Home Articles techniques Protection de votre service OTT contre les attaques DDoS
Applications

Protection de votre service OTT contre les attaques DDoS

About The Author

Outline

Les réseaux de diffusion de contenu (CDN) font partie intégrante des flux de travail multimédia en streaming, permettant une expérience vidéo de haute qualité qui évolue à l’échelle mondiale. Bien que la plupart des services de streaming tirent parti du CDN pour améliorer les performances vidéo, ils pourraient manquer une occasion de tirer pleinement parti de la puissance du CDN pour sécuriser leur infrastructure de streaming OTT. Cet article examine comment un CDN peut être déployé en tant que couche de sécurité dans une infrastructure de streaming OTT pour atténuer les attaques DDoS et autres vulnérabilités. Nous partageons également les meilleures pratiques de configuration CDN qui améliorent les performances et la résilience de l’infrastructure de streaming.

Le serveur manifeste

Dans un flux de travail en continu, une fois qu’un client authentifie et pousse la lecture, le client/joueur établit une session avec un serveur manifeste. Le serveur manifeste dirige le lecteur vers un magasin de vidéos, ou CDN, pour récupérer les fichiers vidéo. Le serveur manifeste est en communication constante avec le client tout au long de la lecture. Et dans certains workflows de streaming (comme avec Verizon Media, maintenant Edgio, Platform), nos serveurs Manifest créent une session pour chaque spectateur.

Dans un workflow de streaming 1 à 1, chaque utilisateur obtient sa propre session. Puisque le manifeste est personnalisé et en constante évolution, le manifeste ne bénéficie pas de la mise en cache CDN lorsqu’il demande au lecteur de récupérer un fichier vidéo qui change en fonction du débit binaire du flux et de la pause publicitaire. Comme nous le verrons plus loin dans cet article, vous devez configurer la mise en cache CDN afin qu’elle n’ait pas d’impact négatif sur les performances du serveur manifeste.

Les serveurs manifest hautes performances dépendent de l’évolutivité horizontale. Par exemple, nous avons conçu l’infrastructure de serveur Manifest dans notre service de streaming pour l’étendre en temps réel dans plusieurs régions géographiques afin de fournir des millions de sessions pour des diffusions en direct populaires telles que les finales NBA et le Super Bowl.

L’ajout d’une couche CDN devant le workflow Manifest peut-il encore offrir des avantages à la fois en termes de performances et de sécurité ? C’est ce que nous avons cherché à confirmer lorsque nous avons déplacé nos serveurs Manifest derrière notre CDN. Nous avons découvert trois avantages de ce workflow.

Figure 1. Un CDN est couramment utilisé pour améliorer la livraison de fichiers vidéo (diagramme A), mais il peut également être exploité pour améliorer la sécurité et les performances du serveur Manifest (diagramme B).

‍Benefit 1 : protection DDoS automatisée

‍Because les serveurs web sont accessibles au public en ligne, ils sont une cible ouverte et attrayante pour les attaques DDoS. Bien que les URL de serveur manifeste ne soient généralement pas annoncées, elles sont accessibles au public. Il faut peu d’efforts pour quelqu’un avec une connaissance de la mise en réseau et quelques recherches de base des outils de développement Web d’un navigateur pour découvrir votre URL.

Compte tenu de la relative facilité d’identification de la surface d’attaque, les attaques DDoS sont l’un des outils les plus courants dans l’arsenal d’un pirate informatique. En utilisant des services à faible coût sur le dark web, les attaquants peuvent harceler n’importe quel serveur Web dans le monde, y compris les serveurs manifest. Malgré l’omniprésence relative des contre-mesures DDoS, Verizon a dénombré plus de 13 000 attaques DDoS en 2020.

De nombreux services Web ont déployé une technologie de défense DDoS. Le matériel spécialisé dans le centre de données et les services de centre de nettoyage tiers sont courants. Mais à mesure que les applications se sont déplacées vers le cloud, il est de plus en plus courant de transférer la protection DDoS vers un fournisseur DDoS basé sur le cloud.

Notre CDN intègre Stonefish, une plate-forme d’atténuation des attaques DDoS résiliente et intelligente qui bloque automatiquement 99 % des attaques de couche 3 et 4. Stonefish a été spécialement conçu pour offrir une protection DDoS à grande échelle. Intégré à notre réseau de plus de 250 Tbps sur 300 pop, Stonefish offre la capacité à l’échelle du cloud nécessaire pour faire face aux attaques DDoS les plus importantes. Stonefish analyse des millions de paquets par seconde, en les classant pour les menaces et en prenant automatiquement des mesures si nécessaire ou en renvoyant les attaques au centre d’exploitation du réseau pour escalade.

Figure 2. Stonefish échantillonne et évalue le trafic traversant notre réseau mondial et bloque automatiquement les attaques DDoS avant qu’elles n’aient un impact sur l’infrastructure Web du client.‍

Avantage 2 : demande de distribution avec IP Anycast

La protection contre les attaques DDoS est également améliorée grâce à IP Anycast, une technique de mise en réseau intégrée au réseau Verizon Media Platform Delivery. Il permet à plusieurs serveurs de partager la même adresse IP. Les routeurs l’envoient au point de terminaison le plus proche en fonction de l’emplacement de la requête utilisateur, ce qui réduit la latence et augmente la redondance. IP Anycast utilise l’échelle du CDN pour se protéger contre les attaques volumétriques ou DDOS de grande envergure. Chaque serveur au sein du CDN absorbe des parties de l’attaque, ce qui réduit la pression sur le serveur et le réseau.

Avantage 3 : réduction de la latence du client manifeste

Malgré la nature non cachable des sessions de serveur manifest, un CDN offre toujours certains avantages en termes de performances. Un chemin manifest-to-client-to-Server typique peut avoir jusqu’à 20 sauts via l’Internet public. En revanche, les CDN tirent parti de leurs serveurs périphériques dispersés pour combler cet écart, en éliminant les sauts, ce qui réduit le nombre de liaisons susceptibles de provoquer une congestion, en se connectant au point de présence (POP) le plus proche, qui ne représente probablement qu’un ou deux sauts au maximum. Le CDN achemine ensuite le trafic sur ses connexions hautement optimisées entre les POP.

Optimisation du CDN pour les performances du serveur Manifest

Pour valider ces avantages, l’équipe d’ingénierie des performances d’Edgio a créé un environnement de test pour s’assurer que les résultats étaient identiques ou meilleurs lorsque le CDN était derrière, y compris les taux d’erreur, les temps de réponse et le temps de réponse en direct, pour les manifestes HLS et DASH.

Le test a comparé:

  • Zone AWS sans interface CDN avec une zone AWS sans interface CDN
  • Zone Azure non connectée à un CDN avec une zone Microsoft Azure connectée à un CDN

Chaque zone avait une cible de 250 000 téléspectateurs simulés simultanés en direct pour un total de 1 millions, dont 500 000 passant par le CDN. Les clients ont reçu un ratio de 10 à 1 de HLS par rapport à DASH, ce qui signifie que pour chaque tranche de 10 visionneuses HLS générées, il y aurait une visionneuse DASH. Les téléspectateurs de la chaîne utilisée ont eu des pauses publicitaires fréquentes, plus élevées que la normale, conçues pour surstresser le système — pauses publicitaires de 30 secondes une fois par minute, ce qui donne 30 secondes de contenu suivies de 30 secondes de publicités. La montée en puissance initiale des téléspectateurs était de plus de 700 téléspectateurs par seconde, simulant un démarrage rapide d’un événement en direct.

Nos tests initiaux ont révélé une certaine dégradation des performances sur les zones derrière le CDN, ce qui a entraîné des temps de réponse accrus et des erreurs de délai d’attente. Pour résoudre ces problèmes, nous avons apporté deux modifications.

Tout d’abord, nous avons configuré le CDN pour ne pas distribuer les manifestes. Comme décrit ci-dessus, étant donné que les manifestes sont individualisés au niveau de la session 1 à 1, la mise en cache CDN des manifestes est inutile et peut dégrader les performances.

Deuxièmement, nous avons examiné la configuration du paramètre HTTP keep-alive afin que le CDN établisse une fréquence de handshake plus optimale avec les serveurs manifest. En utilisant le paramètre keep-alive du serveur manifest comme base, nous définissons le paramètre keep-alive CDN juste en dessous de 12 secondes. Pourquoi ne pas garder la connexion ouverte indéfiniment ? Il s’agit de trouver un équilibre optimal entre efficacité et performance. Tout comme une réunion sur Slack ne peut maintenir qu’un nombre maximum de threads avant d’être surchargé, une communication manifeste/CDN doit être configurée pour ce que les serveurs peuvent gérer. Un réglage de 12 secondes a optimisé la fréquence d’interaction, permettant au CDN et au manifeste de communiquer à des niveaux optimaux.

Suite à ces changements, nous avons trouvé peu de différence entre les performances manifestes derrière le CDN et non derrière le CDN. AWS et Microsoft Azure ont tous deux fonctionné de manière comparable dans les deux configurations. Le CDN n’a signalé aucun problème de performance et de charge.

Rassembler tout cela

‍The le CDN est essentiel au succès de tout service média, offrant une expérience de téléspectateur de haute qualité à grande échelle. Alors que pratiquement tous les services OTT reposent sur le CDN pour la distribution de contenu, beaucoup manquent une occasion de tirer parti de la puissance du CDN pour protéger leurs services contre les attaques DDoS. Un CDN peut aider de deux manières puissantes. Tout d’abord, l’échelle massive du CDN peut correspondre à l’échelle de la plus grande des attaques DDoS. Deuxièmement, IP Anycast propage toute attaque DDoS sur plusieurs serveurs. En plus d’améliorer la sécurité, le CDN peut également jouer un rôle dans la réduction de la latence du client manifeste.

Le nombre et la gravité des attaques DDoS augmentent chaque année. Un examen complet de l’ensemble de votre infrastructure révélera probablement des opportunités d’amélioration des performances et de renforcement de la sécurité. Les services OTT doivent prendre des mesures pour se défendre contre une attaque DDoS perturbant le service tout en maintenant des performances optimales. Déplacer les serveurs Manifest derrière le CDN peut atteindre cet objectif.

Laissez-nous évaluer vos besoins de sécurité dans votre infrastructure OTT et suggérer des moyens d’augmenter vos niveaux de protection et de performance. Contactez-nous dès maintenant pour en savoir plus.