Home 技术文章 保护您的OTT服务免受DDoS攻击
Applications

保护您的OTT服务免受DDoS攻击

About The Author

Outline

内容交付网络(CDN)是流媒体工作流的重要组成部分,可提供可在全球范围内扩展的高质量视频体验。 虽然大多数流媒体服务利用CDN来增强视频性能,但他们可能会错过利用CDN的全部功能保护其OTT流媒体基础设施的机会 。 本文将回顾如何将CDN部署为OTT流媒体基础设施中的安全层,以缓解DDoS攻击和其他漏洞。 我们还分享了CDN配置最佳实践,这些实践可增强流媒体基础设施的性能和恢复能力。

清单服务器

在流媒体工作流中,一旦客户端进行身份验证并推送播放,客户端/播放器就会与清单服务器建立会话。 清单服务器将播放器定向到视频存储或CDN以检索视频文件。 清单服务器在整个回放过程中与客户机保持持续通信。 在某些流媒体工作流程中(如Verizon Media,现在的Edgio,Platform),我们的清单服务器会为每个查看者创建一个会话。

在1-SCP -1流媒体工作流中,每个用户都有自己的会话。 由于清单是个性化的,并且不断变化,因此当指示播放器获取视频文件时,清单不会从CDN缓存中受益,该视频文件会根据流比特率和广告中断而变化。 正如我们将在本文后面讨论的那样,您必须配置 CDN缓存 ,以便它不会对清单服务器的性能产生负面影响。

高性能清单服务器依赖于水平扩展。 例如,我们在流媒体服务中构建了清单服务器基础设施,以便跨多个地理区域实时扩展,为热门直播流媒体(如NBA总决赛和超级碗)提供数百万个会话。

在清单工作流前面添加CDN层是否仍能为性能和安全性带来优势? 当我们将清单服务器移到CDN后时,我们寻求确认这一点。 我们发现了此工作流程的三大优势。

图1 CDN通常用于增强视频文件交付(图表 A),但也可以利用它来增强清单服务器的安全性和性能(图 B)。

‍Benefit 1:自动DDoS保护

‍Because Web服务器可在线公开访问,是DDoS攻击的开放,有吸引力的目标 。 虽然清单服务器URL通常不会公布,但它们可以公开访问。 对于具有网络知识并对浏览器的Web开发人员工具进行一些基本探测的人来说,发现您的URL几乎不需要任何努力。

由于识别攻击面相对容易,DDoS攻击是黑客武器库中最常用的工具之一。 通过在暗网中使用低成本服务,攻击者可以骚扰全球任何Web服务器,包括清单服务器。 尽管DDoS对策相对普及,但Verizon在2020年发现了超过13,000次DDoS攻击。

许多Web服务已部署DDoS防御技术。 数据中心的专用硬件和第三方净化中心服务是常见的。 但是,随着应用程序迁移到云,将DDoS保护迁移到基于云的DDoS提供商变得越来越普遍。

我们的CDN整合了Stonefish,这是一个灵活的 智能DDoS抵御 平台,可自动拦截99%的第3层和第4层攻击。 Stonefish专为大规模提供DDoS保护而构建。 Stonefish内置于我们覆盖300个PoP的250多Tbps网络中,可提供匹配最大型DDoS攻击所需的云规模容量。 Stonefish每秒分析数百万个数据包,对其进行威胁评分,并在必要时自动采取措施,或将攻击提交给网络运营中心进行升级。

图2 对我们全球网络中的流量进行石质采样和评分,并在DDoS攻击影响客户的Web基础设施之前自动阻止这些攻击。‍

优点2:使用IP Anycast进行请求分发

DDoS保护也通过IP Anycast得到增强,该网络技术内置于Verizon媒体平台交付网络中。 它允许多个服务器共享相同的IP地址。 路由器会根据用户请求的位置将其发送到最近的端点,从而减少延迟并增加冗余。 IP Anycast使用CDN的规模来抵御大型容量或DDoS攻击。 CDN中的每台服务器都会吸收部分攻击,从而减少服务器和网络的压力。

优点3:减少清单客户端延迟

尽管清单服务器会话具有不可缓存的性质,但CDN仍具有一些性能优势。 典型的清单到客户端到服务器路径在公共Internet中的跳数可能多达20个。 相反,CDN利用其分散的边缘服务器来弥补这一差距,消除了跳数,从而减少了可能发生拥塞的链路数量,连接到最近的入网点(POP),最多可能只有一到两个跳数。 然后,CDN通过其在POP之间高度优化的连接路由流量。

针对清单服务器性能优化CDN

为了验证这些优势,Edgio的性能工程团队创建了一个测试环境,以确保HLS和DASH清单的结果在CDN之后相同或更好,包括错误率,响应时间和实时后的时间。

该测试比较了:

  • 具有CDN前置AWS区域的非CDN前置AWS区域
  • 非CDN前面的Azure区域和CDN前面的Microsoft Azure区域

每个区域的目标是25万个并发模拟直播观众,总计100万人,其中50万人通过CDN。 HLS与DASH的比率为10:1,这意味着每生成10个HLS查看器,就会有一个DASH查看器。 所使用的渠道观众经常出现高于正常水平的广告中断,旨在对系统造成过度压力—每分钟30秒的广告中断一次,导致30秒的内容随后30秒的广告中断。 最初的观众人数增加是每秒700多名观众,模拟了现场活动的快速启动。

我们的初始测试显示,CDN后面的区域的性能有所下降,导致客户端的响应时间和超时错误增加。 为了解决这些问题,我们进行了两项更改。

首先,我们将CDN配置为不分发清单。 如上所述,由于清单是在1-CDN会话会级别进行个性化处理,因此清单的-1缓存是不必要的,可能会降低性能。

其次,我们了解了如何配置HTTP保持活动设置,以便CDN与清单服务器建立更优化的握手频率。 使用清单服务器的保持活动设置作为基准,我们将CDN保持活动设置设置设置在12秒以下。 为什么不无限期地保持连接打开? 这与在效率和性能之间取得最佳平衡有关。 就像Slack会议在过载之前只能保持最大数量的线程一样,需要为服务器可以处理的内容配置清单/CN通信。 12秒的设置优化了交互频率,允许CDN和清单以最佳水平进行通信。

在这些变化之后,我们发现CDN背后的清单性能与CDN背后的清单性能之间没有什么区别。 AWS和Microsoft Azure在这两种设置中的表现都相当出色。 CDN未报告任何性能和负载问题。

将所有信息整合在一起

‍The CDN对于任何媒体服务的成功都至关重要,可大规模提供高质量的观众体验。 尽管几乎所有OTT服务都依赖CDN进行内容分发,但许多人却错失了利用CDN的力量保护其服务免受DDoS攻击的机会。 CDN可以通过两种强大的方式提供帮助。 首先,CDN的大规模规模可以与最大型DDoS攻击的规模相匹配。 其次,IP Anycast将任何DDoS攻击传播到多个服务器上。 除了提高安全性之外,CDN还可以在减少清单客户端延迟方面发挥作用。

DDoS攻击的数量和严重程度每年都在增长。 全面了解您的所有基础设施可能会发现提高性能和增强安全性的机会。 OTT服务必须采取措施抵御服务中断的DDoS攻击,同时保持最佳性能。 将清单服务器移到CDN后面可以实现此目标。

让我们评估您在OTT基础设施中的安全需求,并建议提高保护和性能水平的方法。 立即与我们联系,了解更多信息。