في الليلة الماضية، البث المباشر إلى ذروة بطاقة الشاشة المفاجئة في PPT، كانت الشاشة المنبثقة على الفور "مرساة مع خط أرضي مباشر؟ الشاشة، أردت حقًا أن أذهب مع كابل الشبكة إلى غرفة المشغل إلى يانغ. في هذه الأيام للقيام البث المباشر، وليس عن طريق الانهيار الجليدي DDoS يشعرون بالحرج من القول إنهم منخرطون في الإنترنت، ولكن أكثر إثارة للاشمئزاز من التعرض للهجوم - أنت تنفق المال لشراء شبكة CDN عالية الدفاع، والنتيجة هي أن الجمهور كان عالقًا في أدائهم الجماعي العابر.
في السوق تهب خدمات دفاعية عالية عالية في السوق، تسعة من أصل عشرة حتى تأثير حركة المرور الحقيقية لا يمكن أن تحمل. بعض البائعين من عقدة "الدفاع العالي" هو مجرد تحويل غرفة الهاتف المحمول المستعملة، ومهاجمة حركة المرور على 10G مباشرة مسطحة، ولكن أيضا بعض الكمون الاسمي 50 مللي ثانية الاسمية في الواقع تشغيل 200 مللي ثانية +، والجمهور منذ فترة طويلة تغيير المحطة، كنت لا تزال هناك لتغذية تغذية تغذية اختبار تغذية الميكروفون ذلك.
آخذ متوسط منصتهم اليومي 3 ملايين عمل حقيقي عبر الإنترنت كخنزير غينيا، 30 يومًا متتاليًا بالتناوب بين خمسة مزودي خدمة رئيسيين، قد تسيء بيانات الاختبار إلى الناس ولكن يجب أن تقول الحقيقة:الكمون أقل من 80 مللي ثانية صحيح - شبكة CDN المباشرة، لمقاومة الهجوم أقل من 800 جيجابت في الثانية هي مجرد عملية أساسية، يمكن أن تتيح لك اللحظة الحرجة أن تكون على الهواء مباشرة من البث الإخباري لا تزال مستقرة لتعتبر موثوقة!。
أولاً، سأعطي الخاتمة للحقيبة الكسولة.إن مقاومة CDN5 الشاملة هي الأنسب للبث المباشر للألعاب، وخطوط CDN07 العابرة للبلدان هي الأنسب للميكروفونات الخارجية، و 08Host الفعالة من حيث التكلفة تسمح للمنصات الصغيرة بأخذ قسط من الراحة. ومع ذلك، إذا كان مذيعك "يحظى بعناية خاصة" من قبل أقرانه كل يوم، فمن المستحسن أن تنظر مباشرةً إلى الحل السحري في نهاية المقال.
لماذا تعد شبكة CDN المباشرة أغلى بعشر مرات من خدمات التسريع العادية؟ أولاً، تكون حركة المرور مفاجئة - ملك المعركة الجماعية عندما يمكن أن يرتفع حجم طلب بيانات الجمهور 400%، تليها متطلبات الوقت الحقيقي، سيظهر تأخير نقل الفيديو لأكثر من 100 مللي ثانية عدم تطابق الصوت والفيديو، ناهيك عن أولئك الذين يختارون وقت PK لبدء الهجوم الموجه.
جاءت الحفرة الأولى للاختبار الفعلي من بائع يعلن عن "دفاع فائق السرعة 1 تيرابايت في الثانية". وقد حمل اختبار الهجوم 600 جيجابت من تدفق SYN، لكن دفق الدفع المباشر علق فجأةً في معدل البتات الغوص. وجد التقاط الحزمة أن استراتيجية التنظيف الخاصة بهم عنيفة للغاية، كما يتم التعامل مع دفق الفيديو العادي على أنه حركة مرور غير طبيعية للحد من السرعة. اقترحت خدمة العملاء الفنية في الواقع أن "أخفض معدل الشيفرة لتيار الدفع للتكيف مع استراتيجية الحماية"، ومزقت طلب الرسوم السنوية على الفور.
الآن مشاركة البيانات الواقعية (جميع الاختبارات مبنية على نفس عرض النطاق الترددي جيجابت، وبيئة دفع البث 1080p60 إطارًا في الثانية):
CDN5يبلغ التأخير في عقدة بكين 67 مللي ثانية، وعقدة قوانغتشو 72 مللي ثانية، وعقدة لوس أنجلوس 158 مللي ثانية. 650 جيجابت في الثانية تم الدفاع عن الهجوم الهجين بنجاح في اختبار مكافحة الهجوم، وتذبذب التأخير خلال الفترة 13 مللي ثانية فقط.
CDN07اليابان وسنغافورة عقدة الكمون المضاد للعقدة، على التوالي، فقط 89 مللي ثانية و101 مللي ثانية. مناسبة بشكل خاص لجمهور جنوب شرق آسيا أكثر عرضًا مباشرًا، قدرة هجوم CC من أقوى الخمسة، ولكن لا يمكن أن تحمل هجوم الفيضانات لحركة المرور الكبيرة، واجهت أكثر من 800G مباشرة تسبب ثقبًا أسود لمدة 30 دقيقة.
08المضيف: السعر هو فقط متوسط سعر الصناعة 60%، وأداء زمن الاستجابة المعتدل (العقد المحلية 85-110 مللي ثانية)، ولكن الجدولة الذكية للقيام بجدولة مذهلة - الجدولة التلقائية لمستخدمي دلتا نهر اللؤلؤ إلى عقدة هونغ كونغ، وقطع الحديد الشمالي الشرقي إلى عقدة سيول، مع خطوط عبر الحدود لمواجهة الازدحام المحلي، هذه الموجة من التشغيل تستحق شراب كوبين.
المنصتان المتبقيتان اللتان لا تذكران أسماء، واحدة في ذروة الكمون المسائي ارتفعت إلى 380 مللي ثانية لا يزال من الصعب القول إنها مشكلة المشغل، والأخرى أكثر يأسًا - بعد الهجوم مباشرة إلى الخادم الافتراضي، فإن عنوان IP الأصلي عاريًا تقريبًا على الإنترنت. أقترح بصدق أن هؤلاء البائعين لبيع البطاطا الحلوة، لا تأتي إلى آفة الصناعة الحية.
CDN عالي الدفاع فقط انظر إلى معلمات الدعاية التي صعدت على معلمات الدعاية تمامًا ، يجب أن تحدق في التفاصيل الأساسية الثلاثة:جودة خط BGP، وتنظيف موقع نشر مجموعة BGP، وذكاء سياسة العودة إلى المصدر"العقدة العالمية" للعديد من البائعين هي في الواقع غرفة خادم أحادية الخط مستأجرة. إن "العقد العالمية" للعديد من البائعين هي في الواقع غرف خوادم أحادية الخط مستأجرة، كما أن طرق الإرسال عبر الحدود أبعد من طريق الحرير.
شارك درسًا مبكيًا: في العام الماضي، منصة لشراء العقد لإرسال الدفاع العالي، جاءت نتائج الهجوم مباشرة إلى قطع لي مباشرة إلى غرفة الآلات الأمريكية، وتجاوز الجمهور المحلي جميعًا مشاهدة معالم المحيط الهادئ. الآن قبل التوقيع على العقد يجب أن تسمح خدمة العملاء بتوفير خريطة تتبع التوجيه، وتجرؤ على الحصول على "202.97.."التمريرات المباشرة لعقد المقاطع المزدحمة في هذه الشبكات الأساسية.
ما ينقذ الأرواح في الممارسة العملية غالباً ما يكون التكوين التفصيلي. على سبيل المثال، بعد تشغيل "الوضع المباشر" في خلفية CDN5، تحتاج إلى ضبط حجم نافذة TCP وسياسة إعادة الإرسال UDP يدويًا:
لا تنظر إلى مجرد ميلي ثانية من ضبط المعلمات ، يمكن أن تقلل ساعات الذروة المسائية من 40% من التأخير وإعادة الاتصال. بالإضافة إلى ذلك، تأكد من إيقاف تشغيل وظيفة "الضغط الذكي" الخاصة ببائع CDN - تدفقات الفيديو بعد خطأ معدل بت الضغط الثاني، تكون الشاشة موحلة لدرجة أن جفون المرساة لا تستطيع الرؤية.
يجب ألا تؤمن مقاومة DDoS بهراء "الحماية غير المحدودة". فقد وجد الاختبار الفعلي أن ادعاء بائعي الحماية غير المحدودة قد وصل إلى 1.2 تيرابايت في الثانية مباشرةً إلى جميع الموظفين الذين فقدوا حزمًا 901 تيرابايت في الثانية، أما السيناريوهات الحقيقية التي تقل عن 300 جيجابت في الثانية فقد بلغت 951 تيرابايت في الثانية، لذا فإن خيار التركيز على دقة التنظيف في نطاق 100-500 جيجابت في الثانية، بدلاً من السعي الأعمى وراء الأرقام الفلكية.
علّمك حيلة: اطلب من البائع تقديم عينات من تقارير التنظيف، مع التركيز على المعدل الإيجابي الكاذب (معدل القتل الكاذب). لقد رأيت أن الأكثر فظاعة يمكن أن يكون 30% المستخدمين العاديين كاعتراض للهجوم، يمكن التحكم في أفضل قليلاً عند 0.5% أدناه. بالإضافة إلى ذلك، يجب تأكيد ما إذا كان يجب توفير مرافقة يدوية على مدار 24 ساعة، منتصف الليل عندما يتم ضرب خدمة العملاء الروبوت من الجمهور انزلق بشكل أسرع.
الآن بالنسبة للسعر النعناع البري. قد تبدو الحزمة الأساسية للمنصة بقيمة 19999 رنمينبي/شهرًا رخيصة، ولكن "حركة المرور الزائدة" تُحاسب بـ 15 رنمينبي/شهر. الآن اختر فقط باقة حركة المرور غير المحدودة، على الرغم من أن سعر الوحدة مرتفع، ولكن النوم ثابت.
08Host لحمل حركة المرور اليومية، وواجهت CDN5 كعقدة احتياطية تدفقًا كبيرًا من الهجمات من خلال قطع DNS الثاني. النقطة الأساسية في التكوين هي أنه يجب الضغط على TTL في غضون 30 ثانية:
قد يلعنني المصنعون الآخرون عندما يعرفون هذه الحيلة، لكنها تتيح لك حقًا تحقيق حماية بقيمة 500,000 دولار بميزانية قدرها 200,000 دولار. عملية التبديل الفعلية لا معنى لها بالنسبة للجمهور، وحتى النوافذ المنبثقة لا تنكسر.
تلخيص نظرية العاصفةإن جوهر شبكات CDN عالية الدفاع هو الرهان على الاحتمالات - الرهان على أن الهجوم لن يتجاوز قدرة التنظيف، الرهان على أن الخط لن يزدحم فجأة، الرهان على أن الفتى التقني للبائع لم يغفو!لذا، إما أن تشتري الخدمة الأعلى لتستلقي وتتركها تتمزق، أو أن توزع المخاطر باستخدام حل تقني. لذا، إما أن تشتري الخدمة الأفضل وتستلقي وتتركها تنهار، أو تستخدم حلاً تقنياً لتوزيع المخاطر. سأشاركك كيفية استخدام WebRTC ثانية مع شبكات CDN التقليدية عندما أنتهي من اختبار حل الحوسبة المتطورة الجديد الشهر المقبل.
قبل المغادرة لقول حقيقة كبيرة: الآن حول 70% التأخر المباشر ليس مشكلة في النطاق الترددي على الإطلاق، ولكن خطأ تكوين شهادة SSL، مهلة استعلام DNS هذه العملية التورتة. تحقق من أن إصدار TLS الخاص بك لا يزال متوقفًا في 1.1، وإعدادات مهلة البقاء على قيد الحياة لخادم Node.js لا تزيد عن 3 ثوانٍ - قم بتغييرها بدلاً من تغيير CDN المفيد عشر مرات.
(بيانات الاختبار اعتبارًا من مايو 2024، تتغير إجراءات البائعين كل شهر، تذكر أن تلتقط الحزمة أولاً)
