串流防盜用

串流防盜用

串流的保護工作除了驗證外，比你想的還要更多，一般基本的驗證不外乎就是是用戶或者 Token 的限定，但是在 Internet 上面來說是遠遠不夠的

1. 線路斷訊備用 : 在跨國服務中最常發生就是海纜有問題或者是頻寬阻塞，為了保證串流正常推用與發布，必須要有備用的訊號來源，一般我們會採用雙串流備用，或者是將各頻道交插在 4-5 路的路由主機，讓線路斷訊時不會造成所有頻道的斷訊，而也因為這樣也會造成一些成本上面的增加

2. 即時封鎖 : 在第一時間發現有異常串流輸出或者是異常連接時，就需要馬上將該 session 給斷開，並封鎖該來源 IP 及帳號，這樣可以在流量發生異常時作處理

3. 串流出流套餐驗證 : 用戶的帳號密碼是基本款，還有該用戶是否有盜用其他套餐的驗證，之前有很多大哥很喜歡作免費收視頻道，結果一堆人都用免費收視頻道的方便性通過驗證，然後因為串流沒有再作二次的套餐驗證，活生生的就全部免費了，所以在每個頻道出流前一定要作二次的套餐驗證

4. 串流出流的 IP 驗證 : 當有一個用戶在網路上面來了 10-20 個 IP 時，那就代表說你的串流被盜了，這個問題需要在串流主機上面持續紀錄來源 IP ，如果只有開放兩個設備可以用，那超過部份的 IP 就不可以出流，如果還是出流的話，就只要到網路上面公告播放地址就可以盜到訊號

5. 串流出流的用戶驗證 : 除了使用者的帳號與密碼外，用戶的唯一性要確認，不可以因為有了帳號與密碼就到處可以播放串流，那就失去保護的意義

6. 串流主機 : 因為 IPTV 的大量併發及傳輸，再 Linux 底層需要作修改，讓 TCP/IP 運作及主機運作順暢，還有驗證資料庫主機的 Cache，如果不開大的話，應該是頂不住大量的用戶使用

7. DDos : 為了保護串流主機群的安全，上 CDN 及分散多台主機及地點是必需要的，因為沒有分散的話很容意就因為單點攻擊而造成系統停服

8. 傳輸加密 : 串流的地址及帳號密碼被盜都是常見的問題，所以必須在取得資料前就將該資料加密，AES 128 是一個不錯的方式，因為需要有動態 Key 才能夠解，如果沒有的話就無法解，再加上動態的密碼，動態的 IV，這樣可以確保當節目地址流出後，第一時間失效，也不用怕到處論壇都是被盜的播放地址

9. 推流驗證 : 為保護串流主機及不被竄改的情況下，RTMP 的推流需要經過驗證保護後才能夠推流成功，不然隨便阿貓阿狗都可以在知道主機位址後就把串流打上去

10. 主機系統安全防護 : 目前全系統都採用 Linux 主機平台，主要是因為資源吃的比 Window 少，且大部份 Open Source 的程式都在在 Linux 上面運行，再加上不需要版權這一點，我們全面服務都是採用 Linux 系統，在主機上面需要作到幾點 : (1) 將不需要的服務關閉 (2) 開啟防火牆只有將需要用到的 port 打開 (3) 保持更新 (4) 使用安全的系統套件源頭更新如 epel-release (5) 給串流主機足夠的 CPU 及 RAM

11. 平行併發 : 因為大部份的 RTMP 或者是串流服務都是單一行程，如果想要服務更多客戶的話就需要將原本程式平行併發，一般我們在主機上面會啟用 10-15 個 Process 分別監聽或者是統一監廳一個使用 Port，用以擴充單一程序的不足

12. 主機連接安全限定 : 之前有遇過很多服務商，因為工程師操作完系統後忘了開啟防火牆，造成整台主機被盜用，所以應該是全部封鎖連接 IP ，然後限定可以使用的 IP ，這樣就不會有忘記的狀況發生，當然很多主機都會用 SSH Key 的方式直接登入，但是如果 KEY 被盜用的話，你的主機就謝謝再聯絡了.

13. 工程師資安教育 : 不要相信在網路上面與你聯絡的任何一個人，駭客可以透過 QQ WeChat Line … 等通訊軟體，入侵或者盜用工程師的電腦，當取得電腦控制權後，工程師所控制的所有主機將會被完全盜用，不要相信任何防毒軟體或者防木馬軟體可以保護你，都是沒用的，除非你遇到是很 Low 的駭客