في الساعة 3 صباحًا الليلة الماضية، انفجرت مجموعة المعركة فجأة. "الخادم عالق على PPT مرة أخرى!" "شخص ما يقوم بـ DDoS الخادم بشكل خبيث، أليس كذلك؟ لا يمكنني حتى الاتصال!" نظرتُ إلى الشاشة المليئة بالشكاوى، وسكبتُ جرعة من القهوة، ونسختُ لوحة المفاتيح وبدأتُ في التحقق من السجلات، وبالتأكيد كان هجومًا من نوع حركة المرور، وارتفعت الذروة إلى 300 جيجابت في الثانية، واخترقت عقد CDN العادية مباشرة. هذا النوع من المشاهد، من لم يختبر هذا النوع من المشاهد عدة مرات في صناعة الألعاب؟ لكن في كل مرة كنت أواجهه، أو يسحب ضغط الدم بالكامل.
صناعة الألعاب ومواقع الويب العادية ليست متشابهة، يمكن للاعبين الذين يعانون من الكمون العالي 50 مللي ثانية أن يلعنوا الشارع، الخادم أسفل عشر دقائق من الالتهاب المباشر للمجتمع. ناهيك عن القراصنة الذين يختارون الألعاب الشعبية، عدة غيغابايت في الثانية من حركة المرور غير المرغوب فيها التي تندفع، لا يمكن أن تمنع الخدمة من التوقف وخسارة المال. لقد رأيت الكثير من الفرق التي تستخدم "الحماية المجانية" من بائعي السحابة العاديين بسعر رخيص، فقط ليكتشفوا أن النطاق الترددي لا يكفي حتى لملء أسنانهم عندما يتعرضون للضرب حقًا.
لماذا لا تستطيع شبكات CDN العادية تنفيذ هجمات الألعاب؟ أولاً، آلية التخزين المؤقت ببساطة ليست الطريقة الصحيحة. بيانات اللعبة هي تفاعل في الوقت الحقيقي، الطلبات الديناميكية تمثل أكثر من 90%، ذاكرة التخزين المؤقت لشبكة CDN وحيدة؛ ثانياً، معيار خاطئ لسعة التنظيف. العديد من البائعين يكتبون "حماية على مستوى T" هي في الواقع مجموعة مشتركة، وضرب المنطقة بأكملها مع البطاقة؛ ثالثًا، تختلف جودة العقدة. في الخارج اذهب إلى رابط تجاوز، ارتفع زمن الوصول مباشرة إلى 200 مللي ثانية +، يعتقد اللاعبون أنك تستخدم الإنترنت عبر الأقمار الصناعية.
يجب أن تفي شبكة CDN عالية الدفاع للألعاب الاحترافية حقًا بثلاثة مؤشرات صعبة في نفس الوقت:زمن استجابة منخفض للغاية、التنظيف الدقيق、دعم حوسبة الحافة. يجب التحكم في زمن التأخير في غضون 30 مللي ثانية، ويجب أن يكون التنظيف قادرًا على التعرف على ميزات بروتوكول اللعبة (مثل حزم مصافحة محرك UE4)، ويجب أن يدعم أيضًا عمليات منطق الحافة للتعامل مع بعض منطق اللعبة. في هذه الأيام، حتى شبكات CDN يجب أن "تمنع زملاء الفريق" - حتى أن بعض الهجمات هي خدمات ابتزاز من الأقران.
اختبرت عشرات من مزودي الخدمة في السوق، اخترت ثلاثة يمكنني حقًا أن ألعب لأقول. بادئ ذي بدء، اختبار ذاتي بحت بتمويل ذاتي بحت دون إعلان، أرسل لي بعض البائعين حساب اختبار رفضته، فقط اكتشف هدفًا.
مسارات تسريع الألعاب العالمية لـ CDN5إنه الأكثر استقراراً الذي استخدمته هذا العام. إنهم يقومون بتحسين بروتوكول اللعبة على وجه التحديد، خوارزمية تسريع TCP هي شيء من هذا القبيل، يتم الضغط على تأخير العقدة الآسيوية بشكل أساسي في غضون 20 مللي ثانية. القدرة المضادة للـ D على تحمل الهجمات المختلطة 480 جيجابت في الثانية في الاختبار الفعلي، المفتاح هو عدم فقدان الحزم. مثال التكوين ليس معقدًا في الواقع:
لا تنسَ أن تضع اسم النطاق الفرعي للعبة CNAME في دقة DNS للنطاق المحمي الذي يوفرونه، فتمر حركة المرور عبر مركز التنظيف قبل العودة إلى المصدر. أوصي بتشغيل خاصية "التحليل الذكي للبروتوكول" الخاصة بهم، والتي تحدد تلقائيًا خصائص حركة مرور محركات Unity وUnreal، وتتميز بمعدل إيجابي كاذب أقل بكثير من قواعد القواعد التقليدية.
شبكة CDN07's Anycast للألعاب CDN07وهي مناسبة بشكل خاص لمشاريع التوزيع في الخارج. يستخدمون BGP Anycast لبث نفس عنوان IP إلى أكثر من 60 عقدة حول العالم، ويتصل اللاعبون تلقائيًا بأقرب عقدة. الميزة الأكبر هي أن حركة المرور الهجومية يتم تخفيفها في أقرب عقدة، ولن يتم اختراقها بسهولة مثل الحماية أحادية النقطة. ومع ذلك، من المهم ملاحظة أن تسريع TCP الخاص بهم يحتاج إلى تشغيله بتكلفة منفصلة، والتكوين الافتراضي مُحسَّن فقط لـ UDP.
لقد اخترت عمدًا ساعة الذروة المسائية لتشغيل Speedtest، يمكن في الواقع قمع زمن انتقال الرابط من طوكيو إلى لوس أنجلوس عند حوالي 110 مللي ثانية، بينما الخط العام أكثر من 180 مللي ثانية. استراتيجية الدفاع عدوانية للغاية، مباشرة على اعتراض طبقة الارتباط IP المشتبه به للهجوم، وقياس 700 جيجابت في الثانية SYN فلود بدون تقلبات. ولكن هناك حفرة صغيرة: تقييد تدفق واجهة برمجة تطبيقات وحدة التحكم الخاصة بهم صارم للغاية، تذكر إعادة اختبار الآلية عند نشر الأتمتة.
تخصص محلي ولكن جيد08المضيفوقال: "إنها فكرة جيدة أن يكون لديك فريق ألعاب مستقل. السعر هو نصف سعر الشركات المصنعة الكبيرة فقط، لكن الدفاع يمكن أن يحمل 300 جيجابت في الثانية حقًا. لقد فككت منطق تنظيف حركة المرور الخاصة بهم، في الواقع باستخدام رقائق FPGA للقيام بمطابقة القواعد، أسرع من تنظيف البرامج 3 مرات تأخير. العيب هو أن عدد العقد صغير، ويتعين على المستخدمين المحليين وجنوب شرق آسيا وأوروبا والولايات المتحدة فقط العثور على برنامج آخر.
تذكّر تشغيل وضع "درع اللعبة" عند التهيئة، فهذه ميزة أساسية:
لا تصدق الدعاية الكاذبة عن "الحماية غير المحدودة". في العام الماضي، تفاخر أحد البائعين العام الماضي بحماية 1 تيرابايت في الثانية، ولكن النتيجة أننا اختبرنا 400 جيجابت في الثانية واخترقناها، وكان الرد على طلب العمل "نوصي بالترقية إلى الإصدار المخصص للمؤسسات". الآن أرى هذا النوع من الشعارات يغلق الصفحة مباشرة.
الآثار الدفاعية الواقعية في العالم الحقيقيدقة التنظيف和نسبة معدل التدفق المرتجع. يقوم بعض البائعين بتوجيه كل حركة المرور الهجومية إلى مركز التنظيف، ولكن لا يزال يفوتهم الكثير من حزم القمامة عند العودة إلى المصدر. طريقة الاختبار الشائعة لدي هي: استخدام hping3 لمحاكاة 100,000 جزء في الثانية من فيضان ACK، أثناء تشغيل iperf3 لقياس زمن انتقال حركة المرور العادية. يجب أن تجعل شبكة CDN الجيدة تقلبات كمون iperf3 أقل من 5%، وضعفها مع موت البطاقة.
هناك تفصيل آخر صغير آخر:لوحة المراقبةيجب أن تكون قادرًا على رؤية نوع الهجوم في الوقت الفعلي. في إحدى المرات واجهت هجوم تضخيم الانعكاس، لم تُظهر وحدة تحكم البائع سوى "شذوذ في حركة المرور"، واعتمدت على التقاط الحزمة الخاصة بي لاكتشاف أنه كان انعكاس NTP. في وقت لاحق، انتقلت إلى بائع يمكنه عرض ناقلات الهجوم، وفي لمحة سريعة استطعت أن أرى أن "60% هو انعكاس من Memcached" - وهذا هو نوع المعلومات التي يريدها قسم التشغيل والصيانة.
إذا كانت الميزانية محدودة، فمن المستحسن استخدام حل هجين: طرح شبكة CDN رخيصة للموارد الثابتة، واتخاذ خط دفاعي عالٍ للاتصال الأساسي للعبة. ولكن انتبه لاستراتيجية تشتيت اسم النطاق، لا تدع المهاجم يعثر على عنوان IP الخاص بالعمل الحقيقي، فبمجرد أن وضع فريق ما الموقع الرسمي وواجهة برمجة تطبيقات اللعبة تحت نفس اسم النطاق، كانت النتيجة أن الموقع الرسمي قد تم تعطيله حتى أنه تم سحب تسجيل الدخول إلى اللعبة - لا يمكن لشبكة CDN هذه أن تتراجع.
تعليق استبدادي أخير: أمر الدفاع العالي CDN.التكرار أفضل من الحظ.لقد رأيت الكثير من الفرق تعتقد "لعبتنا صغيرة ولا يمكن لأحد أن يهزمنا". لقد رأيت الكثير من الفرق التي تعتقد "لعبتنا صغيرة، ولا يمكن لأحد أن يهزمنا"، ثم تتعرض للضرب والبكاء في يوم الإطلاق. في الوقت الحاضر، يمتلك المبتزون نصوصًا برمجية للمراقبة تقوم تلقائيًا بالبحث عن إطلاق الألعاب الجديدة، لذا إذا لم تكن لديك الحماية المناسبة، فأنت ترسل رؤوس الناس إلى الحائط. إن إجراء اختبارات الإجهاد مسبقًا ومحاكاة أداء العمل تحت تأثير حركة مرور 200 جيجابت في الثانية أرخص بعشر مرات من معالجة الوضع بعد ذلك.
حالة حقيقية: في العام الماضي، استخدمت إحدى الألعاب الثانوية مجموعة من البرامج - CDN5 للتعامل مع حركة المرور الآسيوية، وCDN07 لتغطية أوروبا والولايات المتحدة، و08Host كخط احتياطي. على الخط واجه الخط DDoS لمدة أسبوع، ووصلت أعلى نسبة إصابة إلى 800 جيجابت في الثانية، لكن اللاعبين لم يدركوا ذلك. أخبرني الشخص المسؤول عن التشغيل والصيانة لاحقًا أن الأموال الإضافية التي أنفقت لا تساوي شيئًا مقارنةً بفقدان تعليق الخدمة.
في النهاية، اختيار لعبة CDN عالية الدفاع مثل شراء التأمين - عادةً ما تشعر بإهدار المال، عندما يحدث شيء ما هو قشة منقذة للحياة. المؤشرات الرئيسية لرؤية القوة الصلبة: تأخير البيانات إلى اختبار الطرف الثالث (مثل PingTools لقياس العقد العالمية)، والقدرة على الدفاع لرؤية تقرير اختبار الضغط الفعلي، لا تصدق الخطاب التسويقي للموقع الرسمي. تذكر أن شبكة CDN التي تسمح لك بالنوم مطمئنًا هي شبكة CDN جيدة.
