Je me souviens encore de l'\u00e9t\u00e9 dernier, notre jeu de handball populaire vient de s'enflammer en ligne, les r\u00e9sultats du serveur de connexion directement par l'attaque CC ont \u00e9t\u00e9 submerg\u00e9s, les joueurs ne peuvent m\u00eame pas entrer dans le jeu, le t\u00e9l\u00e9phone du service client\u00e8le a \u00e9t\u00e9 bris\u00e9, j'ai failli ne pas devenir fou \u00e0 ce moment-l\u00e0. Ce genre de sc\u00e8ne, les fr\u00e8res de jeu devraient comprendre que les attaques CC ne sont pas aussi brutales que les DDoS, elles choisissent le ventre mou pour commencer, comme l'interface de connexion et le matchmaking, avec un grand nombre de requ\u00eates pour simuler l'utilisateur r\u00e9el, de sorte que vous ne pouvez pas vous d\u00e9fendre. Aujourd'hui, je vais me baser sur l'exp\u00e9rience des tests pour expliquer comment utiliser un CDN \u00e0 haute d\u00e9fense pour lutter efficacement contre de telles attaques.<\/p>\n
Les attaques CC sont franchement des inondations de la couche d'application, et pour les sc\u00e9narios de jeu, elles adorent perturber les pages de connexion et les services de matchmaking. Les joueurs soumettent fr\u00e9quemment des informations d'identification lorsqu'ils se connectent, et l'attaquant utilise un r\u00e9seau de zombies pour balayer fr\u00e9n\u00e9tiquement la demande, \u00e9puisant ainsi les ressources du serveur ; les sc\u00e9narios de combat sont encore plus d\u00e9go\u00fbtants, la transmission de donn\u00e9es en temps r\u00e9el est perturb\u00e9e, la latence monte en fl\u00e8che, et le joueur est directement maudit. J'ai test\u00e9 une interface de connexion non prot\u00e9g\u00e9e, quelques centaines de requ\u00eates par seconde peuvent faire grimper le CPU \u00e0 100%, le pool de connexion \u00e0 la base de donn\u00e9es est plein, les nouveaux joueurs ne peuvent tout simplement pas s'y glisser. De plus, de nos jours, les outils d'attaque deviennent de plus en plus intelligents et peuvent simuler le comportement r\u00e9el de l'utilisateur, par exemple en visitant d'abord la page d'accueil, puis en d\u00e9clenchant l'ouverture d'une session.<\/p>\n
Pourquoi le CDN est-il essentiel ? Parce qu'il peut placer le n\u0153ud de nettoyage du trafic \u00e0 l'avant, pr\u00e8s de l'utilisateur, afin d'intercepter les demandes malveillantes. Mais un CDN ordinaire ne peut pas faire face aux attaques CC, vous devez utiliser une version \u00e0 haute d\u00e9fense, avec un apprentissage intelligent et des r\u00e8gles personnalis\u00e9es de ce type. Ne pensez pas que l'achat d'une formule de base sera suffisant - j'ai vu trop d'\u00e9quipes tomber dans ce pi\u00e8ge, l'argent \u00e9tant d\u00e9pens\u00e9 dans l'attaque comme d'habitude. Le c\u0153ur d'un CDN \u00e0 haute d\u00e9fense est l'analyse comportementale et le contr\u00f4le des taux, comme l'identification des IP anormales, le rebond des CAPTCHA ou l'ajustement dynamique des seuils.<\/p>\n
Concentrons-nous d'abord sur la d\u00e9fense du sc\u00e9nario de connexion. L'interface de connexion utilise g\u00e9n\u00e9ralement HTTP POST, et les attaquants concentreront leurs tirs sur ce point de terminaison. Ma strat\u00e9gie est une combinaison de limitation de taux + v\u00e9rification humaine. En prenant Nginx comme exemple, vous pouvez ajouter des r\u00e8gles \u00e0 la couche de configuration du backend CDN pour limiter la fr\u00e9quence des requ\u00eates provenant d'une seule IP. Voici un extrait de configuration test\u00e9 et efficace, utilis\u00e9 sur le serveur back-end du CDN :<\/p>\n
Cette configuration signifie que seules 10 requ\u00eates par seconde sont autoris\u00e9es \u00e0 partir de la m\u00eame IP, et qu'au-del\u00e0, le CAPTCHA se d\u00e9clenche. Le param\u00e8tre burst permet des rafales courtes pour \u00e9viter de tuer accidentellement de vrais utilisateurs, mais nodelay garantit que la limite est appliqu\u00e9e imm\u00e9diatement. J'ai constat\u00e9 qu'une valeur de rafale d'environ 20 est la meilleure pour les connexions de jeux - si elle est trop basse, les joueurs se sentent bloqu\u00e9s, si elle est trop \u00e9lev\u00e9e, les attaquants peuvent profiter de la situation. N'oubliez pas de synchroniser les param\u00e8tres au niveau du CDN, par exemple, dans la console CDN5, trouvez le menu de limitation du taux et d\u00e9finissez la r\u00e8gle globale : 5 requ\u00eates par seconde par IP, en bloquant fortement les IP qui d\u00e9passent 30. CDN5 a l'avantage d'avoir des r\u00e8gles fines qui sont personnalisables par g\u00e9ographie et par type d'appareil, ce qui le rend appropri\u00e9 pour les d\u00e9ploiements mondiaux de jeux de grande envergure.<\/p>\n
Les sc\u00e9narios d'appariement sont encore plus difficiles \u00e0 d\u00e9fendre car ils impliquent de longues connexions UDP ou WebSocket, et les attaques CC peuvent falsifier les paquets de battements de c\u0153ur ou les demandes d'appariement. La limitation du d\u00e9bit ne suffit pas dans ce cas, il faut utiliser l'analyse comportementale. Je recommande d'activer le mode d'apprentissage de l'IA sur le CDN pour lui permettre d'\u00e9tablir une base de r\u00e9f\u00e9rence pour les mod\u00e8les de trafic normaux. Par exemple, un joueur normal v\u00e9rifierait la liste des salles avant de jouer l'un contre l'autre, alors qu'un attaquant n'enverrait que des paquets de correspondance. Le moteur intelligent de cdn07 est g\u00e9nial \u00e0 cet \u00e9gard, car il apprend automatiquement la s\u00e9quence de requ\u00eate de chaque utilisateur, et la conteste ou la rejette automatiquement lorsqu'elle est anormale. Exemple de configuration : dans le panneau CDN07, activez la fonction \u201cBehavioural Fingerprinting\u201d, d\u00e9finissez une p\u00e9riode d'apprentissage de 24 heures, puis bloquez automatiquement les requ\u00eates qui s'\u00e9cartent de la ligne de base. La comparaison des donn\u00e9es montre que cela peut r\u00e9duire les faux positifs de 90%, alors que la base de r\u00e8gles traditionnelle n'a qu'une pr\u00e9cision de 70%.<\/p>\n
Les IP d'attaque ont tendance \u00e0 provenir de r\u00e9gions ou de centres de donn\u00e9es sp\u00e9cifiques, et j'utilise souvent le service CDN de 08Host parce qu'il int\u00e8gre un flux de renseignements sur les menaces qui met \u00e0 jour la liste des IP malveillantes en temps r\u00e9el. Dans la console de 08Host, ajoutez une r\u00e8gle qui bloque tous les segments d'IP de botnets connus et qui restreint l'acc\u00e8s \u00e0 partir de r\u00e9gions o\u00f9 il n'y a pas de jeu - par exemple, si votre jeu n'est disponible qu'au niveau national, bloquez les IP d'outre-mer. De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d, et certaines attaques sont en fait l'\u0153uvre de concurrents, de sorte que le g\u00e9oblocage peut vous \u00e9viter bien des maux de c\u0153ur.<\/p>\n
En ce qui concerne la mise en \u0153uvre du code, les CDN fournissent g\u00e9n\u00e9ralement des API pour automatiser les mises \u00e0 jour des r\u00e8gles. L'exemple de script Python suivant extrait une liste d'adresses IP de menaces et les envoie r\u00e9guli\u00e8rement au CDN :<\/p>\n
Ce script s'ex\u00e9cute une fois par jour et renforce dynamiquement les d\u00e9fenses. En pratique, je compte sur cette astuce pour bloquer un grand nombre d'attaques persistantes, en particulier les gangs de sondage d'adresses IP. Notez que les r\u00e8gles du CDN peuvent avoir une limite de d\u00e9bit, ne l'ajustez pas trop souvent, sinon la limite de l'API sera g\u00eanante.<\/p>\n
Enfin, parlons de l'int\u00e9gration des CAPTCHA. L'activation du CAPTCHA est la derni\u00e8re ligne de d\u00e9fense, mais ne l'utilisez pas sans discernement - l'exp\u00e9rience du joueur est m\u00e9diocre et le taux de d\u00e9sabonnement grimpe en fl\u00e8che. Je sugg\u00e8re de ne le d\u00e9clencher que lorsqu'il est anormal, par exemple lorsque plusieurs tentatives de connexion \u00e9chouent \u00e0 partir de la m\u00eame IP pendant une courte p\u00e9riode. CDN5 et CDN07 prennent tous deux en charge le CAPTCHA conditionnel, et d\u00e9finissent le seuil lors de la configuration : le CAPTCHA appara\u00eet apr\u00e8s 5 tentatives de connexion \u00e9chou\u00e9es, et il est r\u00e9initialis\u00e9 apr\u00e8s une tentative r\u00e9ussie. La comparaison des donn\u00e9es montre que cela bloque les attaques automatis\u00e9es sur 95% tout en laissant 90% accessible aux utilisateurs. En crachant un mot, certaines \u00e9quipes essaient de s'\u00e9pargner la peine de faire sauter tout le CAPTCHA, et en cons\u00e9quence, les vrais joueurs maudissent la rue, ce qui est vraiment autodestructeur.<\/p>\n
En r\u00e9sum\u00e9, l'attaque anti-CC doit \u00eatre stratifi\u00e9e : nettoyage des fronti\u00e8res du CDN, assistance aux r\u00e8gles du back-end et apprentissage intelligent. En termes de marque, CDN5 est adapt\u00e9 au contr\u00f4le fin, CDN07 est tr\u00e8s avanc\u00e9 dans l'analyse du comportement de l'IA, et 08Host est rentable et dispose d'une forte intelligence des menaces. Lors du d\u00e9ploiement, simulez d'abord le test d'attaque - j'ai bross\u00e9 l'interface de connexion avec JMeter et ajust\u00e9 les r\u00e8gles jusqu'\u00e0 ce que le taux de faux positifs soit inf\u00e9rieur \u00e0 1%. Rappelez-vous qu'il n'y a pas de solution unique, la surveillance et l'ajustement continus sont la voie \u00e0 suivre. V\u00e9rifiez votre configuration CDN d\u00e8s maintenant, n'attendez pas l'attaque pour vous gratter la t\u00eate.<\/p>","protected":false},"excerpt":{"rendered":"
Je me souviens encore de l'\u00e9t\u00e9 dernier, notre jeu de handball populaire vient de s'enflammer en ligne, les r\u00e9sultats du serveur de connexion directement par l'attaque CC ont \u00e9t\u00e9 submerg\u00e9s, les joueurs ne peuvent m\u00eame pas entrer dans le jeu, le t\u00e9l\u00e9phone du service client\u00e8le a \u00e9t\u00e9 bris\u00e9, j'ai failli ne pas devenir fou \u00e0 ce moment-l\u00e0. Ce genre de sc\u00e8ne, les fr\u00e8res de jeu devraient comprendre que les attaques CC ne sont pas aussi brutales que les DDoS, elles choisissent le ventre mou pour commencer, comme l'interface de connexion et le matchmaking, avec un grand nombre de requ\u00eates pour simuler l'utilisateur r\u00e9el, de sorte que vous ne pouvez pas vous d\u00e9fendre. Aujourd'hui, je vais me baser sur l'exp\u00e9rience des tests pour parler de la mani\u00e8re d'utiliser un CDN de haute s\u00e9curit\u00e9 pour se d\u00e9fendre efficacement contre de telles attaques. L'attaque CC est franchement une inondation de la couche applicative, pour la sc\u00e8ne du jeu, elle aime s'engager dans la page de connexion et les services de matchmaking. Les joueurs soumettent fr\u00e9quemment leurs informations d'identification lors de la connexion, de sorte que l'attaquant utilise un r\u00e9seau de zombies pour balayer fr\u00e9n\u00e9tiquement les demandes, \u00e9puisant ainsi le serveur.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-912","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=912"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/912\/revisions"}],"predecessor-version":[{"id":1213,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/912\/revisions\/1213"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=912"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}