Home Artigos técnicos Protegendo seu serviço OTT contra ataques DDoS
Applications

Protegendo seu serviço OTT contra ataques DDoS

About The Author

Outline

As redes de distribuição de conteúdo (CDNs) são bem estabelecidas como parte integrante dos fluxos de trabalho de mídia de streaming, permitindo uma experiência de vídeo de alta qualidade que se dimensiona globalmente. Enquanto a maioria dos serviços de streaming aproveita a CDN para melhorar o desempenho de vídeo, eles podem estar perdendo a oportunidade de aproveitar todo o poder da CDN para proteger sua infraestrutura de streaming OTT. este artigo analisará como uma CDN pode ser implantada como uma camada de segurança em uma infraestrutura de streaming OTT para mitigar ataques DDoS e outras vulnerabilidades. Também compartilhamos as melhores práticas de configuração de CDN que melhoram o desempenho e a resiliência da infraestrutura de streaming.

O servidor de manifesto

Em um fluxo de trabalho de streaming, uma vez que um cliente autentica e envia a reprodução, o cliente/player estabelece uma sessão com um servidor de manifesto. O servidor de manifesto direciona o player para uma loja de vídeo, ou CDN, para recuperar os arquivos de vídeo. O servidor manifesto está em constante comunicação com o cliente durante toda a reprodução. E em alguns fluxos de trabalho de streaming (como na Verizon Media, agora Edgio, Platform), nossos servidores de manifesto criam uma sessão para cada visualizador.

Em um fluxo de trabalho de streaming de 1 para 1, cada usuário recebe sua própria sessão. Como o manifesto é personalizado e em constante mudança, o manifesto não se beneficia do cache CDN ao direcionar o player para buscar um arquivo de vídeo que muda dependendo da taxa de bits do fluxo e da quebra de anúncios. Como discutiremos mais adiante neste artigo, você deve configurar o cache do CDN para que ele não afete negativamente o desempenho do servidor manifesto.

Os servidores de manifesto de alto desempenho dependem do dimensionamento horizontal. Por exemplo, arquitetamos a infraestrutura de servidores de manifesto em nosso serviço de streaming para aumentar em tempo real em várias regiões geográficas para oferecer milhões de sessões para transmissões ao vivo populares, como as finais da NBA e o Super Bowl.

A adição de uma camada CDN na frente do fluxo de trabalho manifesto ainda pode oferecer vantagens tanto para desempenho quanto para segurança? Isso é o que buscamos confirmar quando movemos nossos servidores de manifesto para trás de nossa CDN. Descobrimos três benefícios desse fluxo de trabalho.

Figura 1. Uma CDN é comumente usada para melhorar a entrega de arquivos de vídeo (Diagrama A), mas também pode ser aproveitado para melhorar a segurança e o desempenho do servidor manifesto (Diagrama B).

1: Proteção automatizada contra DDoS ‍Benefit

‍Because Os servidores web são publicamente acessíveis online, são um alvo aberto e atraente para ataques DDoS. Embora os URLs de servidor manifesto não sejam normalmente anunciados, eles são publicamente acessíveis. É preciso pouco esforço para alguém com um conhecimento de rede e algumas ferramentas básicas de desenvolvimento web de um navegador para descobrir sua URL.

Dada a relativa facilidade de identificar a superfície de ataque, os ataques DDoS são uma das ferramentas mais comuns no arsenal de um hacker. Usando serviços de baixo custo na dark web, os invasores podem assediar qualquer servidor da Web em todo o mundo, incluindo servidores de manifesto. Apesar da relativa ubiquidade das contramedidas DDoS, a Verizon contou mais de 13 000 ataques DDoS em 2020.

Muitos serviços da Web implantaram a tecnologia de defesa DDoS. Hardware especializado no data center e serviços de centros de análise de terceiros são comuns. Mas à medida que os aplicativos mudaram para a nuvem, está se tornando cada vez mais comum mover a proteção DDoS para um provedor de DDoS baseado na nuvem.

Nossa CDN incorpora a Stonefish, uma plataforma de mitigação de DDoS resiliente e inteligente que bloqueia automaticamente 99% dos ataques das camadas 3 e 4. A Stonefish foi criada para oferecer proteção contra DDoS em grande escala. Integrada em nossa rede de mais de 250 Tbps em 300 Pops, a Stonefish oferece a capacidade em escala de nuvem necessária para corresponder aos maiores ataques DDoS. A Stonefish analisa milhões de pacotes por segundo, marcando-os em busca de ameaças e tomando medidas automaticamente quando necessário ou referindo ataques ao centro de operações de rede para escalonamento.

Figura 2. A Stonefish coleta e avalia o tráfego atravessando nossa rede global e bloqueia automaticamente os ataques DDoS antes que eles possam impactar a infraestrutura da web do cliente.‍

Benefício 2: Solicitar distribuição com o IP Anycast

A proteção contra DDoS também é aprimorada por meio do IP Anycast, uma técnica de rede integrada à rede Verizon Media Platform Delivery. Ele permite que vários servidores compartilhem o mesmo endereço IP. Os roteadores enviam para o endpoint mais próximo com base na localização de uma solicitação de usuário, reduzindo a latência e aumentando a redundância. O IP Anycast usa a escala do CDN para proteger contra grandes ataques volumétricos ou DDOS. Cada servidor dentro do CDN absorve partes do ataque, resultando em menos tensão no servidor e na rede.

Benefício 3: Reduzindo a latência do cliente manifesto

Apesar da natureza incacheable de sessões de servidor manifesto, um CDN ainda oferece algumas vantagens de desempenho. Um caminho típico de manifesto para cliente para servidor pode ter até 20 saltos através da internet pública. Em contraste, os CDNs aproveitam seus servidores de borda dispersos para fechar essa lacuna, eliminando saltos, o que reduz o número de links onde o congestionamento pode ocorrer, conetando-se ao ponto de presença mais próximo (pop), que provavelmente é apenas um ou dois saltos no máximo. A CDN então roteia o tráfego por suas conexões altamente otimizadas entre POPs.

Otimização do CDN para desempenho de servidor manifesto

Para validar esses benefícios, a equipe de engenharia de desempenho de Edgio criou um ambiente de teste para garantir que os resultados fossem os mesmos ou melhores quando estavam por trás da CDN, incluindo taxas de erro, tempos de resposta e tempo por trás do live, para manifestos HLS e DASH.

O teste comparou:

  • Zona da AWS não-frontada pelo CDN com uma zona da AWS frontada pelo CDN
  • Zona do Azure não-fronted-CDN-com uma zona do Microsoft Azure fronted-CDN-fronted

Cada zona tinha um alvo de 250 000 espetadores simultâneos simulados ao vivo para um total de 1 milhões, com 500 000 passando pela CDN. Os clientes receberam uma proporção de 10 para 1 de HLS vs DASH, o que significa que para cada 10 visualizadores HLS gerados, haveria um visualizador DASH. Os espetadores de canal usados tiveram intervalos de anúncios frequentes e superiores ao normal, projetados para estressar o sistema – intervalos de anúncios de 30 segundos uma vez por minuto, resultando em 30 segundos de conteúdo seguido por 30 segundos de anúncios. A rampa inicial do visualizador foi de mais de 700 espetadores por segundo, simulando um início rápido para um evento ao vivo.

Nosso teste inicial revelou alguma degradação de desempenho nas zonas por trás da CDN, resultando em clientes com maior tempo de resposta e erros de tempo limite. Para resolver esses problemas, fizemos duas alterações.

Primeiro, configuramos o CDN para não distribuir os manifestos. Como descrito acima, como os manifestos são individualizados em um nível de sessão de 1 para 1, o cache CDN de manifestos é desnecessário e pode degradar o desempenho.

Em segundo lugar, analisamos a configuração de keep-alive HTTP para que a CDN estabeleça uma frequência de handshake mais ideal com os servidores MANIFEST. Usando a configuração keep-alive do servidor manifesto como linha de base, definimos a configuração keep-alive do CDN pouco abaixo de 12 segundos. Por que não manter a conexão aberta indefinidamente? Isto tem a ver com um equilíbrio ideal entre eficiência e desempenho. Assim como uma reunião sobre o Slack só pode manter um número máximo de threads antes de ficar sobrecarregada, uma comunicação manifest/CDN precisa ser configurada para o que os servidores podem lidar. Uma configuração de 12 segundos otimizou a frequência de interação, permitindo que o CDN e o manifesto se comuniquem em níveis ideais.

Após essas mudanças, encontramos pouca diferença entre o desempenho do manifesto por trás do CDN e não por trás do CDN. Tanto a AWS quanto o Microsoft Azure tiveram desempenho comparável em ambas as configurações. A CDN não reportou nenhum problema com o desempenho e o carregamento.

Reunindo tudo isso

‍The A CDN é vital para o sucesso de qualquer serviço de mídia, oferecendo uma experiência de visualização de alta qualidade em escala. Embora praticamente todos os serviços OTT dependam da CDN para distribuição de conteúdo, muitos perdem a oportunidade de aproveitar o poder da CDN para proteger seus serviços contra ataques DDoS. Uma CDN pode ajudar de duas maneiras poderosas. Primeiro, a escala maciça da CDN pode corresponder à escala do maior dos ataques DDoS. Segundo, o IP Anycast espalha qualquer ataque DDoS em vários servidores. Juntamente com a segurança melhorada, a CDN também pode desempenhar um papel na redução da latência do cliente manifesto.

O número e a gravidade dos ataques DDoS estão crescendo anualmente. Uma visão abrangente de toda a sua infraestrutura provavelmente revelará oportunidades para melhorar o desempenho e aumentar a segurança. Os serviços OTT devem tomar medidas para se defender contra um ataque DDoS que perturba o serviço, mantendo o desempenho ideal. Mover servidores de manifesto por trás do CDN pode atingir esse objetivo.

Vamos avaliar suas necessidades de segurança em toda a sua infraestrutura OTT e sugerir maneiras de aumentar seus níveis de proteção e desempenho. Conete-se conosco agora para saber mais.