Home 技術文章 保護您的OTT服務免受DDoS攻擊
Applications

保護您的OTT服務免受DDoS攻擊

About The Author

Outline

內容交付網路(CDN)是流媒體工作流不可或缺的一部分,可實現全球擴展的高質量影片體驗。 儘管大多數流媒體服務利用CDN來增強影片性能,但他們可能缺少利用CDN的全部功能來保護OTT流媒體基礎設施的機會 。 本文將回顧如何將CDN部署爲OTT流式傳輸基礎設施中的安全層,以緩解DDoS攻擊和其他漏洞。 我們還分享CDN配置最佳實踐,以提高流式傳輸基礎設施的性能和恢復能力。

清單伺服器

在流式傳輸工作流中,一旦客戶端驗證並推送播放,客戶端/播放器將與清單伺服器建立會話。 清單伺服器會將播放機導向視訊存放區或CDN,以擷取視訊檔案。 清單伺服器在整個回放過程中與客戶端保持持續通信。 在一些流式傳輸工作流中(如Verizon Media,現爲Edgio,Platform),我們的清單伺服器爲每個查看器創建一個會話。

在一對一串流工作流程中,每個使用者都會取得自己的工作階段。 由於資訊清單是個性化的且不斷變化的,因此,當引導播放器獲取視流比特率和廣告中斷而變化的影片文件時,資訊清單無法從CDN暫存中獲益。 正如我們在本文稍後將討論的那樣,您必須配置 CDN暫存 ,以便它不會對清單伺服器的性能產生負面影響。

高性能清單伺服器依賴於水平擴展。 例如,我們在流媒體服務中構建了清單伺服器基礎架構,以便在多個地理區域實時擴展,爲NBA總決賽和超級碗等熱門直播流提供數百萬個會話。

在清單工作流前面添加CDN層是否仍能爲性能和安全性帶來優勢? 這就是我們在將清單伺服器移至CDN之後時所尋求的確認。 我們發現了此工作流程的三個優點。

圖1. CDN通常用於增強影片文件交付(圖 A),但也可以利用它來增強清單伺服器的安全性和性能(圖 b)。

‍Benefit 1:自動化DDoS防護

‍Because Web伺服器可線上上公開訪問,它們是一個開放,有吸引力的DDoS攻擊目標 。 雖然清單伺服器URL通常不會被公佈,但它們是公開訪問的。 對於具有網路知識和瀏覽器Web開發工具的基本探測功能的用戶來說,只需很少的時間就可以發現您的URL。

鑑於識別攻擊面相對容易,DDoS攻擊是黑客武器庫中最常見的工具之一。 在黑暗的網路上使用低成本的服務,攻擊者可以騷擾世界各地的任何Web伺服器,包括清單伺服器。 儘管DDoS對策相對普遍,Verizon在2020年仍有超過13,000次DDoS攻擊。

許多Web服務都部署了DDoS防禦技術。 數據中心中的專用硬體和第三方清理中心服務是常見的。 但隨着應用程式轉移到雲,將DDoS保護轉移到基於雲的DDoS提供商越來越普遍。

我們的CDN整合了Stonefish,這是一個彈性且 智慧型DDoS緩解 平臺,可自動阻擋99%的第3層和第4層攻擊。 Stonefish是專爲大規模提供DDoS防護而打造的。 Stonefish內置在我們的250多Tbps網路中,跨越300個POPS,提供了應對最大規模DDoS攻擊所需的雲規模容量。 Stonefish每秒分析數百萬個數據包,對其進行威脅評分,並在必要時自動採取措施,或將攻擊提交給網路營運中心進行升級。

圖2. Stonefish樣本和分數遍歷我們全球網路的流量,並在DDoS攻擊影響客戶的Web基礎設施之前自動阻止這些攻擊。‍

優點2:使用IP Anycast進行請求分發

DDoS防護也透過IP Anycast增強,這是Verizon Media Platform Delivery網路內建的網路技術。 它允許多個伺服器共享同一個IP地址。 路由器根據用戶請求的位置將其發送到最近的端點,從而減少延遲並增加冗餘。 IP Anycast使用CDN的規模來抵禦大規模或DDoS攻擊。 CDN中的每臺伺服器都會吸收部分攻擊,從而減少伺服器和網路的壓力。

優點3:減少清單客戶端延遲

儘管清單伺服器會話具有不可暫存的特性,但CDN仍提供一些性能優勢。 典型的清單到客戶端到伺服器路徑通過公共網際網路可以有多達20個躍點。 與此相反,CDN利用分散的邊緣伺服器彌補這一差距,消除了跳數,從而減少了可能發生擁塞的鏈路數量,並連接到最接近的存在點(POP)(可能最多只有一個或兩個跳數)。 然後,CDN通過其持久性有機污染物之間高度優化的連接路由流量。

針對清單伺服器效能最佳化CDN

爲了驗證這些優勢,Edgio的性能工程團隊創建了一個測試環境,以確保在CDN後面的結果相同或更好—包括錯誤率,響應時間和實時滯後時間——適用於HLS和DASH清單。

測試比較了:

  • 非CDN前置AWS區域和CDN前置AWS區域
  • 具有CDN前置Microsoft Azure區域的非CDN前置Azure區域

每個區域都有25萬個並行類比實時觀衆的目標,總計100萬個,其中50萬個通過CDN。 客戶獲得的住房貸款與破折號比率爲10比1,這意味着每生成10個住房貸款的觀衆就會有一個破折號觀衆。 使用的頻道觀衆經常會有比正常更高的廣告中斷,以過度強調系統的壓力—每分鐘一次30秒的廣告中斷,結果是30秒的內容,接下來是30秒的廣告。 最初的觀衆人數增加超過700人/秒,類比了現場活動的快速啓動。

我們的初始測試顯示CDN後面的區域性能會降低,導致客戶端遇到更長的響應時間和超時錯誤。 爲了解決這些問題,我們做了兩項更改。

首先,我們將CDN配置爲不分發清單。 如上所述,由於清單是在1對1會話級別個性化的,因此不需要對清單進行CDN暫存,並且可能會降低性能。

第二,我們研究了配置HTTP保持活動設定,以便CDN與清單伺服器建立更優的握手頻率。 使用清單伺服器的保持活動設定作爲基準,我們將CDN保持活動設定設爲低於12秒。 爲什麼不無限期地打開連接? 這與實現效率和性能之間的最佳平衡有關。 就像在可寬延時舉行的會議在超載之前只能保持最大數量的線程一樣,需要針對伺服器可以處理的內容配置清單/CDN通信。 12秒的設定優化了交互頻率,允許CDN和清單以最佳級別進行通信。

在這些更改之後,我們發現CDN後面和CDN後面的顯式性能差別不大。 AWS和Microsoft Azure在這兩種設定中的表現都比較好。 CDN未報告性能和負載方面的任何問題。

整合一切

‍The CDN對於任何媒體服務的成功至關重要,可大規模提供高質量的觀衆體驗。 雖然幾乎所有OTT服務都依賴CDN進行內容分發,但許多人錯過了利用CDN功能保護其服務免受DDoS攻擊的機會。 CDN可以通過兩種強大的方式提供幫助。 首先,CDN的大規模規模可以與最大規模的DDoS攻擊的規模相匹配。 其次,IP Anycast會在多臺伺服器上傳播任何DDoS攻擊。 除了提高安全性之外,CDN還可在減少清單客戶端延遲方面發揮作用。

DDoS攻擊的數量和嚴重性每年都在增加。 全面瞭解您的所有基礎架構可能會發現提高性能和提高安全性的機會。 OTT服務必須採取措施抵禦服務中斷型DDoS攻擊,同時保持最佳性能。 將清單伺服器移到CDN後面可以實現這一目標。

讓我們評估您在OTT基礎架構中的安全需求,並建議提高保護和性能水平的方法。 立即與我們聯繫以瞭解更多資訊。