في الآونة الأخيرة ، ركض العديد من الأصدقاء الذين يقومون بالمنصات الاجتماعية ليسألوني ، CDN عالي الدفاع في النهاية كيف أختار ، السعر ليس كل شيء مثل الأسطورة مخيفًا جدًا. لأكون صريحًا، في المرة الأولى التي اتصلت فيها بهذه القطعة من الوقت الذي كنت مرتبكًا أيضًا، تبدو قائمة عروض البائعين مبهرة، من بضعة آلاف إلى مئات الآلاف من الكل، في النهاية أيهما في متناول الجميع، ما هي ضريبة الذكاء؟ اليوم سأجمع اليوم بين الحفرة التي خطوت عليها وبيانات الاختبار الفعلية، وأفتحها وأتحدث عن هذا.
أولاً صب أواني من الماء البارد: لا تصدق تلك الكلمات الشبحية “الدفاع غير المحدود” “لا تعطل أبدًا”. هذا الخط من الماء عميق جدًا، بعض البائعين إلى دفاع 5 جيجابت في الثانية الذي يحمل علامة بيع 100 جيجابت في الثانية، تم ضربه مباشرةً لك مباشرةً إلى المصدر، والبكاء بعد فوات الأوان. لقد اختبرت إحدى الخدمات التي تدعي “تجاهل أي هجوم”، نتيجة هجوم بسيط على الدفاع المعطل - ووجدت لاحقًا أنهم لم يقوموا حتى بالتحليل السلوكي الأساسي.
إن تكلفة الدفاع عن الأعمال التجارية الاجتماعية هي في الأساس دفع تكلفة الارتفاع الهائل في حركة المرور. الوصول العادي للمستخدمين هو منحنى سلس، ولكن حركة المرور الهجومية تشبه الموجة الزلزالية، حيث ترتفع بشكل فوري. وتتمثل القيمة الأساسية لشبكة CDN عالية الدفاع في استيعاب هذه الحركة الشاذة في العقد الطرفية وعدم السماح لها بالوصول إلى خوادم المصدر. وهنا ينطوي الأمر على تكلفتين أساسيتين: تكاليف النطاق الترددي وتكاليف التنظيف.
تبحث تكاليف النطاق الترددي في حركة المرور العادية للأعمال وعادةً ما تتم محاسبتها على 95 ذروة في الشهر أو بمجموع شهري. تكلفة التنظيف هي الدفع مقابل القدرة الدفاعية، ويتم محاسبة التيار الرئيسي الحالي حسب ذروة الهجوم أو شراء حزم الدفاع. على سبيل المثال: إذا كان عرض النطاق الترددي اليومي 200 ميجابت في الثانية، وفي يوم ما واجهت فجأة هجوم DDoS بمعدل 300 جيجابت في الثانية، فإن معيار الفوترة يعتمد على قدرة التنظيف بمعدل 300 جيجابت في الثانية لحسابها، حتى لو استمر لمدة 5 دقائق فقط.
والآن ننتقل إلى الأمور الحقيقية. لقد سحبت عروض أسعار من ثلاثة بائعين شائعين للمقارنة (CDN5، CDN07، 08Host)، وجاءت البيانات من اختبار حقيقي العام الماضي عندما ساعدت منصة وسائط اجتماعية معينة للصوت/الفيديو في اختيار نموذج:
CDN5:: مناسبة للسيناريوهات التي بها الكثير من الهجمات المفاجئة. تبدأ الحزمة الأساسية من 20,000 دولار شهرياً، بما في ذلك عرض نطاق ترددي بسرعة 200 ميجابت/ثانية ودفاع بسرعة 200 جيجابت/ثانية. تتم فوترة حركة مرور التنظيف الزائدة بسعر 0.8 دولار/غيغابت في الثانية/ساعة. الميزة الأكبر هي أن هناك العديد من العقد العالمية، ووقت استجابة منخفض في جنوب شرق آسيا، ولكن عدد طلبات HTTP/HTTPS يُحسب لشيء آخر، ومكالمات واجهة برمجة التطبيقات متكررة ومن السهل أن تتجاوز الميزانية.
CDN07:: استراتيجية دفاعية أكثر قوة، مناسبة للتطبيقات الاجتماعية المالية. الحزمة الأساسية هي 35000 في الشهر بنطاق ترددي 300 ميجابت في الثانية + 300 جيجابت في الثانية دفاع، وتتميز بجدار حماية تطبيقات الويب الخاص بها، والذي يمكنه منع معظم هجمات CC. لقد اختبرت خوارزمية الذكاء الاصطناعي الخاصة بهم، ويمكن أن يصل معدل التعرف على الهجمات البطيئة إلى 90%، ولكن عدد العقد صغير، وزمن وصول المستخدم الأمريكي مرتفع.
08المضيفالخيار الأول للمنصات الاجتماعية الصغيرة والمتوسطة الحجم هو 15,000 دولار شهريًا للنطاق الترددي 100 ميجابت في الثانية + 100 جيجابت في الثانية للدفاع، و 0.5 دولار فقط/جيجابت في الثانية/ساعة لتكاليف التنظيف الزائدة. أهم ما يميزه هو التوفير المجاني لإدارة الشهادات و WAF الأساسي، ولكن مقاومة العقدة لهجمات حركة المرور الكثيفة ستؤدي أحيانًا إلى تشغيل آلية الانهيار، تحتاج إلى تكوين استراتيجية تدهور جيدة مسبقًا.
فيما يلي مأزق يجب الانتباه إليه بشكل خاص: العديد من بائعي “الدفاع غير المحدود” في الواقع، فقط لفيضان UDP مثل سهولة تنظيف الهجوم، والهجمات التي تواجه هجمات من نوع اتصال TCP أو CC المتقدمة، يتم إلقاؤها مباشرة إلى العميل. من الأفضل ذكر نوع الدفاع ومعايير التعويض بوضوح في العقد.
مثال التكوين في الواقع ليس بهذا التعقيد، فالأساس هو جدولة حركة المرور الجيدة. أود مشاركة برنامج نصي Nginx+Lua الذي أستخدمه عادةً لتحديد حركة المرور الشاذة والتبديل إلى عقدة التنظيف:
يعتمد التحكم الفعلي في التكلفة الفعلية أيضًا على خصائص العمل. يمكن أن تكون تكلفة الدفاع للدردشة النصية البحتة والبث الصوتي/المرئي مختلفة 10 مرات. الأول هو بشكل أساسي لمنع هجمات CC، وعدد الطلبات في الثانية (RPS) هو مؤشر رئيسي؛ أما الأخير فيجب أن يحمل هجمات فيضان UDP وهجمات انعكاس DNS، وتكلفة النطاق الترددي هي رأس كبير. وبمجرد أن يستخدم العميل من أجل توفير المال فقط الدفاع الأساسي، كانت نتائج البث المباشر اختراق هجوم UDP بسرعة 30 جيجابت في الثانية، وخسارة وقت التوقف عن العمل ليوم واحد أعلى من ميزانية الدفاع السنوية.
أوصي بصدق لرؤساء الأعمال الاجتماعية: خصصوا على الأقل 10% ميزانية تقنية للحماية الأمنية. لا تنظر إلى الأعمال هادئة الآن، عندما يتم استهدافها حقًا، لن يكون الشراء المؤقت للخدمات هو الثمن. في العام الماضي، كانت منصة المواعدة هي المنافسين الذين لعبوا مجموعة من التركيبات، وشراء مؤقت لـ 500 جيجابت في الثانية الدفاع، يوميًا لحرق 200,000 - ما يكفي لشراء حزمة لمدة عام كامل.
أخيرًا، نظرية استبدادية: في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”. فبعض البائعين ليس لديهم ما يكفي من العقد لاستئجار نطاق ترددي مستعمل، وعندما يتم ضربهم، ينهار الحمل الزائد للرابط مباشرة. من الأفضل طلب مخططات طوبولوجيا العقدة ومعلومات بث BGP عند اختيار نموذج، ولكن أي تعثر يمر مباشرة.
وخلاصة القول، لا توجد إجابة قياسية لشبكة CDN الاجتماعية عالية الدفاع، المفتاح للنظر في سيناريوهات العمل وخصائص الهجوم. المنصات الصغيرة أولاً 08استضافة مثل هذه الخدمات الفعالة من حيث التكلفة، والنشاط اليومي لأكثر من مليون ثم النظر في CDN5 تحسين الارتباط الكامل، والطلب على المستوى المالي ثم النظر في CDN07. السعر من الدفع الشهري من بضعة آلاف إلى مئات الآلاف من المعقول، ولكن تذكر: جوهر الدفاع هو تحويل التكاليف، تكلفة الهجمات التي لا يمكن السيطرة عليها إلى ميزانية حماية يمكن التحكم فيها، الأمر يستحق المال المنفق.
إذا عرض عليك أحد البائعين حقًا رسومًا سنوية بقيمة مليون دولار، فما عليك سوى صفع هذه المقالة في وجهه - ما لم يكن بإمكانه توفير تنظيف شبه عسكري من الدرجة العسكرية واستجابة 7 × 24 ثانية، فكل هذا هراء.
