R\u00e9cemment, un client s'est pr\u00e9sent\u00e9 \u00e0 la porte, disant que l'interface de lecture de sa plate-forme vid\u00e9o \u00e9tait toujours \u00e0 la tra\u00eene, que les plaintes des utilisateurs fusaient, qu'il v\u00e9rifiait les journaux, qu'il s'agissait d'un bon gars, que le trafic de l'attaque CC ressemblait \u00e0 un d\u00e9luge, qu'il \u00e9tait directement dirig\u00e9 vers le serveur et qu'il \u00e9tait en train de s\u00e9cher. J'ai d\u00e9couvert que le test r\u00e9el, cette ann\u00e9e, le site vid\u00e9o est vraiment une zone sinistr\u00e9e, l'attaquant choisit l'interface de lecture pour commencer, parce que le trafic ici est grand, consomme plus de ressources, venir par hasard \u00e0 une attaque CC peut faire le tableau d'\u00e9clatement de la bande passante CDN, la facture du fournisseur de services s'envole, l'exp\u00e9rience de l'utilisateur au fond de la vall\u00e9e. Ne croyez pas que le programme dit de \u201cprotection universelle\u201d, la sp\u00e9cificit\u00e9 de la sc\u00e8ne vid\u00e9o d\u00e9termine que vous devez utiliser une d\u00e9fense pr\u00e9cise, sinon c'est un gaspillage d'argent, mais aussi battu.<\/p>\n
Les attaques CC ne sont pas aussi brutales que les attaques DDoS, mais simulent plut\u00f4t des requ\u00eates normales d'utilisateurs et brossent fr\u00e9n\u00e9tiquement les interfaces, comme les appels fr\u00e9quents aux URL de lecture vid\u00e9o, ce qui entra\u00eene l'\u00e9puisement des ressources du serveur. Les interfaces de lecture vid\u00e9o sont particuli\u00e8rement vuln\u00e9rables car elles impliquent g\u00e9n\u00e9ralement des transferts de fichiers importants, des v\u00e9rifications d'authentification et la gestion de sessions, et les attaquants peuvent facilement d\u00e9clencher une forte concurrence en utilisant simplement des scripts pour effectuer des requ\u00eates par lots, ce qui fait grimper en fl\u00e8che l'unit\u00e9 centrale et la m\u00e9moire. J'ai rencontr\u00e9 une plateforme, le pic d'attaque QPS s'est pr\u00e9cipit\u00e9 \u00e0 plus de 100 000, les utilisateurs normaux ne peuvent tout simplement pas charger la vid\u00e9o, le cache CDN est cass\u00e9, la station source back-end directement 504 timeout. Ce probl\u00e8me est analys\u00e9, le c\u0153ur r\u00e9side dans le manque de limitation de taux et de v\u00e9rification intelligente de l'interface, coupl\u00e9 avec la configuration CDN est trop g\u00e9n\u00e9ral, pas pour le chemin vid\u00e9o pour faire le raffinement des r\u00e8gles.<\/p>\n
Pour la solution, je recommande l'utilisation d'un CDN \u00e0 haute d\u00e9fense combin\u00e9 \u00e0 des r\u00e8gles WAF personnalis\u00e9es afin d'obtenir une d\u00e9fense pr\u00e9cise. Tout d'abord, vous devez isoler l'interface de lecture vid\u00e9o, de sorte que toutes les demandes de chemin `\/api\/video\/play` soient trait\u00e9es s\u00e9par\u00e9ment, et mettre en place un contr\u00f4le strict de la fr\u00e9quence sur le CDN. CDN5, par exemple, dispose d'une fonction de \u201cprotection CC intelligente\u201d, que j'ai test\u00e9e, qui peut \u00eatre bas\u00e9e sur l'IP, User-Agent et Referer pour effectuer une analyse multidimensionnelle, et bloquer automatiquement les requ\u00eates anormales. Configuration, j'ai ajout\u00e9 une r\u00e8gle dans la console : pour le chemin `\/video\/`, plus de 50 requ\u00eates par seconde d\u00e9clencheront une v\u00e9rification humaine, si l'interface API, alors limiter directement le flux \u00e0 10 fois par seconde. Au niveau du code, vous pouvez utiliser Nginx comme une aide, par exemple en d\u00e9ployant une telle configuration sur le site source :<\/p>\n
Cette configuration permet de limiter le taux de requ\u00eates pour l'interface de lecture vid\u00e9o, avec un maximum de 50 requ\u00eates par seconde par IP, et 20 autoris\u00e9es en rafale, puis de les rejeter purement et simplement si elles d\u00e9passent la limite, afin d'\u00e9viter l'empilement des files d'attente. J'ai \u00e9galement essay\u00e9 un programme similaire sur CDN07, dont l'avantage est qu'il y a de nombreux n\u0153uds mondiaux, une faible latence, particuli\u00e8rement adapt\u00e9 aux activit\u00e9s vid\u00e9o, mais la configuration doit \u00eatre r\u00e9gl\u00e9e manuellement - par exemple, mettre en place un g\u00e9o-blocage, n'autoriser l'acc\u00e8s qu'\u00e0 des r\u00e9gions sp\u00e9cifiques, pour r\u00e9duire le trafic d'attaque \u00e0 l'\u00e9tranger. Comparaison des donn\u00e9es, j'ai test\u00e9 CDN5 et 08Host, CDN5 est plus flexible dans l'expansion de la bande passante, l'attaque peut automatiquement augmenter la capacit\u00e9 de l'\u00e9lasticit\u00e9 du co\u00fbt peut \u00eatre contr\u00f4l\u00e9e ; 08Host est gagnant dans la rentabilit\u00e9, la protection de base est gratuite, mais les fonctionnalit\u00e9s avanc\u00e9es doivent \u00eatre payantes. En pratique, j'ai combin\u00e9 le CDN WAF et les r\u00e8gles auto-construites pour supprimer le trafic d'attaque de plus de 90%.<\/p>\n
N'ignorez pas non plus les vieilles astuces que sont les CAPTCHA et la validation par jeton. Pour l'interface de lecture vid\u00e9o, j'ajoute souvent une simple v\u00e9rification de jeton, par exemple, la demande doit \u00eatre faite avec un jeton g\u00e9n\u00e9r\u00e9 dynamiquement, la p\u00e9riode de validit\u00e9 \u00e0 lib\u00e9rer. Exemple de code impl\u00e9ment\u00e9 en Python Flask :<\/p>\n
De cette mani\u00e8re, il est difficile pour les scripts attaquants de falsifier les demandes en masse, car le jeton doit \u00eatre g\u00e9n\u00e9r\u00e9 en temps r\u00e9el. J'ai test\u00e9 cette m\u00e9thode et j'ai constat\u00e9 qu'elle augmentait le d\u00e9lai, mais que l'effet de d\u00e9fense \u00e9tait important, l'utilisateur \u00e9tant presque insensible. Par ailleurs, la configuration du CDN doit permettre d'ouvrir un syst\u00e8me de surveillance et d'alerte en temps r\u00e9el, par exemple en d\u00e9finissant le seuil de QPS, en d\u00e9passant la limite sur l'e-mail ou le SMS, afin de faciliter une r\u00e9ponse en temps utile. Il ne faut donc pas se contenter de regarder le prix du CDN, il faut aussi regarder le service apr\u00e8s-vente - comme CDN07, le support technique 24\/7 est assez fiable, ma derni\u00e8re urgence a \u00e9t\u00e9 trait\u00e9e dans les 10 minutes.<\/p>\n
En r\u00e9sum\u00e9, la cl\u00e9 d'une d\u00e9fense vid\u00e9o CDN de haute s\u00e9curit\u00e9 contre les attaques CC est la pr\u00e9cision et la superposition : interfaces isol\u00e9es, limitation de d\u00e9bit, v\u00e9rification intelligente, ainsi que les caract\u00e9ristiques avantageuses du fournisseur de services CDN. D'apr\u00e8s mon exp\u00e9rience, CDN5 convient aux sc\u00e9narios \u00e0 fort trafic, et 08Host convient aux \u00e9quipes disposant de budgets limit\u00e9s, mais quel que soit le fournisseur choisi, il faut personnaliser les r\u00e8gles, sinon ce n'est que du papier. Enfin, un rappel, l'industrie \u00e9volue rapidement, la m\u00e9thode d'attaque est r\u00e9nov\u00e9e chaque jour, la r\u00e9vision r\u00e9guli\u00e8re de la strat\u00e9gie de protection est primordiale - n'attendez pas d'\u00eatre touch\u00e9 pour regretter de ne pas vous \u00eatre pr\u00e9par\u00e9 \u00e0 l'avance.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, un client s'est pr\u00e9sent\u00e9 \u00e0 la porte, disant que l'interface de lecture de sa plate-forme vid\u00e9o \u00e9tait toujours \u00e0 la tra\u00eene, que les plaintes des utilisateurs fusaient, qu'il v\u00e9rifiait les journaux, qu'il s'agissait d'un bon gars, que le trafic de l'attaque CC ressemblait \u00e0 un d\u00e9luge, qu'il \u00e9tait directement dirig\u00e9 vers le serveur et qu'il \u00e9tait en train de s\u00e9cher. J'ai d\u00e9couvert que le test r\u00e9el, cette ann\u00e9e, le site vid\u00e9o est vraiment une zone sinistr\u00e9e, l'attaquant choisit l'interface de lecture pour commencer, parce que le trafic ici est grand, consomme plus de ressources, venir par hasard \u00e0 une attaque CC peut faire le tableau d'\u00e9clatement de la bande passante CDN, la facture du fournisseur de services s'envole, l'exp\u00e9rience de l'utilisateur au fond de la vall\u00e9e. Ne vous fiez jamais \u00e0 ces soi-disant programmes de \u201cprotection universelle\u201d, la sp\u00e9cificit\u00e9 de la sc\u00e8ne vid\u00e9o d\u00e9termine que vous devez utiliser une d\u00e9fense pr\u00e9cise, sinon c'est une perte d'argent, mais aussi une d\u00e9faite. En ce qui concerne les attaques CC, elles ne sont pas aussi brutales que les attaques DDoS, mais elles simulent les demandes normales des utilisateurs, l'interface de brossage folle, comme les appels fr\u00e9quents \u00e0 l'URL de lecture vid\u00e9o, ce qui entra\u00eene l'\u00e9puisement des ressources du serveur. Vid\u00e9o<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-947","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/947","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=947"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/947\/revisions"}],"predecessor-version":[{"id":1178,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/947\/revisions\/1178"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=947"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=947"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=947"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=947"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}