{"id":1049,"date":"2026-02-27T17:00:00","date_gmt":"2026-02-27T09:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1049"},"modified":"2026-02-27T17:00:00","modified_gmt":"2026-02-27T09:00:00","slug":"comment-les-cdn-de-haute-securite-peuvent-ils-reduire-le-taux-de-faux-positifs-et-diminuer-les-couts-grace-a-loptimisation-intelligente-des-regles-didentification","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1049-html","title":{"rendered":"Comment les CDN de haute d\u00e9fense peuvent-ils r\u00e9duire les taux de faux positifs et le blocage des requ\u00eates normales gr\u00e2ce \u00e0 l'optimisation intelligente des r\u00e8gles d'identification ?"},"content":{"rendered":"<p>R\u00e9cemment, un ami s'est plaint \u00e0 moi qu'apr\u00e8s leur entreprise sur le CDN de haute d\u00e9fense, l'effet de protection de s\u00e9curit\u00e9 est en hausse, mais le taux de faux blocage est \u00e9galement ridiculement \u00e9lev\u00e9, ne se d\u00e9pla\u00e7ant pas \u00e0 l'utilisateur normal pour s'arr\u00eater \u00e0 l'ext\u00e9rieur. J'ai ri en entendant ce probl\u00e8me que j'ai rencontr\u00e9 il y a trois ans, lorsque le client a \u00e9t\u00e9 presque grond\u00e9 pour douter de sa vie.<\/p>\n<p>Pour \u00eatre honn\u00eate, de nombreux fournisseurs de services CDN de haute d\u00e9fense sur le march\u00e9 actuel ne consid\u00e8rent tout simplement pas le \u201ctaux de faux blocages\u201d comme l'indicateur de base \u00e0 traiter. Ils sont plus enclins \u00e0 se vanter de la force de leur capacit\u00e9 de protection, du nombre de n\u0153uds, de leur capacit\u00e9 de nettoyage, mais dans la r\u00e9alit\u00e9, la probabilit\u00e9 qu'une requ\u00eate normale soit intercept\u00e9e est plus \u00e9lev\u00e9e que la probabilit\u00e9 d'\u00eatre attaqu\u00e9. C'est comme si vous aviez install\u00e9 une porte de s\u00e9curit\u00e9, mais que votre propre famille \u00e9tait enferm\u00e9e \u00e0 l'ext\u00e9rieur tous les jours.<\/p>\n<p>J'ai test\u00e9 un certain nombre de services, notamment CDN5, CDN07 et 08Host, et j'ai d\u00e9couvert que derri\u00e8re le taux de blocage \u00e9lev\u00e9 se cache en fait le r\u00e9sultat d'une s\u00e9rie de probl\u00e8mes. Par exemple, la base de r\u00e8gles est obsol\u00e8te, le mod\u00e8le d'analyse comportementale est approximatif, et m\u00eame certains fournisseurs de services, afin d'\u00e9viter les probl\u00e8mes, bloquent directement l'ensemble du r\u00e9seau - un certain segment IP, un peu de trafic anormal, tout le segment est bloqu\u00e9 pour vous. Ce genre de pratique grossi\u00e8re est tout simplement ridicule \u00e0 l'\u00e8re actuelle o\u00f9 les op\u00e9rations sont r\u00e9gl\u00e9es avec pr\u00e9cision.<\/p>\n<p>Une tr\u00e8s bonne r\u00e8gle de reconnaissance intelligente devrait \u00eatre comme un vieux chasseur, capable de viser la cible avec pr\u00e9cision sans blesser la v\u00e9g\u00e9tation environnante par erreur. Elle doit \u00eatre capable de faire la distinction entre les \u201cattaques malveillantes\u201d et les \u201cpics d'activit\u00e9 normaux\u201d, d'identifier le \u201ccomportement des robots\u201d et les \u201cop\u00e9rations soudaines des utilisateurs humains\u201d, et m\u00eame de s'adapter aux caract\u00e9ristiques du trafic des diff\u00e9rents secteurs d'activit\u00e9 et sc\u00e9narios. \"Il doit m\u00eame \u00eatre capable de s'adapter aux caract\u00e9ristiques du trafic de diff\u00e9rents secteurs et sc\u00e9narios.<\/p>\n<p>Tout d'abord, j'aimerais \u00e9voquer le malentendu le plus courant : de nombreuses \u00e9quipes \u00e9laborent une pile de r\u00e8gles insens\u00e9es, d\u00e9testent toutes les r\u00e8gles WAF, la liste noire d'adresses IP, la strat\u00e9gie de protection CC ouverte, ce qui a pour r\u00e9sultat que la demande normale est \u00e9galement touch\u00e9e par une contusion. J'ai vu une station de commerce \u00e9lectronique, parce que la protection CC est trop stricte, un tiers de la demande de commande pendant la promotion a \u00e9t\u00e9 consid\u00e9r\u00e9e \u00e0 tort comme une attaque, ce qui a entra\u00een\u00e9 de lourdes pertes.<\/p>\n<p>En fait, la cl\u00e9 de la r\u00e9duction du taux de faux-blocage ne r\u00e9side pas dans le nombre de r\u00e8gles, mais dans la qualit\u00e9 et l'intelligence des r\u00e8gles. Par exemple, le CDN5 a fait un travail plus d\u00e9taill\u00e9 dans ce domaine. Au lieu de se fier uniquement \u00e0 des seuils de fr\u00e9quence pour prendre des d\u00e9cisions, il combine des informations multidimensionnelles telles que les empreintes digitales JA3, la taille des fen\u00eatres TCP et les caract\u00e9ristiques temporelles du trafic pour faire de la mod\u00e9lisation comportementale. De cette mani\u00e8re, m\u00eame si une IP re\u00e7oit un grand nombre de demandes sur une courte p\u00e9riode, elle ne sera pas facilement bloqu\u00e9e tant que les autres caract\u00e9ristiques sont normales.<\/p>\n<p>Une autre chose qui m\u00e9rite d'\u00eatre mentionn\u00e9e est le \u201cmode d'apprentissage\u201d de 08Host. Il permet aux clients d'ouvrir une p\u00e9riode d'observation, de sorte que le syst\u00e8me puisse apprendre le mod\u00e8le de trafic normal, puis activer progressivement les r\u00e8gles de protection. Cette fonction est particuli\u00e8rement adapt\u00e9e aux projets pr\u00e9sentant des sch\u00e9mas de trafic particuliers, tels que les serveurs de jeux, les services d'interface API, etc. Plusieurs de mes propres projets ont utilis\u00e9 cette approche pour r\u00e9duire le taux de faux positifs \u00e0 moins de 0,5%.<\/p>\n<p>Bien entendu, il ne suffit pas de se fier aux r\u00e8gles par d\u00e9faut fournies par votre prestataire de services. Vous devez proc\u00e9der \u00e0 des ajustements personnalis\u00e9s en fonction des caract\u00e9ristiques de votre entreprise. Par exemple, si vous faites du commerce international, vous devez accorder une attention particuli\u00e8re pour \u00e9viter de bloquer par erreur des adresses IP \u00e9trang\u00e8res ; si vos utilisateurs utilisent principalement des t\u00e9l\u00e9phones mobiles, vous devez vous concentrer sur la fluctuation du pool d'adresses IP de l'op\u00e9rateur.<\/p>\n<p>Je recommande g\u00e9n\u00e9ralement \u00e0 l'\u00e9quipe de d\u00e9ployer un syst\u00e8me d'analyse des journaux de trafic en arri\u00e8re-plan afin d'enregistrer toutes les demandes bloqu\u00e9es et de proc\u00e9der r\u00e9guli\u00e8rement \u00e0 une analyse r\u00e9trospective. Tr\u00e8s souvent, vous d\u00e9couvrirez que certains faux blocages sont en fait r\u00e9guliers - par exemple, les utilisateurs d'une certaine r\u00e9gion d\u00e9clenchent toujours les r\u00e8gles, ou une certaine interface API est facilement consid\u00e9r\u00e9e comme anormale en raison de sa conception sp\u00e9ciale.<\/p>\n<p>Par exemple, nous avons un client APP avant, chaque mise \u00e0 niveau se concentrera sur l'\u00e9clatement d'un lot de demandes, les r\u00e8gles de protection traditionnelles bas\u00e9es sur la fr\u00e9quence sont faciles \u00e0 battre cette vague de trafic dans une attaque. Par la suite, nous avons configur\u00e9 les r\u00e8gles suivantes sur CDN07 :<\/p>\n<p>Cette simple combinaison de r\u00e8gles r\u00e9sout notre probl\u00e8me de blocage de 90%. Notez qu'ici nous n'avons pas utilis\u00e9 la limite de fr\u00e9quence directement, mais nous l'avons combin\u00e9e avec le score de menace et les caract\u00e9ristiques de l'agent utilisateur pour faire un jugement, ce qui non seulement assure la s\u00e9curit\u00e9, mais \u00e9vite aussi les faux meurtres.<\/p>\n<p>Pour aller plus loin, le c\u0153ur de la reconnaissance intelligente des r\u00e8gles est l\u201c\u201dajustement dynamique\". Un bon syst\u00e8me de protection doit \u00eatre capable d'apprendre les mod\u00e8les de trafic en temps r\u00e9el et d'assouplir ou de renforcer automatiquement les r\u00e8gles. Par exemple, les algorithmes de CDN5 peuvent ajuster automatiquement les seuils pendant les p\u00e9riodes de pointe, plut\u00f4t que de s'en tenir \u00e0 une valeur fixe.<\/p>\n<p>Certains sc\u00e9narios n\u00e9cessitent \u00e9galement une attention particuli\u00e8re, tels que la diffusion vid\u00e9o en continu, le t\u00e9l\u00e9chargement de fichiers, les connexions longues WebSocket et d'autres activit\u00e9s similaires, dont les mod\u00e8les de trafic sont intrins\u00e8quement diff\u00e9rents des requ\u00eates HTTP ordinaires. Si vous utilisez directement les r\u00e8gles de protection par d\u00e9faut, la probabilit\u00e9 sera r\u00e9duite \u00e0 n\u00e9ant. Je configure g\u00e9n\u00e9ralement une politique de protection distincte pour ce type d'activit\u00e9, voire un sous-domaine distinct pour \u00e9viter les interf\u00e9rences.<\/p>\n<p>A ce propos, je dois cracher une phrase, de nos jours, m\u00eame les CDN doivent \u201cemp\u00eacher les co\u00e9quipiers\u201d. Certains fournisseurs de services, afin de montrer leur propre effet de protection semble bon, d\u00e9lib\u00e9r\u00e9ment ajust\u00e9 les r\u00e8gles particuli\u00e8rement sensibles, de toute fa\u00e7on, bloqu\u00e9 par erreur l'utilisateur n'est pas n\u00e9cessairement trouv\u00e9. Cette mentalit\u00e9 est vraiment n\u00e9faste. Lors du choix d'un fournisseur de services, il faut donc v\u00e9rifier s'il fournit des journaux d'interception d\u00e9taill\u00e9s et des outils d'analyse, sinon on ne sait pas comment mourir.<\/p>\n<p>Enfin, j'aimerais partager quelques donn\u00e9es du monde r\u00e9el : un de nos projets avec un PV quotidien de 10 millions, avant optimisation, le taux de faux scell\u00e9s atteignait 7%, apr\u00e8s trois semaines d'ajustement des r\u00e8gles et de personnalisation de la strat\u00e9gie, le taux de faux scell\u00e9s a finalement \u00e9t\u00e9 ramen\u00e9 \u00e0 moins de 0,3%. Il ne s'agit pas d'une technologie noire, mais d'une analyse honn\u00eate des journaux, d'un ajustement des r\u00e8gles, d'un test AB et d'une it\u00e9ration. La configuration sp\u00e9cifique optimis\u00e9e est la suivante :<\/p>\n<p>Bien s\u00fbr, chaque situation d'entreprise est diff\u00e9rente, cet ensemble de configurations peut ne pas vous convenir, mais l'id\u00e9e est la m\u00eame : affiner la sc\u00e8ne, la combiner avec l'entreprise, l'ajuster de mani\u00e8re dynamique. Ne croyez pas ceux qui pr\u00e9tendent que la propagande \u201cune cl\u00e9 pour prot\u00e9ger\u201d, la s\u00e9curit\u00e9 dans ce domaine n'est jamais une solution miracle.<\/p>\n<p>Globalement, la r\u00e9duction du taux de faux positifs est une t\u00e2che d'ing\u00e9nierie qui n\u00e9cessite un investissement continu. Elle met \u00e0 l'\u00e9preuve \u00e0 la fois la force technique du fournisseur de services, mais aussi le degr\u00e9 d'attention de l'\u00e9quipe charg\u00e9e de l'exploitation et de la maintenance. Aujourd'hui, j'ai tr\u00e8s peur d'entendre quelqu'un dire \u201cnous avons mis en place un CDN haute d\u00e9finition pour la s\u00e9curit\u00e9\u201d, en fait, ce n'est que le d\u00e9but, l'arri\u00e8re de la mise au point est l'\u00e9v\u00e9nement principal.<\/p>\n<p>Si vous souffrez d'un mal de t\u00eate d\u00fb \u00e0 un mauvais blocage, il est recommand\u00e9 de commencer par une analyse des journaux afin de trier les caract\u00e9ristiques des demandes mal bloqu\u00e9es avant d'ajuster les r\u00e8gles de mani\u00e8re cibl\u00e9e. N'oubliez pas qu'une bonne strat\u00e9gie de protection doit \u00eatre comparable \u00e0 un couteau chirurgical, \u00e9liminant avec pr\u00e9cision la menace tout en pr\u00e9servant un maximum de tissus sains. Ce type de solution g\u00e9n\u00e9rale et universelle aurait d\u00fb \u00eatre \u00e9limin\u00e9 il y a longtemps.<\/p>\n<p>Apr\u00e8s tout, il est d\u00e9j\u00e0 difficile de faire des affaires de nos jours, ne laissez pas la s\u00e9curit\u00e9 devenir la goutte d'eau qui fait d\u00e9border le vase de l'exp\u00e9rience utilisateur.<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, un ami s'est plaint \u00e0 moi qu'apr\u00e8s leur entreprise sur le CDN de haute d\u00e9fense, l'effet de protection de s\u00e9curit\u00e9 est en hausse, mais le taux de faux blocage est \u00e9galement ridiculement \u00e9lev\u00e9, ne se d\u00e9pla\u00e7ant pas \u00e0 l'utilisateur normal pour s'arr\u00eater \u00e0 l'ext\u00e9rieur. J'ai ri en \u00e9coutant ce probl\u00e8me que j'ai rencontr\u00e9 il y a trois ans, lorsque le client a \u00e9t\u00e9 presque grond\u00e9 pour douter de sa vie. Pour \u00eatre honn\u00eate, de nombreux fournisseurs de services CDN de haute d\u00e9fense sur le march\u00e9 actuel ne consid\u00e8rent tout simplement pas le \u201ctaux de faux positifs\u201d comme l'indicateur de base \u00e0 traiter. Ils sont plus enclins \u00e0 se vanter de la force de leur capacit\u00e9 de protection, du nombre de n\u0153uds, de leur capacit\u00e9 de nettoyage, mais dans la r\u00e9alit\u00e9, la probabilit\u00e9 qu'une requ\u00eate normale soit intercept\u00e9e plut\u00f4t que la probabilit\u00e9 d'\u00eatre attaqu\u00e9 reste \u00e9lev\u00e9e. C'est comme si vous aviez install\u00e9 une porte de s\u00e9curit\u00e9, mais que le r\u00e9sultat \u00e9tait que la famille \u00e9tait enferm\u00e9e \u00e0 l'ext\u00e9rieur tous les jours. J'ai test\u00e9 un certain nombre de services \u00e0 domicile, notamment CDN5, CDN07 et 08Host, et j'ai constat\u00e9 que derri\u00e8re le taux \u00e9lev\u00e9 de faux blocages se cachent des probl\u00e8mes de s\u00e9curit\u00e9.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1049","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1049"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1049\/revisions"}],"predecessor-version":[{"id":1076,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1049\/revisions\/1076"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1049"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}