R\u00e9cemment, plusieurs fr\u00e8res d'applications sociales sont venus me voir pour me faire part de leurs dol\u00e9ances, disant que leur interface API est bross\u00e9e tous les jours, et que le chargement des images est si lent que l'utilisateur s'en maudit directement. De nos jours, il n'est pas facile de s'engager dans des produits sociaux, les concurrents crawlent malicieusement les donn\u00e9es, les bandes de chantage brossent les interfaces, le serveur ne bouge pas pendant les temps d'arr\u00eat, l'exp\u00e9rience de l'utilisateur est au plus bas. J'ai jet\u00e9 un coup d'\u0153il \u00e0 leur architecture, un bon gars, un serveur API nu directement expos\u00e9 au r\u00e9seau public, m\u00eame pas une protection d\u00e9cente, \u00e7a n'attend pas d'\u00eatre martel\u00e9 ?<\/p>\n
Les interfaces API sont vuln\u00e9rables aux attaques CC, \u00e0 l'enregistrement malveillant, au bombardement de SMS, au crawling de contenu, et les ressources statiques telles que les images et les vid\u00e9os sont confront\u00e9es au risque de vol de cha\u00eene, d'attaques lentes et d'\u00e9puisement de la bande passante. Se contenter de compter sur la r\u00e9sistance du serveur est tout simplement irr\u00e9aliste - plus le co\u00fbt de la machine sur le ciel, ne pas ajouter l'exp\u00e9rience de la machine crash. J'ai vu trop d'\u00e9quipes s'engager dans la s\u00e9lection technique de la fosse, acheter une IP de haute d\u00e9fense mais d\u00e9couvrir que la vitesse de chargement des images est touchante, avec un CDN ordinaire et ne peut pas emp\u00eacher la couche API d'attaques de pr\u00e9cision.<\/p>\n
Une solution vraiment efficace doit reposer sur une gouvernance en couches : la protection des API doit \u00eatre suffisamment stricte pour identifier les utilisateurs normaux et le trafic malveillant ; le chargement des ressources doit \u00eatre suffisamment rapide pour garantir une exp\u00e9rience d'acc\u00e8s globale. Ces \u00e9l\u00e9ments doivent \u00eatre combin\u00e9s avec la capacit\u00e9 de nettoyage distribu\u00e9 et la strat\u00e9gie de planification intelligente du CDN de haute d\u00e9fense, plut\u00f4t que d'acheter simplement une grande largeur de bande pour terminer le travail. Ci-dessous, j'ai combin\u00e9 mon exp\u00e9rience avec celle des tests, pour expliquer comment atterrir.<\/p>\n
Commen\u00e7ons par la logique de base de la protection des API. Ne croyez pas la propagande de la \u201cprotection en un clic\u201d, les attaques d'API ont depuis longtemps \u00e9volu\u00e9 pour simuler le comportement de personnes r\u00e9elles. J'ai constat\u00e9 qu'il est facile de se fier uniquement \u00e0 la restriction de la fr\u00e9quence IP, en particulier pour les r\u00e9seaux de campus et d'entreprise qui partagent des prises NAT. La cl\u00e9 est de construire une image \u00e0 partir de plusieurs dimensions : les caract\u00e9ristiques temporelles des requ\u00eates, les empreintes digitales des appareils, l'int\u00e9grit\u00e9 de la cha\u00eene d'appels API, et m\u00eame le caract\u00e8re raisonnable de la logique d'entreprise.<\/p>\n
Par exemple, la protection de l'interface de connexion, en plus de la limite de vitesse normale de l'IP, vous devez ajouter une v\u00e9rification secondaire de la v\u00e9rification humaine. Lorsque la m\u00eame IP lance plusieurs demandes de connexion dans un court laps de temps, la v\u00e9rification par curseur est d\u00e9clench\u00e9e en premier lieu ; si elle continue \u00e0 \u00eatre anormale, le code de v\u00e9rification par SMS est demand\u00e9. Cet ensemble de combinaisons permet d'\u00e9liminer l'attaque par \u00e9crasement du 90%. Voici la configuration de limitation dynamique du flux que nous avons mise en \u0153uvre dans la couche Nginx :<\/p>\n
Mais le niveau Nginx ne peut assurer que la protection de base, les r\u00e8gles plus d\u00e9taill\u00e9es doivent s'appuyer sur le WAF. Les CDN de haute d\u00e9fense du march\u00e9 fournissent une fonction de r\u00e8gles personnalis\u00e9es, j'ai compar\u00e9 CDN5 et CDN07, l'\u00e9cart de flexibilit\u00e9 de la strat\u00e9gie est tr\u00e8s important. Le moteur de r\u00e8gles de CDN5 prend en charge l'extension de script Lua, peut ancrer des donn\u00e9es de contr\u00f4le du vent en temps r\u00e9el, telles que cette configuration :<\/p>\n
La configuration des r\u00e8gles de CDN07 est assez faible, bien que l'interface soit \u00e9l\u00e9gante, mais la couche inf\u00e9rieure repose toujours sur l'ensemble des r\u00e8gles WAF traditionnelles, qui sont fondamentalement inefficaces dans l'attaque de la logique commerciale. La r\u00e9cente nouvelle fonction edge de 08Host est un point lumineux, qui peut directement ex\u00e9cuter la logique JavaScript dans le n\u0153ud CDN pour r\u00e9aliser le contr\u00f4le du risque commercial, par exemple, \u201csi le m\u00eame utilisateur pr\u00eate attention \u00e0 plus de 100 personnes dans les 5 minutes, il d\u00e9clenche automatiquement la v\u00e9rification\u201d. Le m\u00eame utilisateur suit plus de 100 personnes en cinq minutes, ce qui d\u00e9clenche automatiquement la v\u00e9rification de ce type de contr\u00f4le du risque d'entreprise.<\/p>\n
La protection des ressources d'images est une autre histoire. La vitesse de chargement des images des applications sociales affecte directement le taux de r\u00e9tention, mais il est facile de se faire pi\u00e9ger par le vol de cha\u00eene et les attaques DDoS en cas de trafic important. Je sugg\u00e8re de s\u00e9parer compl\u00e8tement le trafic dynamique du trafic statique : les API sont plac\u00e9es sur des lignes de d\u00e9fense \u00e9lev\u00e9es, tandis que les images et les vid\u00e9os sont plac\u00e9es sur des lignes acc\u00e9l\u00e9r\u00e9es. De nombreuses personnes essaient de s'\u00e9pargner des probl\u00e8mes en acc\u00e9l\u00e9rant l'ensemble du site, ce qui a pour effet de mettre en cache les demandes d'API et d'entra\u00eener un d\u00e9salignement des donn\u00e9es.<\/p>\n
La meilleure solution consiste \u00e0 utiliser des noms de domaine diff\u00e9rents pour diviser l'activit\u00e9 : api.yourapp.com pointe vers un CDN de haute d\u00e9fense, img.yourapp.com pointe vers un CDN purement acc\u00e9l\u00e9r\u00e9. De cette fa\u00e7on, le trafic d'attaque n'encombrera pas la bande passante de l'image, et vous pouvez optimiser la configuration pour diff\u00e9rents sc\u00e9narios. N'oubliez pas d'activer la cha\u00eene antivol et l'authentification par jeton pour les domaines d'images, afin que les gens ne prennent pas facilement votre lit d'images comme un repas gratuit :<\/p>\n
La strat\u00e9gie de mise en cache doit \u00e9galement \u00eatre con\u00e7ue avec soin. La dur\u00e9e de mise en cache des petits fichiers tels que les avatars et les \u00e9motic\u00f4nes peut \u00eatre plus longue (plus de 30 jours), et il est recommand\u00e9 de mettre en cache les images de flux en fonction de la hi\u00e9rarchie des niveaux de chaleur : le contenu chaud est mis en cache au niveau du n\u0153ud p\u00e9riph\u00e9rique, et le contenu froid est r\u00e9cup\u00e9r\u00e9 \u00e0 la source. J'ai test\u00e9 la fonction de pr\u00e9chauffage intelligent du cache sur le CDN5, en poussant le contenu qui devrait exploser vers les n\u0153uds p\u00e9riph\u00e9riques \u00e0 l'avance, et le d\u00e9lai de chargement des images a chut\u00e9 de 40% pendant les heures de pointe du soir.<\/p>\n
L'environnement du r\u00e9seau mobile est complexe, mais il faut aussi tenir compte de l'optimisation du protocole. Dans un environnement de r\u00e9seau faible, les performances du protocole HTTP\/3 sont nettement meilleures que celles du protocole HTTP\/2, en particulier dans le cas du taux \u00e9lev\u00e9 de perte de paquets du r\u00e9seau 4G. Cependant, \u00e0 ce stade, le co\u00fbt de l'ouverture compl\u00e8te de QUIC est \u00e9lev\u00e9, il est recommand\u00e9 que le premier nom de domaine d'image pour ouvrir HTTP\/3 pilote, nom de domaine API pour maintenir le protocole TCP pour assurer la fiabilit\u00e9. 08Host HTTP\/3 mise en \u0153uvre est plus stable, et prend en charge la r\u00e9cup\u00e9ration de connexion 0-RTT, les sc\u00e9narios de commutation de r\u00e9seau mobile fr\u00e9quents est tr\u00e8s sympathique.<\/p>\n
Les alarmes de surveillance ne doivent jamais \u00eatre n\u00e9glig\u00e9es. J'ai d\u00e9j\u00e0 \u00e9t\u00e9 appel\u00e9 au milieu de la nuit pour faire face \u00e0 une attaque parce que je n'avais pas configur\u00e9 d'alarme de surcharge de la bande passante. D\u00e9sormais, je configurerai trois niveaux d'alertes en arri\u00e8re-plan du CDN : envoi d'un rappel lorsque la bande passante d\u00e9passe 80%, d\u00e9clenchement automatique de l'expansion \u00e9lastique lorsque le QPS est anormal, et appel direct lorsque le taux d'erreur 5xx d\u00e9passe 1%. Un fournisseur de services CDN vraiment fiable devrait fournir des rapports d'attaque en temps r\u00e9el. Par exemple, la fonction d'analyse des attaques de CDN07 affiche clairement le type d'attaque, la r\u00e9gion source et l'IP d'attaque TOP.<\/p>\n
Enfin, un mot sur la ma\u00eetrise des co\u00fbts. Le prix des CDN de haute d\u00e9fense a beaucoup d'eau, n'achetez pas directement en fonction de l'offre du site web officiel. Les grandes quantit\u00e9s peuvent passer par le prix contractuel, qui est g\u00e9n\u00e9ralement r\u00e9duit de 5 \u00e0 7 %. Si le trafic est faible, il est plus rentable d'utiliser la facturation bas\u00e9e sur le volume, mais il faut faire attention \u00e0 l'explosion de la facture caus\u00e9e par un trafic soudain. Il existe un moyen astucieux : le trafic API vers le forfait de d\u00e9fense \u00e9lev\u00e9e, les images et les vid\u00e9os vers le forfait de trafic bon march\u00e9 (tel que le forfait de trafic de temps mort de 08Host), le co\u00fbt global peut \u00eatre r\u00e9duit de 60% ou plus.<\/p>\n
Quelle que soit la perfection du programme technique, il ne sert \u00e0 rien s'il n'est pas accompagn\u00e9 de processus de soutien. Il est recommand\u00e9 de mettre en place un syst\u00e8me de test de p\u00e9n\u00e9tration r\u00e9gulier, au moins une fois par mois pour effectuer une analyse compl\u00e8te des vuln\u00e9rabilit\u00e9s. Les nouvelles fonctionnalit\u00e9s doivent \u00eatre mises en ligne avant l'examen de s\u00e9curit\u00e9, en se concentrant sur la v\u00e9rification de la puissance de l'interface et du contr\u00f4le de l'autorit\u00e9. L'environnement en ligne est strictement isol\u00e9 et il est interdit d'introduire la configuration de la base de donn\u00e9es de test dans l'environnement de production - j'ai vu ce type d'erreur de bas niveau pas moins de dix fois.<\/p>\n
En fin de compte, l'essence de la protection consiste \u00e0 trouver un \u00e9quilibre entre l'exp\u00e9rience et la s\u00e9curit\u00e9. Si l'on scelle trop fort, on tue l'utilisateur r\u00e9el ; si l'on scelle trop l\u00e2che, on exploite les failles par le chantage. La meilleure solution consiste \u00e0 mettre en place une d\u00e9fense multicouche : les n\u0153uds en p\u00e9riph\u00e9rie pour effectuer un filtrage \u00e0 gros grain, le cluster central pour contr\u00f4ler le vent \u00e0 grain fin, puis en combinaison avec les donn\u00e9es du client signal\u00e9es pour former une boucle ferm\u00e9e. Ne vous attendez pas \u00e0 une solution unique, la s\u00e9curit\u00e9 est un processus continu de confrontation.<\/p>\n
Apr\u00e8s de nombreuses v\u00e9rifications, j'utilise d\u00e9sormais une combinaison de programmes : protection des API avec CDN5 + passerelle de contr\u00f4le des vents, acc\u00e9l\u00e9ration des images avec le r\u00e9seau de planification intelligent 08Host, donn\u00e9es importantes, puis mise en place d'une couche de transmission crypt\u00e9e priv\u00e9e. Cet ensemble d'architecture permet de supporter la pression quotidienne de dix millions d'applications sociales, avec un taux d'interception des attaques API de 98% ou plus, et un contr\u00f4le du temps de chargement des images P90 inf\u00e9rieur \u00e0 800 ms. La cl\u00e9 r\u00e9side dans la ma\u00eetrise des co\u00fbts, et non dans le fait que la protection doit rendre l'architecture trop complexe.<\/p>\n
Parler sur le papier est toujours superficiel, on veut vraiment pr\u00e9venir les attaques mais il faut aussi continuer \u00e0 it\u00e9rer. Il est recommand\u00e9 d'effectuer un exercice trimestriel d'attaque et de d\u00e9fense pour simuler des sc\u00e9narios d'attaque r\u00e9els afin de tester le syst\u00e8me de protection. Rencontrer de nouvelles techniques d'attaque et mettre \u00e0 jour les r\u00e8gles en temps utile, ne pas attendre les probl\u00e8mes pour y rem\u00e9dier. N'oubliez pas : il n'existe pas de syst\u00e8me de s\u00e9curit\u00e9 absolu, mais seulement une \u00e9volution continue de la strat\u00e9gie de d\u00e9fense.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, plusieurs fr\u00e8res d'applications sociales sont venus me voir pour me faire part de leurs dol\u00e9ances, disant que leur interface API est bross\u00e9e tous les jours, et que le chargement des images est si lent que l'utilisateur s'en maudit directement. De nos jours, il n'est pas facile de s'engager dans des produits sociaux, les concurrents crawlent malicieusement les donn\u00e9es, les bandes de chantage brossent les interfaces, le serveur ne bouge pas pendant les temps d'arr\u00eat, l'exp\u00e9rience de l'utilisateur est au plus bas. J'ai jet\u00e9 un coup d'\u0153il \u00e0 leur architecture, un bon gars, un serveur API nu directement expos\u00e9 au r\u00e9seau public, m\u00eame pas une protection d\u00e9cente, ce n'est pas en attente d'\u00eatre martel\u00e9 ? Pour \u00eatre honn\u00eate, les attaques auxquelles sont confront\u00e9es les applications sociales sont bien plus complexes qu'on ne l'imagine ; les interfaces API sont sensibles aux attaques CC, aux enregistrements malveillants, aux bombardements de SMS, \u00e0 l'exploration de contenu, et les ressources statiques telles que les images et les vid\u00e9os sont confront\u00e9es au risque de vol de cha\u00eene, d'attaques lentes et d'\u00e9puisement de la bande passante. Compter simplement sur le serveur pour r\u00e9sister est tout simplement irr\u00e9aliste - ajoutez le co\u00fbt de la machine sur le ciel, n'ajoutez pas l'effondrement de l'exp\u00e9rience de la machine !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-918","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=918"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/918\/revisions"}],"predecessor-version":[{"id":1207,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/918\/revisions\/1207"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=918"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}