu \u00e9taient suffisamment strictes, les r\u00e9sultats de l'autre c\u00f4t\u00e9 avec des requ\u00eates lentes \u00e0 faible fr\u00e9quence + un Referer al\u00e9atoire contournent facilement la base de r\u00e8gles - de nos jours, m\u00eame le CDN doit \u00eatre \u2018anti-teammate\", apr\u00e8s tout, certains trafics d'attaque ressemblent plus \u00e0 de vraies personnes ! En effet, une partie du trafic d'attaque ressemble davantage \u00e0 une personne r\u00e9elle qu'\u00e0 une personne r\u00e9elle. Pourquoi les CDN ordinaires transportent-ils<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1033","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1033"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1033\/revisions"}],"predecessor-version":[{"id":1092,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1033\/revisions\/1092"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1033"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}