{"id":1062,"date":"2026-02-25T13:53:01","date_gmt":"2026-02-25T05:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1062"},"modified":"2026-02-25T13:53:01","modified_gmt":"2026-02-25T05:53:01","slug":"site-de-reseautage-social-haute-securite-cdn-comment-anti-brush-traffic-through-behavioural-identification-and-ip-restriction","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1062-html","title":{"rendered":"Comment les CDN de haute d\u00e9finition pour r\u00e9seaux sociaux emp\u00eachent le trafic de pillage et bloquent les requ\u00eates malveillantes gr\u00e2ce \u00e0 l'identification comportementale et \u00e0 la restriction de l'IP"},"content":{"rendered":"<p>L'exp\u00e9rience d'\u00eatre r\u00e9veill\u00e9 par une alarme \u00e0 3 heures du matin est une exp\u00e9rience que la fraternit\u00e9 de la s\u00e9curit\u00e9 comprend. Le tableau de bord qui surgit soudain dans la courbe de trafic, comme un \u00e9lectrocardiogramme en fibrillation ventriculaire - soit l'utilisateur a \u00e9clat\u00e9, soit le pirate informatique arrive. La derni\u00e8re fois qu'une plateforme sociale, \u00e0 cause de posts malveillants \u00e0 la brosse, a entra\u00een\u00e9 une avalanche d'accidents de base de donn\u00e9es, j'ai accompagn\u00e9 leur \u00e9quipe pour passer trois nuits debout afin de restaurer les donn\u00e9es. Cela me fait comprendre que le pare-feu traditionnel de la couche d'application qui attaque devant le mur de la ville n'est qu'une simple feuille de papier.<\/p>\n<p>De nos jours, le trafic malveillant a d\u00e9pass\u00e9 depuis longtemps le simple et grossier DDoS. Ces personnes sont tr\u00e8s sophistiqu\u00e9es, utilisant des pools de proxy pour faire tourner l'IP, simuler le rythme de personnes r\u00e9elles glissant sur l'\u00e9cran, et m\u00eame imiter l'intervalle de clics d'utilisateurs normaux. L'ann\u00e9e derni\u00e8re, nous avons arr\u00eat\u00e9 un gang de crawlers, dont l'en-t\u00eate de requ\u00eate, les empreintes digitales du navigateur et la r\u00e9solution de l'\u00e9cran ont \u00e9t\u00e9 falsifi\u00e9s exactement comme ceux de personnes r\u00e9elles. Vous vous fiez uniquement \u00e0 la restriction de la fr\u00e9quence IP ? Ne soyez pas na\u00eff, ils utilisent des dizaines de milliers de tours d'IP dynamiques, vous pouvez les bloquer ?<\/p>\n<p>J'ai vu trop d'entreprises empiler aveugl\u00e9ment des pare-feu mat\u00e9riels. Elles ach\u00e8tent un dispositif d'un million de dollars et le jettent dans la salle des serveurs, pensant pouvoir dormir sur leurs deux oreilles. En cons\u00e9quence, les pirates passent \u00e0 des attaques distribu\u00e9es \u00e0 faible vitesse, chaque requ\u00eate IP deux ou trois fois par minute, contournant parfaitement la r\u00e8gle du seuil. Ce qui est vraiment grave, c'est que ces demandes sont m\u00e9lang\u00e9es au trafic normal, \u00e9puisant lentement les ressources du serveur comme un cancer. Le temps que vous trouviez une anomalie dans les journaux, le pool de connexions \u00e0 la base de donn\u00e9es est d\u00e9j\u00e0 plein.<\/p>\n<p>La reconnaissance du comportement est la cl\u00e9 pour briser la glace. Il existe une diff\u00e9rence fondamentale entre les modes de fonctionnement d'un utilisateur r\u00e9el et d'un robot : les personnes r\u00e9elles naviguent avec des pauses al\u00e9atoires, des trajectoires de souris avec des arcs et des vitesses de d\u00e9filement avec des variations rapides et lentes. Le comportement des robots ressemble \u00e0 une ligne droite trac\u00e9e \u00e0 la r\u00e8gle - trop parfaite mais expos\u00e9e. L'ann\u00e9e derni\u00e8re, j'ai donn\u00e9 \u00e0 une plateforme de rencontres la possibilit\u00e9 de faire de la protection, en analysant la courbe d'acc\u00e9l\u00e9ration du mouvement de la souris, et j'ai attrap\u00e9 plus de 3 000 fausses op\u00e9rations r\u00e9elles du compte d'enregistrement en vrac.<\/p>\n<p>Ce syst\u00e8me d'empreinte comportementale doit \u00eatre ex\u00e9cut\u00e9 sur les n\u0153uds p\u00e9riph\u00e9riques du CDN. Il ne faut jamais attendre que le trafic remonte vers le serveur pour \u00eatre trait\u00e9, car les co\u00fbts de la bande passante auront alors explos\u00e9. Un bon CDN devrait \u00eatre comme un inspecteur de s\u00e9curit\u00e9 chevronn\u00e9, capable de pr\u00e9dire les risques gr\u00e2ce \u00e0 des caract\u00e9ristiques comportementales \u00e0 l'entr\u00e9e. J'ai test\u00e9 le module de protection intelligent du CDN5 et j'ai constat\u00e9 qu'il lui fallait moins de 5 millisecondes pour analyser le comportement d'une seule requ\u00eate, et que le taux de fausses alarmes \u00e9tait inf\u00e9rieur ou \u00e9gal \u00e0 0,01%.<\/p>\n<p>Examinons un exemple de configuration r\u00e9elle. La configuration suivante du moteur de r\u00e8gles calcule la fiabilit\u00e9 d'une demande \u00e0 partir de 12 dimensions simultan\u00e9ment :<\/p>\n<p>L'analyse comportementale ne suffit pas, elle doit \u00eatre associ\u00e9e \u00e0 un contr\u00f4le intelligent de la propri\u00e9t\u00e9 intellectuelle. Mais ne bloquez pas b\u00eatement tout le segment IP ! L'ann\u00e9e derni\u00e8re, une soci\u00e9t\u00e9 de commerce \u00e9lectronique a bloqu\u00e9 par erreur toute l'adresse de classe B d'une universit\u00e9, ce qui a entra\u00een\u00e9 le blocage de tous les utilisateurs cibles d'une campagne promotionnelle. La pratique mature actuelle est le syst\u00e8me de score de cr\u00e9dit IP, qui revient \u00e0 \u00e9tablir un profil de sant\u00e9 pour chaque IP.<\/p>\n<p>J'ai \u00e9t\u00e9 impressionn\u00e9 par le syst\u00e8me de cr\u00e9dit IP de CDN07. Il \u00e9value les adresses IP en fonction de crit\u00e8res tels que l'historique du comportement, la r\u00e9putation de l'ASN, l'anomalie de l'emplacement g\u00e9ographique, et d\u00e9tecte m\u00eame si elles fonctionnent dans un environnement virtualis\u00e9. J'ai vu un cas o\u00f9 une IP a d\u00e9clench\u00e9 une alerte \u00e0 haut risque lors de sa premi\u00e8re requ\u00eate, et apr\u00e8s v\u00e9rification, il s'est av\u00e9r\u00e9 qu'il s'agissait d'une instance EC2 qui venait d'\u00eatre demand\u00e9e \u00e0 Amazon AWS - comment un utilisateur normal pourrait-il utiliser un h\u00e9bergeur en nuage pour pirater un site de r\u00e9seautage social ?<\/p>\n<p>Dans la pratique, il est pr\u00e9f\u00e9rable d'utiliser le m\u00e9canisme de contestation plut\u00f4t que le bannissement direct. Par exemple, renvoyer un code d'\u00e9tat 418 (I'm a teapot) pour une requ\u00eate suspecte n'affectera pas les utilisateurs normaux, mais obligera le robot \u00e0 montrer son vrai visage. Ce code d'\u00e9tat existe dans la norme RFC, sp\u00e9cifiquement utilis\u00e9 pour taquiner le programme d'attaque automatis\u00e9. J'ai d\u00e9ploy\u00e9 cette logique dans mon syst\u00e8me de protection 08Host :<\/p>\n<p>Ne vous laissez jamais emporter par un seul moyen de protection. L'incident de l'ann\u00e9e derni\u00e8re, au cours duquel une plateforme vid\u00e9o a \u00e9t\u00e9 contourn\u00e9e, a servi de le\u00e7on : les pirates ont utilis\u00e9 un v\u00e9ritable noyau de navigateur + des scripts automatis\u00e9s pour simuler parfaitement un comportement humain. En fin de compte, l'incident n'a \u00e9t\u00e9 stopp\u00e9 que par plusieurs couches de validation : v\u00e9rification de la coh\u00e9rence de l'empreinte WebGL, v\u00e9rification des anomalies de d\u00e9rive de l'horloge et, enfin, validation non intrusive du trac\u00e9 de la souris. Une fois ces trois obstacles surmont\u00e9s, le co\u00fbt de la simulation d'un navigateur est plus \u00e9lev\u00e9 que celui de l'embauche d'une personne r\u00e9elle pour cliquer dessus.<\/p>\n<p>Les comparaisons de donn\u00e9es sont les plus r\u00e9v\u00e9latrices. Les principaux changements intervenus dans les donn\u00e9es depuis que nous avons migr\u00e9 vers une architecture de protection multicouche l'ann\u00e9e derni\u00e8re sont \u00e9num\u00e9r\u00e9s ci-dessous :<\/p>\n<p>Le taux de blocage des requ\u00eates malveillantes est pass\u00e9 de 671 TP3T \u00e0 99,21 TP3T, les faux positifs ont diminu\u00e9 de 3,11 TP3T \u00e0 0,051 TP3T, et les co\u00fbts de la bande passante ont diminu\u00e9 de 411 TP3T (car le trafic malveillant a \u00e9t\u00e9 abandonn\u00e9 \u00e0 la p\u00e9riph\u00e9rie). Ce qui est le plus remarquable, ce sont les messages d'alerte dans le groupe Ops, qui sont pass\u00e9s de centaines par jour \u00e0 quelques chiffres par semaine. Les ing\u00e9nieurs de garde peuvent enfin dormir sur leurs deux oreilles.<\/p>\n<p>Certains de mes clients me demandent toujours si je devrais construire mon propre syst\u00e8me de protection. \u00c0 moins que vous ne disposiez d'une \u00e9quipe de s\u00e9curit\u00e9 professionnelle et de n\u0153uds mondiaux, ne vous lancez pas. J'ai vu des startups qui se sont engag\u00e9es dans leur propre base de r\u00e8gles, \u00e0 cause d'une maintenance inopportune, les r\u00e8gles n'ont pas \u00e9t\u00e9 mises \u00e0 jour pendant six mois, et elles ont \u00e9t\u00e9 emport\u00e9es par une vague de nouveaux types d'attaques. Les r\u00e9seaux de renseignements sur les menaces des fournisseurs de CDN professionnels sont multiplateformes, comme CDN5, qui traite des milliers de milliards de requ\u00eates chaque jour et observe des sch\u00e9mas d'attaque plus complets que n'importe quelle autre entreprise.<\/p>\n<p>Enfin, j'aimerais partager une le\u00e7on apprise dans le sang et les larmes : nous devons effectuer des tests \u00e0 l'\u00e9chelle grise avant d'aller en ligne ! Une fois, nous avons activ\u00e9 la totalit\u00e9 des r\u00e8gles de protection sans les tester et, en cons\u00e9quence, \u00e0 cause d'une mani\u00e8re sp\u00e9ciale de charger un fichier CSS, celui-ci a \u00e9t\u00e9 consid\u00e9r\u00e9 \u00e0 tort comme une requ\u00eate malveillante, ce qui a entra\u00een\u00e9 une d\u00e9formation du style de tout le site. D\u00e9sormais, notre meilleure pratique est la suivante : d'abord, avec un trafic de 10%, faire un essai pendant 24 heures, analyser les journaux de fausses alarmes pour ajuster les r\u00e8gles, puis utiliser 48 heures pour augmenter progressivement la proportion du trafic.<\/p>\n<p>La s\u00e9curit\u00e9 est essentiellement un jeu d'attaque et de d\u00e9fense. Les r\u00e8gles qui fonctionnent aujourd'hui peuvent \u00eatre contourn\u00e9es demain. Il ne faut donc pas se contenter de mettre en place une r\u00e8gle et de la laisser faire. Je lis chaque semaine le rapport hebdomadaire sur les menaces et je proc\u00e8de \u00e0 un audit mensuel des r\u00e8gles de protection. De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d - il arrive que des d\u00e9partements commerciaux lancent soudainement des activit\u00e9s promotionnelles, des changements soudains dans les sch\u00e9mas de trafic peuvent \u00e9galement d\u00e9clencher des r\u00e8gles de s\u00e9curit\u00e9.<\/p>\n<p>Le v\u00e9ritable CDN de haute d\u00e9fense devrait \u00eatre comme un garde du corps exp\u00e9riment\u00e9 : il peut identifier avec pr\u00e9cision les clients VIP (utilisateurs normaux), voir \u00e0 travers les assassins m\u00e9lang\u00e9s dans la foule (requ\u00eates malveillantes), mais aussi ajuster avec souplesse la strat\u00e9gie de contr\u00f4le de s\u00e9curit\u00e9 (r\u00e8gles dynamiques). N'oubliez pas que tous les moyens techniques sont au service de l'entreprise et qu'il ne faut pas rechercher la s\u00e9curit\u00e9 absolue pour que l'exp\u00e9rience de l'utilisateur ressemble \u00e0 la s\u00e9curit\u00e9 de l'a\u00e9roport - enlevez vos chaussures, d\u00e9tachez votre ceinture et sortez votre ordinateur, les utilisateurs normaux finissent t\u00f4t ou tard par s'\u00e9puiser.<\/p>\n<p>(\u00c0 la demande des clients, CDN5, CDN07, 08Host sont utilis\u00e9s \u00e0 des fins de d\u00e9monstration technique, veuillez s\u00e9lectionner le fournisseur de services appropri\u00e9 en fonction du d\u00e9ploiement r\u00e9el des besoins de l'entreprise).<\/p>","protected":false},"excerpt":{"rendered":"<p>L'exp\u00e9rience d'\u00eatre r\u00e9veill\u00e9 par une alarme \u00e0 3 heures du matin est une exp\u00e9rience que la fraternit\u00e9 de la s\u00e9curit\u00e9 comprend. Le tableau de bord qui surgit soudain dans la courbe de trafic, comme un \u00e9lectrocardiogramme en fibrillation ventriculaire - soit l'utilisateur a \u00e9clat\u00e9, soit le pirate informatique arrive. La derni\u00e8re fois qu'une plateforme sociale, \u00e0 cause de posts malveillants \u00e0 la brosse, a entra\u00een\u00e9 une avalanche d'accidents de base de donn\u00e9es, j'ai accompagn\u00e9 leur \u00e9quipe pour passer trois nuits debout afin de restaurer les donn\u00e9es. Cela m'a fait comprendre que le pare-feu traditionnel face aux attaques de la couche applicative n'est qu'un mur de papier. De nos jours, le trafic malveillant n'est pas un simple et grossier DDoS. Le gang est tr\u00e8s sophistiqu\u00e9, avec un pool de proxy qui fait tourner l'IP, simulant le rythme de personnes r\u00e9elles qui font glisser l'\u00e9cran, et imitant m\u00eame l'intervalle de clics de l'utilisateur normal. L'ann\u00e9e derni\u00e8re, nous avons arr\u00eat\u00e9 un gang de crawlers, dont l'en-t\u00eate de requ\u00eate, les empreintes digitales du navigateur et la r\u00e9solution de l'\u00e9cran ont \u00e9t\u00e9 falsifi\u00e9s exactement comme ceux d'une personne r\u00e9elle. S'appuyer uniquement sur les restrictions de fr\u00e9quence IP ?<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1062","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1062"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1062\/revisions"}],"predecessor-version":[{"id":1063,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1062\/revisions\/1063"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1062"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}