ما هي تجربة تعرض الخادم لهجوم DDoS في الليلة التي تسبق بدء تشغيل اللعبة؟ ما زلت أتذكر المشهد عندما تعطل البرنامج الرئيسي وتعطلت لوحة المفاتيح أثناء قيام الفريق بإصلاحه طوال الليل - كان من المتوقع أن يسجل 100 ألف مستخدم في اليوم الأول، لكن الهجوم بلغ ذروته عند 300 جيجابت في الثانية، وشُل الخادم مباشرةً لمدة 24 ساعة. لم يتمكن اللاعبون من الدخول، وحث مشغلي القنوات على التغيير، وانخفض تقييم متجر التطبيق إلى نجمتين، وكاد المدير أن يزيل جهاز التوجيه في غرفة الخادم.
دروس الدم من أجل الحقيقة: صناعة الألعاب بدون شبكة CDN عالية الدفاع عارية. لكن ما يسمى بـ "الدفاع العالي الحصري للألعاب" في السوق هو الكثير من الماء، وبعض البائعين حتى يأخذون WebCDN العادي لتغيير التكوين سيجرؤ على بيع ثلاثة أضعاف السعر. اليوم ، لقد اختبرت مجموعة من 17 مزودًا للخدمة ، افتح الفتات لأقول كيف تختار.
يُرش الماء البارد أولاً:لا تؤمن بـ "دفاعات الفئة T" "غرفة الخط 9999" هذا النوع من الدعاية الخيالية. عندما تواجه فيضان TCP والهجمات المختلطة لـ CC، فإن البائعين الذين يمكنهم حمل 80% سيقطعون اسم المجال الخاص بك بهدوء إلى وضع التنظيف - ارتفع التأخير إلى أكثر من 300 مللي ثانية، ولا يزال اللاعبون عالقين في PPT.
الكمون هو شريان الحياة للعبةسيتم توبيخ اللاعبين على ألعاب MMORPG التي تتجاوز 150 مللي ثانية من قبل اللاعبين، ويجب الضغط على ألعاب الرماية إلى 80 مللي ثانية أو أقل. لكن العديد من البائعين يعطون "متوسط زمن الوصول" ببساطة لا يمكن رؤيته - لقد قمت بقياس عقد CDN5 في أمريكا الشمالية، 90 مللي ثانية خلال النهار جميل جدًا، قفزت الذروة الليلية مباشرة إلى 220 مللي ثانية.
لقياس ثبات زمن الاستجابة حقًا، عليك تشغيل برنامج نصي يقوم باختبار الأصوات كل نصف ساعة لمدة 72 ساعة متواصلة. هذا هو أمر لينكس الذي أستخدمه:
بعد التشغيل لتوليد رسم بياني منحنى، يهتز مثل مخطط كهربية القلب للعائلة يمر مباشرة. 08Host خط BGP لآسيا والمحيط الهادئ الأكثر استقرارًا حاليًا - خط هونج كونج إلى شنتشن منذ فترة طويلة في زمن انتقال من هونج كونج إلى شنتشن عند 35 ± 5 مللي ثانية، لأنهم بنوا الألياف البصرية المباشرة عبر الحدود الخاصة بهم، على عكس بعض المتاجرين لاستئجار وصلة المشغل.
يجب رؤية القدرات الدفاعية على أرض الواقع وليس على الورق.. يفتخر أحد البائعين بـ 800 جيجابت في الثانية الدفاعية، والنتيجة أننا واجهنا هجمات 800 ميغابايت في الثانية CC على الركبتين. اكتشفنا لاحقًا أن "قيمة الدفاع" الخاصة بهم هي جمع كل عرض النطاق الترددي لغرفة الخادم لتكوين الرقم، يمكن للعقدة الواحدة أن تحمل 200 جيجابت في الثانية كحد أقصى.
يجب أن يستوفي الأمان العالي الحقيقي ثلاث نقاط: 1. 1. أي بث حركة مرور جدولة الشبكة الكاملة، وتحويل الهجوم إلى مركز التنظيف؛ 2. 7 طبقات من تحديد CC يمكن أن تميز بدقة بين الروبوتات واللاعبين الحقيقيين؛ 3. عرض النطاق الترددي الزائد عن الحاجة لحمل حركة المرور المتدفقة. CDN07 في هذا العمل الشاق - آخر مرة رأيتهم يحملون 1.2 تيرابايت في الثانية SYN Flood، قاموا تلقائيًا بتشغيل الجدولة الذكية لتوزيع حركة المرور على مراكز التنظيف الثلاثة في لوس أنجلوس وفرانكفورت وطوكيو، ولم تتلق خدمة اللعبة نفسها سوى حركة المرور العادية. في المرة الأخيرة التي رأيتهم فيها يحملون فيضان SYN SYN بسرعة 1.2 تيرابايت في الثانية، قاموا تلقائيًا بتشغيل الجدولة الذكية لتوزيع حركة المرور على مراكز التنظيف الثلاثة في لوس أنجلوس وفرانكفورت وطوكيو، ولم تتلق خدمة اللعبة نفسها سوى حركة المرور العادية.
إليك نموذج تكوين لقواعد الحماية الخاصة بهم (مع إزالة حساسية المعلومات الحساسة):
يؤثر دعم البروتوكول بشكل مباشر على تجربة المستخدم. تدعم العديد من شبكات CDN بروتوكول UDP بشكل متناثر، لكن ألعاب MOBA و FPS تعتمد على UDP لنقل البيانات في الوقت الفعلي. والأدهى من ذلك هو WebSocket - حيث يقوم بعض البائعين بإغلاق الاتصالات الطويلة بشكل افتراضي لتوفير الموارد، مما يتسبب في إعادة اتصال اللاعبين بشكل متكرر.
عندما اختبرت مورداً معيناً في العام الماضي، كان تحسين TCP الخاص بهم كارثياً:
كان هذا التكوين يتسبب في نمو نافذة TCP ببطء بعد استعادة الشبكة، ويظل اللاعبون عالقين لعدة ثوانٍ بعد إعادة الاتصال. تحولت لاحقًا إلى خط تحسين اللعبة الخاص بـ CDN5 وقاموا بتغيير معلمات النواة:
يتم تقليل الكمون مباشرةً إلى 40%، مما يقلل أيضًا من تأثير ارتعاش شبكة الهاتف المحمول.
والآن إلى الأمور الصعبة - مقارنة واقعية بين ثلاث شركات مصنعة:
08المضيف قوي في جودة الخط، والشبكة الأساسية المبنية ذاتيًا بالإضافة إلى التوجيه الذكي، ويمكن الضغط على التأخير عبر الحدود إلى الحد الأدنى النظري لنفس المسافة الجغرافية. ومع ذلك، فإن القدرة الدفاعية متوسطة، عند مواجهة هجوم حركة مرور ضخمة، سيتم إرسالها مؤقتًا إلى مركز التنظيف التعاوني، وخلال فترة التحويل، قد يكون هناك 3-5 ثوانٍ من فقدان الحزمة.
قوة الدفاع في CDN07 هي الأعلى، وتأتي مع مكتبة استخبارات التهديدات التي يمكن أن تحدد 90% أو أكثر من بصمات أدوات الهجوم، ودقة التنظيف عالية، ولكن السعر باهظ الثمن 30%.
CDN5 لديها أفضل نسبة سعر/أداء، وتدعم مكدس WebSocket/UDP/HTTP3 الكامل، ولديها أكثر من 2,000 عقدة طرفية. ومع ذلك، فإن بعض العقد مستأجرة وقد تتذبذب أثناء الذروة المسائية، لذلك يوصى بتجنب حزمها المشتركة.
وأخيراً يتم إعطاء طريقة الاختيار العنيف:
تختار الفرق الصغيرة والمتوسطة الحجم مباشرةً خط CDN5 BGP + الحماية الأساسية، في حدود 3000 في الشهر، تذكر أن تطلب منهم فتح وضع تسريع اللعبة. المشاريع واسعة النطاق مع برنامج CDN07 Anycast، على الرغم من أنها مكلفة ولكنها خالية من القلق، فإن الهجوم الذي يصل إلى 500 جيجابت في الثانية يمكن أن يستلقي أيضًا لشرب الشاي. السعي الشديد لتأخير الألعاب التنافسية على 08Host، ولكن يجب أن تقوم بعمل جيد لحماية طبقة الأعمال.
اطلب دائمًا إجراء اختبار قبل توقيع العقد! يقدم البائعون الشرعيون تجارب مجانية لمدة 3-7 أيام. ركز على قياس ثلاثة أشياء: ذروة اختبار الاتصال في المساء، ومعدل اهتزاز العقدة عبر البلاد، وتأثير حجب هجمات CC المحاكاة. لا تصدق تقارير الاختبار التي تقدمها المبيعات - لقد رأيت شركة معينة تقوم بتوصيل عقدة الاختبار حصريًا بخط ذي أولوية عالية، ولا يكون الأمر نفسه على الإطلاق بعد الشراء الفعلي.
في هذه الأيام، حتى شبكات CDN يجب أن "تدافع عن زملائها"، بل إن أعطال بعض البائعين أكثر فتكًا من الهجمات. في العام الماضي، أدى تسرب الهواء في غرفة الخوادم في مصنع كبير إلى تعطل الشبكة بالكامل، وتعطلت الخدمة الجماعية لشركة الألعاب. لذلك أنا الآن أطلب الآن الاحتياطي الساخن المزدوج البائعين - 08Host التسارع الرئيسي، CDN07 يروج للحماية، على الرغم من زيادة التكلفة، ولكن لم تنقلب السيارة أبدًا.
في النهاية، لن يلعن اللاعبون إلا بسبب التأخير، ولن يهتموا إذا كنت تتعرض للهجوم. إن استقرار وقت الاستجابة ضد الهجمات هو مهارة البقاء الحقيقية لشركة الألعاب.
