Home Articoli tecnici Protezione del servizio OTT dagli attacchi DDoS
Applications

Protezione del servizio OTT dagli attacchi DDoS

About The Author

Outline

Le CDN (Content Delivery Network) sono ormai consolidate come parte integrante dei flussi di lavoro multimediali in streaming, consentendo un’esperienza video di alta qualità scalabile a livello globale. Mentre la maggior parte dei servizi di streaming sfrutta la CDN per migliorare le performance video, potrebbe mancare l’opportunità di sfruttare appieno la potenza della CDN nel proteggere la propria infrastruttura di streaming OTT. In questo articolo viene illustrato come implementare una CDN come livello di sicurezza in un’infrastruttura di streaming OTT per mitigare gli attacchi DDoS e altre vulnerabilità. Condividiamo inoltre BEST practice di configurazione CDN che migliorano le prestazioni e la resilienza dell’infrastruttura di streaming.

Il server manifesto

In un flusso di lavoro di streaming, una volta che un client esegue l’autenticazione e la riproduzione, il client/player stabilisce una sessione con un server manifesto. Il server manifesto indirizza il lettore a un archivio video, o CDN, per recuperare i file video. Il server manifesto è in costante comunicazione con il client durante la riproduzione. E in alcuni flussi di lavoro di streaming (come con Verizon Media, ora Edgio, Platform), i nostri server manifesti creano una sessione per ogni visualizzatore.

In un flusso di lavoro di streaming 1 a 1, ogni utente ha la propria sessione. Poiché il manifesto è personalizzato e in continuo cambiamento, il manifesto non trae vantaggio dalla memorizzazione nella cache della CDN quando indirizza il lettore a recuperare un file video che cambia a seconda della velocità di trasmissione e dell’interruzione dell’annuncio. Come descritto più avanti in questo articolo, è necessario configurare la memorizzazione nella cache della CDN in modo che non influisca negativamente sulle prestazioni del server manifesto.

I server manifesti ad alte prestazioni dipendono dalla scalabilità orizzontale. Ad esempio, abbiamo progettato l’infrastruttura server manifest nel nostro servizio di streaming per scalare in tempo reale in più regioni geografiche per distribuire milioni di sessioni per i live streaming più diffusi, come le finali NBA e il Super Bowl.

L’aggiunta di un livello CDN davanti al flusso di lavoro manifesto può ancora offrire vantaggi sia in termini di prestazioni che di sicurezza? Questo è ciò che abbiamo cercato di confermare quando abbiamo spostato i nostri server manifesti dietro la nostra CDN. Abbiamo scoperto tre vantaggi di questo flusso di lavoro.

Figura 1. Una CDN è comunemente utilizzata per migliorare la distribuzione dei file video (diagramma A), ma può anche essere sfruttato per migliorare la sicurezza e le prestazioni del server manifesto (diagramma B).

‍Benefit 1: Protezione DDoS automatizzata

I server web sono accessibili pubblicamente online, sono un bersaglio aperto e attraente per gli attacchi DDoS ‍Because . Sebbene gli URL dei server manifesti non siano generalmente pubblicizzati, sono accessibili pubblicamente. Per scoprire il tuo URL, non è necessario alcuno sforzo per qualcuno con una conoscenza del networking e qualche ricerca di base degli strumenti di sviluppo web di un browser.

Data la relativa facilità di identificazione della superficie di attacco, gli attacchi DDoS sono uno degli strumenti più comuni nell’arsenale di un hacker. Utilizzando servizi a basso costo sul dark web, gli autori degli attacchi possono molestare qualsiasi server web in tutto il mondo, compresi i server manifesti. Nonostante la relativa ubiquità delle contromisure DDoS, Verizon ha contato più di 13.000 attacchi DDoS nel 2020.

Molti servizi web hanno implementato la tecnologia di difesa DDoS. Hardware specializzato nel data center e servizi di scrubbing center di terze parti sono comuni. Ma con il passaggio delle applicazioni al cloud, è sempre più frequente spostare la protezione DDoS a un provider DDoS basato su cloud.

La nostra CDN incorpora Stonefish, una piattaforma di mitigazione DDoS resiliente e intelligente che blocca automaticamente il 99% degli attacchi di livello 3 e 4. Stonefish è stato progettato appositamente per offrire una protezione DDoS su vasta scala. Integrato nella nostra rete a oltre 250 Tbps in 300 POP, Stonefish offre la capacità su scala cloud necessaria per rispondere ai più grandi attacchi DDoS. Stonefish analizza milioni di pacchetti al secondo, valutandoli in base alle minacce e intervenendo automaticamente quando necessario o riferendo gli attacchi al centro operativo di rete per l’escalation.

Figura 2. Stonefish campiona e classifica il traffico che attraversa la nostra rete globale e blocca automaticamente gli attacchi DDoS prima che possano avere un impatto sull’infrastruttura web del cliente.‍

Vantaggio 2: Distribuzione delle richieste con IP Anycast

La protezione dagli attacchi DDoS viene inoltre migliorata tramite IP Anycast, una tecnica di rete integrata nella rete Verizon Media Platform Delivery. Consente a più server di condividere lo stesso indirizzo IP. I router lo inviano all’endpoint più vicino in base alla posizione di una richiesta dell’utente, riducendo la latenza e aumentando la ridondanza. IP Anycast utilizza la scala della CDN per proteggere da attacchi volumetrici o DDOS di grandi dimensioni. Ogni server all’interno della CDN assorbe porzioni dell’attacco con conseguente minore sollecitazione sul server e sulla rete.

Vantaggio 3: Riduzione della latenza manifest-client

Nonostante la natura non memorizzabile nella cache delle sessioni di server manifesti, una CDN offre ancora alcuni vantaggi in termini di prestazioni. Un tipico percorso da manifesto a client a server potrebbe avere fino a 20 hop attraverso Internet pubblico. Al contrario, le CDN sfruttano i loro edge server dislocati per colmare questo divario, eliminando i hop, riducendo il numero di collegamenti in cui può verificarsi una congestione, connettendosi al punto di presenza (POP) più vicino, che è probabilmente solo uno o due hop al massimo. La CDN indirizza quindi il traffico sulle sue connessioni altamente ottimizzate tra POP.

Ottimizzazione della CDN per prestazioni del server manifesto

Per convalidare questi vantaggi, il team di ingegneria delle prestazioni di Edgio ha creato un ambiente di test per garantire che i risultati fossero gli stessi o migliori quando si trova dietro la CDN, inclusi tassi di errore, tempi di risposta e tempo di attesa in tempo reale, sia per i manifesti HLS che DASH.

Il test ha confrontato:

  • Zona AWS non anteriore CDN con zona AWS anteriore CDN
  • Area Azure senza frontespizio CDN con area Microsoft Azure con frontespizio CDN

Ogni zona aveva un target di 250.000 spettatori simulati live simultanei per un totale di 1 milione, con 500.000 che passavano attraverso la CDN. Ai client è stato assegnato un rapporto di 10 a 1 tra HLS e DASH, il che significa che per ogni 10 visualizzatori HLS generati, ci sarebbe stato un visualizzatore DASH. Gli spettatori del canale utilizzati hanno avuto frequenti interruzioni pubblicitarie più elevate del normale, progettate per sovrasfruttare il sistema: Interruzioni pubblicitarie di 30 secondi una volta al minuto, con conseguenti 30 secondi di contenuti seguiti da 30 secondi di annunci pubblicitari. L’aumento iniziale dello spettatore è stato di oltre 700 spettatori al secondo, simulando un avvio rapido di un evento live.

I nostri test iniziali hanno rivelato un certo peggioramento delle prestazioni nelle zone dietro la CDN, con conseguente aumento dei tempi di risposta e degli errori di timeout. Per risolvere questi problemi, abbiamo apportato due modifiche.

Innanzitutto, abbiamo configurato la CDN per non distribuire i manifesti. Come descritto in precedenza, poiché i manifesti sono individualizzati a livello di sessione 1 a 1, il caching CDN dei manifesti non è necessario e può compromettere le prestazioni.

In secondo luogo, abbiamo esaminato la configurazione dell’impostazione HTTP keep-alive in modo che la CDN stabilisse una frequenza di handshake ottimale con i server manifest. Utilizzando l’impostazione keep-alive del server manifest come linea di base, l’impostazione keep-alive della CDN è stata impostata appena al di sotto di 12 secondi. Perché non mantenere la connessione aperta per un tempo indefinito? Ciò ha a che fare con il raggiungimento di un equilibrio ottimale tra efficienza e prestazioni. Proprio come una riunione su Slack può mantenere solo un numero massimo di thread prima di essere sovraccaricato, è necessario configurare una comunicazione manifesto/CDN per ciò che i server sono in grado di gestire. Un’impostazione di 12 secondi ha ottimizzato la frequenza di interazione, consentendo alla CDN e al manifesto di comunicare a livelli ottimali.

A seguito di questi cambiamenti, abbiamo riscontrato una piccola differenza tra le prestazioni manifeste dietro la CDN e non dietro la CDN. Sia AWS che Microsoft Azure hanno avuto prestazioni comparabili in entrambe le configurazioni. La CDN non ha segnalato alcun problema con le prestazioni e il carico.

Riunire tutto

‍The la CDN è vitale per il successo di qualsiasi servizio multimediale, offrendo un’esperienza di visione di alta qualità su larga scala. Mentre praticamente tutti i servizi OTT si affidano alla CDN per la distribuzione dei contenuti, molti perdono l’opportunità di sfruttare la capacità della CDN di proteggere i propri servizi dagli attacchi DDoS. Una CDN può aiutare in due modi potenti. In primo luogo, la massiccia scala della CDN può corrispondere alla portata del più grande attacco DDoS. In secondo luogo, IP Anycast diffonde qualsiasi attacco DDoS su più server. Oltre a una maggiore sicurezza, la CDN può anche svolgere un ruolo nella riduzione della latenza del client manifesto.

Il numero e la gravità degli attacchi DDoS aumentano ogni anno. Un’analisi completa di tutta la vostra infrastruttura rivelerà probabilmente le opportunità per migliorare le prestazioni e aumentare la sicurezza. I servizi OTT devono agire per difendersi da un attacco DDoS che interrompe il servizio mantenendo al contempo prestazioni ottimali. Lo spostamento dei server manifesti dietro la CDN può raggiungere questo obiettivo.

Permetteteci di valutare le vostre esigenze di sicurezza nell’intera infrastruttura OTT e suggerirci come aumentare i vostri livelli di protezione e prestazioni. Contattateci subito per saperne di più.