{"id":961,"date":"2026-03-02T17:53:01","date_gmt":"2026-03-02T09:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=961"},"modified":"2026-03-02T17:53:01","modified_gmt":"2026-03-02T09:53:01","slug":"social-high-defence-cdn-how-to-configure-accurate-defence-cc-attack-protection-message-comment-recevoir","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/961-html","title":{"rendered":"CDN social \u00e0 haute d\u00e9fense comment configurer une d\u00e9fense pr\u00e9cise protection contre les attaques CC message commentaire interface"},"content":{"rendered":"<p>Je me souviens que l'ann\u00e9e derni\u00e8re, il y a eu une plateforme sociale, parce que l'attaque CC a directement ass\u00e9ch\u00e9 le syst\u00e8me de commentaires, j'\u00e9tais un membre de l'intervention d'urgence, j'ai \u00e9t\u00e9 appel\u00e9 tard dans la nuit, j'ai regard\u00e9 les graphiques de surveillance comme des montagnes russes, la charge du serveur a instantan\u00e9ment explos\u00e9, cette sc\u00e8ne est vraiment acide.<\/p>\n<p>Quel est le probl\u00e8me avec cette attaque du CC ? Il s'agit simplement d'un grand nombre de requ\u00eates, n'est-ce pas ? Mais il faut savoir qu'il s'agit d'une attaque du ventre mou - comme l'interface de commentaires, o\u00f9 l'interaction avec l'utilisateur est fr\u00e9quente, la base de donn\u00e9es lit et \u00e9crit beaucoup, une fois le flot de fausses demandes inond\u00e9, la r\u00e9ponse est lente, ou tout le service est en panne, l'utilisateur maudit ce petit probl\u00e8me, la cr\u00e9dibilit\u00e9 de la marque d\u00e9truite est la v\u00e9ritable fin de l'histoire.<\/p>\n<p>J'ai constat\u00e9 que beaucoup d'\u00e9quipes pensaient que le CDN \u00e9tait sur un grand oreiller, les r\u00e9sultats de l'attaque CC sont arriv\u00e9s, le CDN s'est d'abord agenouill\u00e9 - parce que la configuration n'a pas bien fonctionn\u00e9, le trafic n'est pas filtr\u00e9 proprement, mais il est devenu un complice. De nos jours, m\u00eame le CDN doit \u00eatre \u2018anti-teammate\u2018, ne croyez pas que ces \"protection \u00e0 cl\u00e9 unique\" des mots fant\u00f4mes, la d\u00e9fense pr\u00e9cise doit le faire vous-m\u00eame.<\/p>\n<p>La racine du probl\u00e8me r\u00e9side dans le fait que les attaques CC simulent le comportement r\u00e9el des utilisateurs, comme les soumissions de commentaires \u00e0 haute fr\u00e9quence et les rafra\u00eechissements de pages, o\u00f9 les pare-feu traditionnels peuvent tuer par erreur le trafic normal, et o\u00f9 les strat\u00e9gies de mise en cache CDN ordinaires ne peuvent pas bloquer les requ\u00eates dynamiques. Les interfaces de commentaires de messages sont g\u00e9n\u00e9ralement des points d'extr\u00e9mit\u00e9 d'API, tels que<code>\/api\/comments\/post<\/code>Les attaquants utilisent un r\u00e9seau de zombies pour envoyer des requ\u00eates POST insens\u00e9es, chacune contenant un peu de donn\u00e9es inutiles, le serveur n'a plus qu'\u00e0 traiter ces requ\u00eates, le pool de connexions \u00e0 la base de donn\u00e9es est satur\u00e9, l'utilisateur normal est naturellement bloqu\u00e9.<\/p>\n<p>Par exemple, une fois j'ai aid\u00e9 une application sociale \u00e0 faire un audit, leur interface de commentaires ne limitait pas la vitesse, la m\u00eame IP peut envoyer des centaines de commentaires en une minute, les r\u00e9sultats ont \u00e9t\u00e9 pirat\u00e9s avec un proxy IP pool wild brush, le pic QPS (requ\u00eates par seconde) s'est pr\u00e9cipit\u00e9 \u00e0 plus de 100 000, le serveur directement 503. En regardant les journaux apr\u00e8s coup, la plupart des requ\u00eates User-Agent sont forg\u00e9es, l'IP source est partout dans le monde, mais Pattern est tr\u00e8s coh\u00e9rent - intervalles courts, petits paquets, objectif clair.<\/p>\n<p>Le choix du CDN est la cl\u00e9, j'en ai compar\u00e9 quelques-uns - CDN5 dans la mise en cache intelligente et l'\u00e9lasticit\u00e9 de l'expansion du taureau, particuli\u00e8rement adapt\u00e9 au trafic soudain ; CDN07 WAF (Web Application Firewall) la base de r\u00e8gles est mise \u00e0 jour rapidement, peut automatiquement identifier les caract\u00e9ristiques CC ; 08Host cost-effective and flexible custom rules for teams with tight budgets. La base de r\u00e8gles du WAF (Web Application Firewall) est mise \u00e0 jour rapidement, peut identifier automatiquement les caract\u00e9ristiques CC ; 08Host cost-effective, flexible custom rules, suitable for teams with tight budgets. Mais quel que soit votre choix, la configuration doit \u00eatre ajust\u00e9e \u00e0 la main.<\/p>\n<p>La premi\u00e8re \u00e9tape consiste \u00e0 d\u00e9finir la limitation du d\u00e9bit dans la console de gestion du CDN. Par exemple, pour<code>\/api\/comments\/**<\/code>Le chemin, d\u00e9finir une seule IP jusqu'\u00e0 5 requ\u00eates par seconde, au-del\u00e0 du code de statut 429 de retour. L'interface de configuration de CDN5 est intuitive, je l'ai souvent ainsi d\u00e9finie :<\/p>\n<p>Ne jamais fixer un seuil trop strict, sinon de vrais utilisateurs seront bless\u00e9s par erreur s'ils publient des commentaires plus rapidement - j'ai d\u00e9j\u00e0 march\u00e9 sur ce terrain, une fois le seuil fix\u00e9 \u00e0 3, et en cons\u00e9quence, lorsque l'\u00e9v\u00e9nement a eu lieu, les utilisateurs ont follement aim\u00e9, et les demandes normales ont \u00e9t\u00e9 bloqu\u00e9es, et le num\u00e9ro de t\u00e9l\u00e9phone de la plainte a \u00e9t\u00e9 mis \u00e0 mal. Plus tard, j'ai retenu la le\u00e7on et je l'ai ajust\u00e9 dynamiquement en conjonction avec le r\u00e9f\u00e9rentiel de r\u00e9putation IP.<\/p>\n<p>La deuxi\u00e8me \u00e9tape consiste \u00e0 activer le d\u00e9fi CAPTCHA. Pour un trafic suspect, tel qu'un grand nombre de requ\u00eates provenant de la m\u00eame IP pendant une courte p\u00e9riode de temps, le premier pop-up CAPTCHA pour ralentir le rythme de l'attaque. CDN07 prend en charge cette fonctionnalit\u00e9, la configuration de l'attention de ne pas affecter l'exp\u00e9rience de l'utilisateur : seules les requ\u00eates POST prennent effet, la requ\u00eate GET (comme la lecture des commentaires) de lib\u00e9ration. Exemple de code :<\/p>\n<p>Je l'ai test\u00e9 et j'ai trouv\u00e9 qu'il pouvait \u00e9liminer l'attaque CC facile de 90%, mais les attaques avanc\u00e9es utiliseront l'OCR pour craquer le captcha, donc il doit \u00eatre associ\u00e9 \u00e0 d'autres moyens.<\/p>\n<p>Les attaques par CC utilisent g\u00e9n\u00e9ralement des h\u00f4tes en nuage ou des IP proxy, et la liste noire est mise \u00e0 jour en temps r\u00e9el gr\u00e2ce \u00e0 des sources de renseignements sur les menaces telles que AbuseIPDB. 08Host permet de t\u00e9l\u00e9charger des listes d'IP personnalis\u00e9es, et j'ai \u00e9crit un script pour les synchroniser r\u00e9guli\u00e8rement :<\/p>\n<p>Le g\u00e9oblocage est \u00e9galement tr\u00e8s utile - si l'entreprise ne dessert que le territoire national, il suffit de bloquer les IP d'outre-mer. Mais attention \u00e0 ne pas tuer accidentellement les utilisateurs de VPN, il est pr\u00e9f\u00e9rable de laisser un canal sur liste blanche.<\/p>\n<p>La quatri\u00e8me \u00e9tape, l'optimisation de la strat\u00e9gie de cache. Les ressources statiques (telles que les avatars, les CSS) ont un cache plus long, les interfaces dynamiques (telles que la soumission de commentaires) ont un cache court ou d\u00e9sactivent le cache, for\u00e7ant le trafic \u00e0 passer par la d\u00e9tection WAF. Les r\u00e8gles de cache cdn5 peuvent \u00eatre adapt\u00e9es de cette mani\u00e8re :<\/p>\n<p>De cette fa\u00e7on, chaque demande de commentaire retourne \u00e0 la source pour \u00eatre d\u00e9tect\u00e9e, ce qui augmente le temps de latence, mais la s\u00e9curit\u00e9 avant tout. Je sugg\u00e8re d'utiliser un traitement asynchrone - les utilisateurs envoient des commentaires et renvoient d'abord le succ\u00e8s, le traitement de la file d'attente en arri\u00e8re-plan, afin de r\u00e9duire la pression en temps r\u00e9el.<\/p>\n<p>La cinqui\u00e8me \u00e9tape consiste \u00e0 renforcer le back-end ; les CDN ne sont pas des boulets d'argent et, en fin de compte, la d\u00e9fense doit revenir aux serveurs ; ajoutez un module de limitation de flux \u00e0 la couche Nginx, par exemple, avec<code>limit_req_zone<\/code>\uff1a<\/p>\n<p>Cette r\u00e8gle signifie que le nombre maximum de requ\u00eates par IP est de 5 par seconde, la rafale est autoris\u00e9e \u00e0 10, au-del\u00e0 du param\u00e8tre direct 503. Le param\u00e8tre de rafale ne doit pas \u00eatre d\u00e9fini sans discernement - je l'ai une fois d\u00e9fini trop grand, l'attaque est arriv\u00e9e dans la file d'attente, la m\u00e9moire a explos\u00e9. Combin\u00e9 \u00e0 la surveillance des journaux, l'ajustement en temps r\u00e9el.<\/p>\n<p>Enfin, la surveillance et la r\u00e9action. D\u00e9finir des r\u00e8gles d'alerte : notification par SMS en cas de d\u00e9passement du QPS, taux d'erreur 5xx d\u00e9pass\u00e9. Outils tels que Prometheus+Grafana, exemple de configuration Kanban :<\/p>\n<p>N'attendez pas que les choses tournent mal pour v\u00e9rifier - faites un exercice hebdomadaire d'attaque et de d\u00e9fense pour simuler une attaque de CC et tester l'efficacit\u00e9 de la d\u00e9fense. Mon \u00e9quipe avait l'habitude de faire cela tout le temps, de trouver un moment pour nettoyer l'interface et voir si les r\u00e8gles \u00e9taient d\u00e9clench\u00e9es.<\/p>\n<p>CDN5, CDN07, 08Host ont leur propre automne, mais l'id\u00e9e de base est la m\u00eame : une d\u00e9fense en couches, des r\u00e8gles pr\u00e9cises, une surveillance en temps r\u00e9el. N'oubliez pas que la s\u00e9curit\u00e9 est un processus, pas un produit. Les avis des utilisateurs sont peu nombreux, derri\u00e8re le syst\u00e8me de confiance, il est difficile de les r\u00e9parer.<\/p>\n<p>Agissez d\u00e8s maintenant : v\u00e9rifiez la configuration de votre CDN, la limite de d\u00e9bit est-elle r\u00e9gl\u00e9e, la liste noire des adresses IP est-elle mise \u00e0 jour ? Si vous ne l'avez pas fait, les pirates informatiques pourraient venir vous \u2018saluer\" ce soir. N'h\u00e9sitez pas \u00e0 laisser un commentaire si vous avez des questions - ne laissez pas l'interface de commentaires devenir une zone sinistr\u00e9e.<\/p>","protected":false},"excerpt":{"rendered":"<p>Je me souviens que l'ann\u00e9e derni\u00e8re, il y a une plate-forme sociale, parce que l'attaque CC directement au syst\u00e8me de commentaires \u00e0 sec, j'\u00e9tais en tant que membre de la r\u00e9ponse d'urgence, a \u00e9t\u00e9 appel\u00e9 au milieu de la nuit, en regardant les graphiques de surveillance comme une montagne russe a grimp\u00e9, la charge du serveur instantan\u00e9ment \u00e9clat\u00e9 la table, la sc\u00e8ne est vraiment acide. Quel est le probl\u00e8me de cette attaque de CC ? Il s'agit simplement d'un grand nombre de requ\u00eates, n'est-ce pas ? Une fois le flot de fausses demandes inond\u00e9, la r\u00e9ponse l\u00e9g\u00e8re devient lente, le service entier est en panne, les jurons des utilisateurs sont insignifiants, la cr\u00e9dibilit\u00e9 de la marque est vraiment d\u00e9truite. J'ai constat\u00e9 que beaucoup d'\u00e9quipes pensaient que le CDN avait une grande tranquillit\u00e9 d'esprit, les r\u00e9sultats de l'attaque CC sont arriv\u00e9s, le CDN lui-m\u00eame s'est d'abord agenouill\u00e9 - parce que la configuration n'a pas bien fonctionn\u00e9, le trafic n'a pas \u00e9t\u00e9 filtr\u00e9 \u00e0 sec !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-961","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/961","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=961"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/961\/revisions"}],"predecessor-version":[{"id":1164,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/961\/revisions\/1164"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=961"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=961"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=961"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}