لقد انتهيت للتو من التعامل مع حادثة DDoS لأحد العملاء وقمت بإعداد كوب من الشاي القوي بالمناسبة. كانت رسالة نصية إنذار غرفة الخادم في الساعة 3:00 صباحًا مثل سحر الموت، ولكن هذه المرة حملت شبكة CDN عالية الدفاع لدينا بالفعل 800 جيجابت في الثانية من حركة المرور غير المتوقعة، وحتى ارتعاش الأعمال لم يظهر. لا تزال العقدة الرئيسية المجاورة للعقدة الرئيسية للملك القديم على الأرجح قيد إعادة التشغيل - في هذه الأيام، لا تفهم عرض النطاق الترددي المرن والتعبئة الذكية للتشغيل والصيانة، فهي ببساطة تستخدم عود ثقاب لدعم بوابة الخزان.
لطالما كانت حركة المرور المتدفقة أكثر من مجرد براءة اختراع لأحد عشر ضعفًا. لقد قمت بقياس منحنى حركة المرور لمنصة تجارة إلكترونية في يوم ترويجي عادي، في خمس دقائق فقط ارتفع عدد الطلبات 12 مرة، ناهيك عن هجمات CC المنظمة و DDoS النبضية. إن شبكة CDN التقليدية ذات النطاق الترددي الثابت تشبه حارة واحدة في ساعة الذروة الصباحية، مهما فعلت، لا يمكنك التحرك نصف خطوة حتى لو أطلقت بوق سيارتك إلى أشلاء. الدفاع العالي الحقيقي يجب أن يكون لديه توسع في السعة من نوع “المحولات”، وعرض النطاق الترددي المرن هو محركه الأساسي.
في العام الماضي، ساعدنا تطبيقًا ماليًا على إجراء اختبار إجهاد صعد على الحفرة. في ذلك الوقت، استخدمنا بائعًا ادّعى أن لديه “حماية غير محدودة”، ونتيجة لذلك، اندفعت حركة المرور المفاجئة إلى 200 جيجا، وانتهى وقت المصافحة المباشر للعقدة بأكملها. في وقت لاحق، وجدنا في وقت لاحق، وجدنا أن التقاط الحزمة أن تجمع النطاق الترددي الخاص بهم هو جدولة عبر المناطق، وانهارت عقد أمريكا الشمالية قبل استعارة الموارد من أوروبا، وارتفع التأخير إلى 900 مللي ثانية +. دروس الدم تخبرك:يجب أن يمكّن عرض النطاق الترددي المرن من التوسع السريع للموارد داخل العقدة الواحدةفبدلاً من ممارسة الخدعة العابرة للحدود المتمثلة في هدم جدران الماضي.
الآن يمكن للصناعة القيام بالمرونة الحقيقية، عد الأصابع لا يزيد عن خمسة. على سبيل المثال، رابط BGP الديناميكي لـ CDN07، لقد اختبرت عقدة طوكيو الخاصة بهم: في خط الأساس 100 جيجابت في الثانية عرض النطاق الترددي على أساس 300 مللي ثانية يمكن أن يتوسع تلقائيًا إلى 1.2 تيرابايت في الثانية. يتم إعطاء خدمات TCP إلى الروابط المستقرة، ويتم توجيه حركة مرور هجمات UDP إلى مركز التنظيف، ويتم إعطاء الأولوية لطلبات HTTP/HTTPS لضمان زمن انتقال منخفض.
انظر إلى بيانات أخذ عينات النطاق الترددي في الوقت الفعلي لترى أين توجد الفجوة:
لكن توسيع النطاق الترددي وحده ليس سوى حل نصف الحل. عندما هوجمت منصة فيديو العام الماضي، وعلى الرغم من صمود عرض النطاق الترددي، إلا أن دقة DNS قد تعرضت للهجوم العام الماضي. وهذا يقودنا إلى قدرة أساسية أخرى:يجب أن تمكّن أنظمة الإرسال الذكية من اتخاذ القرارات في أجزاء من الثانية عبر وصلات الشبكةأول شيء أود الحديث عنه هو كيفية استخدام نظام “موازنة التحميل العالمي”. يتباهى العديد من البائعين بـ "موازنة التحميل العالمية" التي لا تزال في الواقع تعتمد على الموقع الجغرافي للتوزيع الثابت، ولا يمكن تبديل حركة المرور غير المتوقعة.
يجب أن يكون نظام الجدولة الجيد مثل السائق العجوز الذي يقود طريقاً جبلياً - فقبل أن ترى العينان المنعطف، تكون اليدان قد بدأتا في التوجيه بالفعل. على سبيل المثال، يحسب نموذج 08Host متعدد الأبعاد لصنع القرار 12 معيارًا في نفس الوقت: جودة الارتباط في الوقت الحقيقي، وتكلفة حمل العقدة، وخصائص نوع الهجوم، بل ويتنبأ برقم AS التالي الذي قد يكون مزدحمًا. ويتيح برنامج الجدولة الخاص بهم إعادة بناء مسار الشبكة بالكامل في 0.3 ثانية، أي أسرع بأكثر من 20 مرة من الجدولة التقليدية لنظام أسماء النطاقات.
إليك مقارنة لوقت استجابة الجدولة من الاختبار الذي أجريته الشهر الماضي:
لا تثق بأولئك البائعين الذين يتخلصون فقط من حلول تحسين TCP. ذات مرة تم خداع أحد العملاء بشراء “التحسين الحصري لمكدس البروتوكول”، وكانت النتيجة أنه عند مواجهة هجمات فيضان SYN، تجاوز عدد الاتصالات الجديدة في الثانية الواحدة 800,000 اتصال، ومن ثم كسر الدفاع مباشرة. يجب أن يلعب الدفاع العالي الحقيقي مجموعة من اللكمات: لا غنى عن عرض النطاق الترددي المرن لحماية السعة، والجدولة الذكية لحماية المسار، وتحسين البروتوكول لحماية كفاءة الطبقات الثلاث.
لقد وجدت ظاهرة مثيرة للاهتمام في المعركة الفعلية: العديد من حركة المرور الهجومية تتخفى الآن على أنها أعمال عادية. واجهت الأسبوع الماضي هجوم CC الأسبوع الماضي على تقليد نمط طلب واجهة برمجة تطبيقات الفيديو القصيرة، 2 مليون طلب في الثانية مع رمز مصادقة صالح. هذه المرة توسيع النطاق الترددي الخالص ولكن هذه المرة سيساعد الشر، يجب أن يعتمد على محرك التحليل السلوكي في طبقة الجدولة لاعتراضه. حل CDN07 هو توسيع مرونة وحدة الكشف عن الذكاء الاصطناعي المثبتة على القناة، وتوسيع النطاق الترددي لا يذهب إلى مجموعة التنظيف مباشرة إسقاط الحزم، وهو أمر موثوق به حقًا.
لإعطاء عينة من التهيئة، إليك تطبيقنا للنطاق الترددي المرن + الجدولة الذكية للوظائف المرتبطة على CDN5:
أخيرًا، أود أن أوضح نقطة شنيعة: أي شخص لا يزال يجرؤ على استخدام حزمة النطاق الترددي الثابت في عام 2024 هو إما رجل أعمال أو محارب حقيقي. لقد تعاملت مع التحقيق في حادثة التسريب، ثلاث مرات على الأقل لأنهم لم يتمكنوا من فتح النطاق الترددي المرن، تم كشف عنوان IP الخاص بالمحطة المصدر بعد هجوم النبض. الآن CDN07 و 08Host لديها وضع مرن للفوترة حسب الحجم، وجاء الهجوم لتوسيع السعة، وعادة ما تدفع رسوم النطاق الترددي الأساسي، ويمكن الضغط على التكلفة 60% أو أكثر.
هذا الشيء التكنولوجيا هو أكثر ما يخشاه الورق. في العام الماضي، ورقة بيضاء للبائع تهب خوارزميات الجدولة الخاصة بهم مدى قوتها، ونتائج الاختبار، وتبديل العقدة لتحديث ذاكرة التخزين المؤقت DNS للشبكة بالكامل بشكل متكرر، والزهور الصفراء باردة. يتم العمل الحقيقي على أرض الواقع في المعركة الفعلية - مثل هذا الهجوم والدفاع في الصباح الباكر 800G، ونظام جدولة ذكي في 18 ثانية لقطع حركة مرور المستخدم إلى العقد الاحتياطية الثلاث، والتوسع المتزامن للنطاق الترددي المرن المتزامن إلى 900G، منذ بداية نهاية المستخدم حتى 502 لم يروا.
في النهاية، لم تعد شبكة CDN الدفاعية العالية محركًا بسيطًا لحركة المرور. يجب أن تكون قادرة على التنبؤ بهجمات تشو جيليانغ، يمكن أن تحمل ضغط أوبتيموس برايم، يجب أن تكون أيضًا حسابًا دقيقًا للمحاسب. أولئك الذين لا يزالون عالقين في مستوى “حرب رقم G” من البائعين، عاجلاً أم آجلاً ليتم الضغط عليهم على الاحتكاك الأرضي.
(فجأة تلقيت إنذارًا للمراقبة، نظرت إلى وحدة التحكم وضحكت مرة أخرى - هذه المرة حركة نشاط العميل ارتفعت بشكل طبيعي 320%، النظام يوسع السعة تلقائيًا. لمس الهاتف لإرسال رسالة إلى الفريق التقني: “شاي ما بعد الظهيرة الليلة على حسابي، بالمناسبة، حل الجدولة الهجين 08Host لتحسين إصدار آخر)
