R\u00e9cemment, un ami qui fait de l'\u00e9ducation en ligne avec moi, a dit que leur maison \u00e0 prix \u00e9lev\u00e9 enregistr\u00e9 vid\u00e9o de cours, quelques jours dans une vari\u00e9t\u00e9 de sites pirates, et m\u00eame emball\u00e9 et accroch\u00e9 sur Taobao pour vendre 9,9. \u201cNe peut pas \u00eatre emp\u00each\u00e9 ah, \u00e9videmment l'utilisation de la CDN, comment avec la m\u00eame chose que le papier m\u00e2ch\u00e9 ?\u201d Je connais trop bien ce probl\u00e8me, et aujourd'hui je vais sortir mon c\u0153ur avec les gars.<\/p>\n
De nos jours, les crawlers ne se limitent plus \u00e0 `curl`. Ils utilisent des n\u0153uds distribu\u00e9s, un crawl lent \u00e0 faible taux, et se d\u00e9guisent m\u00eame en clients d'applications normales, s'attaquant \u00e0 l'angle mort de votre d\u00e9fense. Vous pensez que vous pouvez \u00eatre tranquille avec un CDN ? C'est na\u00eff. La configuration par d\u00e9faut de nombreux CDN pour emp\u00eacher une attaque CC est acceptable, contre les crawlers professionnels, c'est pour gratter la d\u00e9mangeaison.<\/p>\n
J'ai test\u00e9 plusieurs fournisseurs de services grand public et j'ai trouv\u00e9 de nombreuses failles. Par exemple, la base de r\u00e8gles WAF de certains CDN n'a pas \u00e9t\u00e9 mise \u00e0 jour depuis des ann\u00e9es, ce qui fait qu'un User-Agent l\u00e9g\u00e8rement d\u00e9form\u00e9 sera publi\u00e9 directement ; il y en a aussi qui, pour acc\u00e9l\u00e9rer les performances, ne devraient pas mettre en cache le code de l'\u00e9tat, mais plut\u00f4t donner le feu vert au crawler. La chose la plus pitoyable est que certains fournisseurs de services placent la fonction anti-escalade dans le paquet \u00e0 valeur ajout\u00e9e, vous n'ajoutez pas d'argent sur le nu de base.<\/p>\n
Le CDN ne doit pas se contenter d'\u00eatre un simple porteur de trafic, il doit \u00eatre la premi\u00e8re ligne de d\u00e9fense. Il ne faut pas s'attendre \u00e0 ce qu'un seul moyen r\u00e9solve le probl\u00e8me, il faut jouer une combinaison de coups. Ensuite, je partagerai quelques strat\u00e9gies test\u00e9es et efficaces, certaines configurations pouvant m\u00eame vous permettre d'utiliser un budget moyen pour obtenir une protection haut de gamme.<\/p>\n
Commen\u00e7ons par le plus simple : identifier le trafic de la machine. De nombreux robots sont trop paresseux pour se d\u00e9guiser et s'exposent directement dans l'en-t\u00eate de la requ\u00eate. Par exemple, un Referer vide, un Accept-Language manquant ou l'utilisation des en-t\u00eates par d\u00e9faut des biblioth\u00e8ques d'outils HTTP non courantes. Ceux-ci peuvent \u00eatre intercept\u00e9s en associant une r\u00e8gle dans le backend de gestion du CDN :<\/p>\n
Mais les crawlers avanc\u00e9s falsifieront les empreintes digitales du navigateur, et c'est \u00e0 ce moment-l\u00e0 que le m\u00e9canisme de contestation doit \u00eatre propos\u00e9. Je recommande vivement d'activer la fonction de d\u00e9fi JavaScript du CDN - les navigateurs normaux effectueront automatiquement le calcul JS et soumettront le jeton, tandis que la plupart des robots d'indexation seront carr\u00e9ment abasourdis. Quelque chose comme CDN07 fait un tr\u00e8s bon travail \u00e0 ce sujet, et fait \u00e9galement la distinction entre les vrais navigateurs et les outils sans t\u00eate comme PhantomJS.<\/p>\n
Le contr\u00f4le de la fr\u00e9quence est le plus important. N'utilisez jamais de limitation de fr\u00e9quence globale, car vous risqueriez de nuire accidentellement aux utilisateurs normaux. Vous devez proc\u00e9der \u00e0 une limitation dynamique du flux par IP, par identifiant de session ou m\u00eame par dimension commerciale. Par exemple, pour l'interface API vid\u00e9o :<\/p>\n
Mais l'analyse comportementale est la plus impitoyable de toutes. Une solution de protection v\u00e9ritablement professionnelle \u00e9tablira une base de trafic et d\u00e9tectera les sch\u00e9mas inhabituels. Par exemple, une certaine IP traverse soudainement \/video\/123 vers \/video\/99999 \u00e0 2 heures du matin dans une fr\u00e9n\u00e9sie, ou le nombre de t\u00e9l\u00e9chargements \u00e0 partir du m\u00eame compte est mont\u00e9 en fl\u00e8che dans un court laps de temps. Ce type de r\u00e8gle dynamique est mieux mis en \u0153uvre par CDN5, qui peut d\u00e9clencher une v\u00e9rification humaine en temps r\u00e9el ou m\u00eame un blocage temporaire.<\/p>\n
En parlant de filigrane vid\u00e9o, beaucoup de gens pensent qu'il s'agit du coin d'un logo, cette chose avec ffmpeg une commande peut \u00eatre effac\u00e9e, pour emp\u00eacher un solitaire. Pour \u00eatre efficace, le filigrane doit remplir trois conditions : un rendu dynamique, une information contraignante et l'impossibilit\u00e9 de l'effacer. Par exemple, pour chaque demande de l'utilisateur, il faut g\u00e9n\u00e9rer un filigrane distinct :<\/p>\n
Mais cela peut toujours \u00eatre intercept\u00e9. Une approche plus avanc\u00e9e est le filigrane num\u00e9rique discret, qui consiste \u00e0 diviser les informations de l'utilisateur en signaux brouill\u00e9s int\u00e9gr\u00e9s dans diff\u00e9rentes trames de donn\u00e9es audio et vid\u00e9o, invisibles \u00e0 l'\u0153il nu mais extractibles par des algorithmes. Ce type de solution est propos\u00e9 par 08Host avec une int\u00e9gration pr\u00eate \u00e0 l'emploi, ce qui est un peu plus co\u00fbteux, mais peut \u00eatre utilis\u00e9 comme preuve essentielle dans le cadre d'une expertise judiciaire.<\/p>\n
R\u00e9cemment, j'ai \u00e9galement d\u00e9couvert une op\u00e9ration douteuse : certains robots d'exploration se font passer pour le n\u0153ud p\u00e9riph\u00e9rique du CDN et renvoient la demande \u00e0 la source. \u00c0 ce moment-l\u00e0, vous devez proc\u00e9der \u00e0 une v\u00e9rification bidirectionnelle au niveau de la station source, par exemple en demandant au fournisseur du CDN d'attribuer un jeton exclusif :<\/p>\n
Enfin, je dois me plaindre : certains fournisseurs cachent la fonction anti-climbing, n'achetez pas le package le plus cher, il ne vous sera pas donn\u00e9 de l'utiliser. En fait, comme CDN07 est assez consciencieux, la version de base du rapport d'analyse de l'API, vous pouvez clairement voir la carte thermique du crawler et la source de l'attaque TOP. Il est recommand\u00e9 de tirer un rapport chaque semaine pour se concentrer sur la surveillance, peut-\u00eatre que vous trouverez le segment IP de votre entreprise concurrente dans le crawling fou...<\/p>\n
Pour \u00eatre honn\u00eate, il n'existe pas de solution 100% contre le crawling. Mais avec une d\u00e9fense \u00e0 trois niveaux (r\u00e8gles CDN + suivi des filigranes + v\u00e9rification du site source), vous pouvez au moins ramener le co\u00fbt du crawling \u00e0 un niveau tel que l'autre partie ne peut pas faire de b\u00e9n\u00e9fices. Il est important de continuer \u00e0 it\u00e9rer - je mets \u00e0 jour les segments d'IP bloquantes une fois par mois et j'ajuste les seuils de fr\u00e9quence une fois par trimestre. La s\u00e9curit\u00e9 est cens\u00e9e \u00eatre une question d'attaque et de d\u00e9fense, et le fait d'\u00eatre \u00e0 plat ne demande qu'\u00e0 \u00eatre travers\u00e9.<\/p>\n
Si vous voulez vraiment le recommander, CDN05 est suffisamment rentable pour les sites de petite et moyenne taille, et les plateformes vid\u00e9o \u00e0 fort trafic sont directement sur la solution Behavioural Analytics de CDN07. Quant \u00e0 08Host, il convient \u00e0 ceux qui ont besoin de filigranes personnalis\u00e9s et d'une analyse juridique avanc\u00e9e. N'oubliez pas que la derni\u00e8re ligne de d\u00e9fense est toujours une conception humaine - ajoutez le bouton \u201cSignaler le piratage\u201d dans le lecteur vid\u00e9o, et laissez vos utilisateurs devenir vos sentinelles.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, un ami qui fait de l'\u00e9ducation en ligne avec moi, a dit que leur maison \u00e0 prix \u00e9lev\u00e9 enregistr\u00e9 vid\u00e9o de cours, quelques jours dans une vari\u00e9t\u00e9 de sites pirates, et m\u00eame emball\u00e9 et accroch\u00e9 sur Taobao pour vendre 9,9. \u201cNe peut pas \u00eatre emp\u00each\u00e9 ah, \u00e9videmment l'utilisation de la CDN, comment avec la m\u00eame chose que le papier m\u00e2ch\u00e9 ?\u201d Je connais trop bien ce probl\u00e8me, et aujourd'hui je vais sortir mon c\u0153ur avec les gars. De nos jours, les crawlers ne sont plus simplement des `curl`. Les gens utilisent des n\u0153uds distribu\u00e9s, un crawl lent \u00e0 faible taux, et m\u00eame d\u00e9guis\u00e9 en client d'application normal, en choisissant l'angle mort de votre d\u00e9fense. Vous pensez que vous pouvez \u00eatre tranquille avec un CDN ? C'est na\u00eff. La configuration par d\u00e9faut de nombreux CDN pour emp\u00eacher une attaque CC est acceptable, contre les crawlers professionnels, c'est pour gratter la d\u00e9mangeaison. J'ai test\u00e9 plusieurs fournisseurs de services grand public et j'ai trouv\u00e9 de nombreuses failles. Par exemple, la base de r\u00e8gles WAF de certains CDN a une capacit\u00e9 de 10 000<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1036","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1036","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1036"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1036\/revisions"}],"predecessor-version":[{"id":1089,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1036\/revisions\/1089"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1036"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1036"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1036"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1036"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}