《张云乐:多媒体云公共资源化之后与资源盗用滥用者的攻防(23页).pdf》由会员分享,可在线阅读,更多相关《张云乐:多媒体云公共资源化之后与资源盗用滥用者的攻防(23页).pdf(23页珍藏版)》请在三个皮匠报告上搜索。
1、多媒体云公共资源化之后北京弹幕网络科技有限公司 CTO 张云乐与资源盗用滥用者的攻防云资源的盗用问题云服务的公共资源化反盗用的基本原理A站与盗用者的攻防反盗用技术的未来2 3 4 51服务的公共资源化多媒体云已经具有了公共资源属性主要特点说明电力视频云简单通用使用的人群够大才能形成规模效应只要电压正确,所有电器即插即用任何OS、任何浏览器均可简单接入统一获取标准统一才能服务大量不同的使用者通过标准插座获取通过标准API/SDK访问按需付费用多少付多少按度(千瓦时)计费按流量计费公共资源的特征主要特点说明电力视频云简单通用所以有盗用价值电力堪称现代文明的基础视频云已经成为视频服务商的基石统一获取
2、盗用者了解获取和使用方式接对了零线火线就可以用电了视频云服务大量网站,接口必须统一按需付费依赖于某种计费工具电表会被改造和绕过验证机制会被攻破公共资源的盗用问题云资源的盗用问题盗链已经形成了产业盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它服务提供商的最终用户界面,直接在自己的网站上向最终用户提供其它服务提供商的服务内容,获取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。什么是盗链盗链是个老问题互联网资源的盗用远在云的概念出现以前盗链对视频网站是大问题损失的不只是带宽,还有内容 一批人有技术实力,能够解析出会员视频网址,专注提供稳
3、定接口,供站长们使用 一批人没有技术实力,找个开源播放器,套用前者提供的解析接口播放,专注推广,获取流量 最后,是大家熟悉的流量商贩,负责把流量变现,形成利益链盗链黑产的专业化视频盗链已经实现了专业分工和产业链反盗用的基本原理谁是真正的用户 所有发送到浏览器运行的代码都是不可信的 浏览器本身的行为是可依靠的 互联网的基础信息是可信的信任的边界真正的用户的判断依据CDN带来的问题提供视频内容的系统和提供网站服务的系统是分离的 视频云本身无法获知用户在网站的状态 必须要在网站和视频云之间建立信任关系视频云要服务于多家不同的客户 系统运作机理无密可保 一些基本流程难以为用户进行个性化调整视频云反盗链
4、的难点A站与盗用者的攻防魔高一尺道高一丈基于密钥的防护机制出发的原点 网站和视频云各自持有主密钥PrimaryKey以互相验证 网站利用PrimaryKey生成v有时效性的vkey以防泄露 网站生成的vkey是加密的,客户端用ckey和特殊算法解密出vkey结果:解密模块被人找到出入口,直接被整体引用,类似算号器的原理用户来源的识别 根据RFC 2616 14.36,浏览器可以发送Referer信息表明当前访问地址的来源。事实上,现代浏览器也都会发送此信息。接口HTTPS化防止盗链商利用RFC 2616 15.1.3 的规则丢弃Referer。根据User Agent屏蔽了一些明显的下载器结果
5、:被人用代理方式攻破狡猾的代理模式魔高一尺 盗链代理完全模拟了正常客户端的所有验证动作 把获取到的vkey下发给流量方客户端 盗链代理会在有效期内缓存vkey,降低被发现的几率要点:代理与网站通信,客户端与视频云通信。而网站与视频云分属两个系统,互不知情。强大的二次鉴权道高一丈 通过二次鉴权打通了视频云和网站间的联系 网站通过Session信息验证播放媒体流的用户在网站的身份状态 根据RFC 6265 Cookie不能跨域传递,所以盗链代理无法下发SessionID敬业的盗链商小插曲背景:为了分配汇总流量方便,我们在视频云上并非真的依靠域名分配流量,而是依靠URL中的path。事实上有的CDN
6、干脆用IP访问边缘节点。漏洞:1.盗链代理注册 2.盗链代理注册 并且CNAME到 3.盗链代理把下发的播放地址中的替换为4.盗链代理把从获得的Cookie下发到* 无止境的斗争 盗链代理代替用户播放,并把获得的视频流再下发给用户 改用官方视频分享播放器或是分享接口 在用户端加装插件或是脚本以改变浏览器行为没有一劳永逸的方法反盗用技术的未来与大数据、人工智能等新技术的结合客户端的特点 客户端的用户获取成本高,需要取得用户信任 客户端可以模拟一切数据传输 浏览器被普遍封杀后,用户可能被动转向客户端前文忽略的客户端终极的解决方案用户行为分析 二次回源鉴权打通了视频云和网站间的联系 利用各种大数据工具分析用户行为数据 利用机器学习、人工智能等先进工具识别异常用户