في الآونة الأخيرة لمساعدة العملاء على التعامل مع حدث DDoS، اندفع الهجوم في ذروته إلى 800G، مما أدى إلى شلل محطة المصدر مباشرةً. اتصل بي مهندس الطرف الآخر في منتصف الليل وسألني: “هل هناك شبكة CDN عالية الدفاع موثوقة يمكن توصيلها على الفور؟ --هذه بالفعل المرة الثالثة هذا العام التي أسمع فيها طلبًا مماثلًا للمساعدة. السوق مليء بالمنتجات عالية الدفاع، ولكن يمكن أن تقاوم حقًا تدفق الآلاف من فئة G القليلة، حتى أن بعضها يلعب لافتة ”الدفاع غير المحدود“، الهجوم الفعلي مباشرة في الثقب الأسود 48 ساعة.
لقد تعاملت مع اختبار ما لا يقل عن 20 شبكة CDN محلية، ووطأت على حفر أكثر من دعاية بعض البائعين. اليوم أتخلص اليوم مباشرةً من البضائع الجافة، من الأبعاد الثلاثة لفعالية الدفاع، وأداء التسارع، وفخاخ الأسعار، ومزودي الخدمة الخمسة الذين يمكنهم حقًا التغلب على أشعل النار لك.
لنبدأ بتفنيد بعض الأوهام الشائعة: لا تؤمن بـ “الدفاع على مستوى T” هذا النوع من أرقام التسمية الزائفة، مستوى الاختبار الحقيقي هو دقة التنظيف واقتران الأعمال. أعلن البائع عن دفاع 600G، وأدى الاختبار الفعلي لـ 300G إلى ثقب أسود عالمي، وخدمة العملاء هي أيضًا كلمة قوية “يوصى بالترقية إلى الإصدار المخصص للمؤسسات”. والأمر الأكثر فظاعة هو أن بعض “عقدة تسريع CDN” هي ببساطة تباطؤ عكسي - جدولة المستخدم الجنوبي إلى العقدة الشمالية الشرقية، ارتفع التأخير مباشرة إلى 200 مللي ثانية +.
وجد الاختبار الفعلي أن المؤشرات الأساسية لشبكات CDN عالية الدفاع هي ثلاثة: تأخير التنظيف (لتحديد تجربة المستخدم)، وقدرة التوسع المرنة (للتعامل مع حركة المرور غير المتوقعة)، وذكاء قاعدة القواعد (للحد من عمليات القتل الخاطئة). تم اختبار الخمسة التالية والتحقق من اللاعبين المتشددين:
الحقيقة الكبيرة الأخيرة: لا توجد شبكة CDN يمكنها منع جميع الهجمات 100%، لقد رأيت ميزانية 200 يوان لصدّ حركة مرور 2000G من الهجوم، هذه المرة للاعتماد على التكرار المعماري - مع استراتيجية متعددة السحابة لنشر الأعمال على شبكات CDN 2-3، التأثير الحقيقي للحماية = قدرة المنتج × مستوى التشغيل والصيانة، بل والأفضل! لن ترى CDN مع مستوى التشغيل والصيانة أن المراقبة غير مجدية أيضًا.
إذا كنت ترغب حقًا في الاختبار، فمن المستحسن أن تفتح أولًا حزمة مدفوعة الأجر لمحاكاة الهجمات: هجمات CC باستخدام pycurl لإنشاء ملايين الطلبات، و DDoS باستخدام scapy لإنشاء حزم مشوّهة، واختبار استراتيجيات جدولة العقدة ودقة التنظيف. لا تنسَ التحقق من توافق الشهادات وثبات واجهة واجهة برمجة التطبيقات، فهذه هي المشاكل التي ستقتلك في العالم الحقيقي.
الآن أنت تعرف لماذا يتجرأ بعض البائعين على بيع دفاع بقيمة 1$/ج. فإما أن يكون البيع المفرط للموارد، أو استراتيجية الثقب الأسود جذرية. تذكّر: جوهر شبكة CDN عالية الدفاع هو نقل التكلفة، البائعون أموال حقيقية لشراء النطاق الترددي لبناء مركز تنظيف، السعر منخفض جداً احتمالان فقط: إما اختراق تكنولوجي، أو قطع الزوايا. خمن أيهما أكثر؟
