串流防盜用
串流防盜用
串流的保護工作除了驗證外,比你想的還要更多,一般基本的驗證不外乎就是是用戶或者 Token 的限定,但是在 Internet 上面來說是遠遠不夠的
1. 線路斷訊備用 : 在跨國服務中最常發生就是海纜有問題或者是頻寬阻塞,為了保證串流正常推用與發布,必須要有備用的訊號來源,一般我們會採用雙串流備用,或者是將各頻道交插在 4-5 路的路由主機,讓線路斷訊時不會造成所有頻道的斷訊,而也因為這樣也會造成一些成本上面的增加
2. 即時封鎖 : 在第一時間發現有異常串流輸出或者是異常連接時,就需要馬上將該 session 給斷開,並封鎖該來源 IP 及帳號,這樣可以在流量發生異常時作處理
3. 串流出流套餐驗證 : 用戶的帳號密碼是基本款,還有該用戶是否有盜用其他套餐的驗證,之前有很多大哥很喜歡作免費收視頻道,結果一堆人都用免費收視頻道的方便性通過驗證,然後因為串流沒有再作二次的套餐驗證,活生生的就全部免費了,所以在每個頻道出流前一定要作二次的套餐驗證
4. 串流出流的 IP 驗證 : 當有一個用戶在網路上面來了 10-20 個 IP 時,那就代表說你的串流被盜了,這個問題需要在串流主機上面持續紀錄來源 IP ,如果只有開放兩個設備可以用,那超過部份的 IP 就不可以出流,如果還是出流的話,就只要到網路上面公告播放地址就可以盜到訊號
5. 串流出流的用戶驗證 : 除了使用者的帳號與密碼外,用戶的唯一性要確認,不可以因為有了帳號與密碼就到處可以播放串流,那就失去保護的意義
6. 串流主機 : 因為 IPTV 的大量併發及傳輸,再 Linux 底層需要作修改,讓 TCP/IP 運作及主機運作順暢,還有驗證資料庫主機的 Cache,如果不開大的話,應該是頂不住大量的用戶使用
7. DDos : 為了保護串流主機群的安全,上 CDN 及分散多台主機及地點是必需要的,因為沒有分散的話很容意就因為單點攻擊而造成系統停服
8. 傳輸加密 : 串流的地址及帳號密碼被盜都是常見的問題,所以必須在取得資料前就將該資料加密,AES 128 是一個不錯的方式,因為需要有動態 Key 才能夠解,如果沒有的話就無法解,再加上動態的密碼,動態的 IV,這樣可以確保當節目地址流出後,第一時間失效,也不用怕到處論壇都是被盜的播放地址
9. 推流驗證 : 為保護串流主機及不被竄改的情況下,RTMP 的推流需要經過驗證保護後才能夠推流成功,不然隨便阿貓阿狗都可以在知道主機位址後就把串流打上去
10. 主機系統安全防護 : 目前全系統都採用 Linux 主機平台,主要是因為資源吃的比 Window 少,且大部份 Open Source 的程式都在在 Linux 上面運行,再加上不需要版權這一點,我們全面服務都是採用 Linux 系統,在主機上面需要作到幾點 : (1) 將不需要的服務關閉 (2) 開啟防火牆只有將需要用到的 port 打開 (3) 保持更新 (4) 使用安全的系統套件源頭更新如 epel-release (5) 給串流主機足夠的 CPU 及 RAM
11. 平行併發 : 因為大部份的 RTMP 或者是串流服務都是單一行程,如果想要服務更多客戶的話就需要將原本程式平行併發,一般我們在主機上面會啟用 10-15 個 Process 分別監聽或者是統一監廳一個使用 Port,用以擴充單一程序的不足
12. 主機連接安全限定 : 之前有遇過很多服務商,因為工程師操作完系統後忘了開啟防火牆,造成整台主機被盜用,所以應該是全部封鎖連接 IP ,然後限定可以使用的 IP ,這樣就不會有忘記的狀況發生,當然很多主機都會用 SSH Key 的方式直接登入,但是如果 KEY 被盜用的話,你的主機就謝謝再聯絡了.
13. 工程師資安教育 : 不要相信在網路上面與你聯絡的任何一個人,駭客可以透過 QQ WeChat Line … 等通訊軟體,入侵或者盜用工程師的電腦,當取得電腦控制權後,工程師所控制的所有主機將會被完全盜用,不要相信任何防毒軟體或者防木馬軟體可以保護你,都是沒用的,除非你遇到是很 Low 的駭客
We're Here To Help!
Office
10365 台北市大同區
民族西路76巷12弄10號1樓
Hours
M-F: 9am – 7pm
S-S: Closed
Call Us
(02) 2585-2581 ext 11 Mr. Lin