في الساعة الثالثة صباحًا من ذلك اليوم، تم تعطل الهواتف المحمولة الخاصة بالدعم الفني. ارتفع عدد اتصالات قاعدة البيانات الخاصة بمنصة الشطرنج الخاصة بالعميل على الفور إلى خمسة آلاف اتصال، وارتفع عدد اتصالات قاعدة البيانات الخاصة بمنصة الشطرنج الخاصة بالعميل مباشرةً إلى خمسة آلاف اتصال، وانطلقت مخططات حركة مرور الخادم بشكل عمودي - لم يكن الأمر عبارة عن احتفال لاعبين، بل كان هجومًا مختلطًا من نصوص برمجية لتخريب النقاط و DDoS من قبل عصابات الصناعة السوداء بمكونات جنونية مزيفة. بعد خمسة عشر دقيقة، كانت قاعة اللعبة بأكملها عالقة في صالة الألعاب بأكملها كـ PPT، وتم التخلص من الإيرادات المتراكمة في ثلاثة أيام بمقدار مائتي ألف في عشر دقائق.
صناعة الشطرنج قاسية للغاية. يرغب اللاعبون في لعب الورق دون تأخير، ومزامنة الصوت دون أي تأخير، بينما فريق التشغيل هو منع حركة مرور DDoS بعشرات G في الثانية ومحاكاة سلوك اللاعبين الحقيقيين “فريق ”تجميع الصوف". عرض النطاق الترددي للخادم الخاص بك ومن ثم كبير، واجهت SYN Flood أو هجوم HTTP البطيء كالعادة مسطحًا؛ كما يصعب تحديد منطق عملك ومن ثم صارمًا، واجهت نقاط فرش تجمع العملاء الموزعة في لمحة. لقد رأيت الكثير من الفرق التي تحطم الميزانية على أجهزة الخادم، ولكن مع وجود شبكة CDN مجانية، موجة من الاختراق بعد الليل للعثور على مزودي خدمة دفاعية عالية لإخماد الحريق.
لم تكن شبكة CDN عالية الدفاع في هذا الخط منذ فترة طويلة “ملحقات اختيارية”، بل خط الحياة والموت. ومع ذلك، يختار العديد من الأشخاص النوع الذي يسهل ضلاله: إما أن ينظروا فقط إلى عرض النطاق الترددي الدفاعي، أن 300G أفضل بالتأكيد من 100G؛ أو السعي الأعمى وراء الكمون المنخفض، متجاهلين فقدان الفحوصات الأمنية. في السيناريوهات الحقيقية، يجب أن تكون الوظائف الثلاث لمكافحة الاحتكاك، ومكافحة DDoS، والكمون المنخفض، حلقة مغلقة، وأقل من ذلك هو أقصر لوح من البرميل.
لنبدأ بمكافحة التهديف. بدلاً من مجرد تنظيف الطلبات بالفرشاة، تحاكي فرش ألعاب الطاولة بشكل كبير سلوك الأشخاص الحقيقيين: التسجيل، وتسجيل الدخول، ومطابقة الألعاب، ووضع الرهانات، وحتى خسارة بعض الألعاب عن قصد. لا يمكن لـ WAF التقليدية منع ذلك على الإطلاق، لأن حركة المرور تبدو “طبيعية” للغاية. في العام الماضي، واجهت إحدى المنصات موجة من الهجمات، حيث يتحكم كل عنوان IP في تردد طلب بروتوكول الإنترنت في التشغيل العادي للفاصل الزمني البشري، ولكن ثلاثة آلاف عنوان IP في نفس الوقت لتلقي مكافأة المهمة، عشر دقائق لطرح ملايين الذهب.
يكمن جوهر هذا النوع من الهجمات في التعرف على الهوية والسلوك. لقد وجدت أن تقييد تردد IP البسيط عديم الفائدة تقريبًا - تجمع البروكسي الأسود هو IP ديناميكي، يحجب واحدًا مقابل عشرة. يجب أن تكون في العقد الطرفية لشبكة CDN للقيام بميزات مدفونة: بصمات أصابع مكدس TCP، وميزات مصافحة TLS، وبصمات قماش المتصفح وحتى آثار الفأرة. على سبيل المثال، النموذج السلوكي المنشور على CDN07 بهذا التكوين:
لا تصدق البائعين الذين يقولون “حراسة مؤتمتة بالكامل”. تحتاج نماذج التعلّم الآلي إلى أسبوعين على الأقل من التدريب للتمييز بين الروبوتات، ويجب أن تقترن في البداية بقواعد يدوية. على سبيل المثال، في غرفة تكساس هولدم، سيكون لدى اللاعب المباشر وقت تفكير متقلب ورهانات متناثرة في غرفة تكساس هولدم، في حين أن البرنامج النصي سيكون له فاصل زمني ثابت بالمللي ثانية بين توزيعات الورق ومضاعفات ثابتة من الرهانات دائماً. تكتشف وحدة تحليل التوقيت التي نشرناها على CDN5 هذه الأنماط على وجه التحديد:
إن DDoS هو أكثر ما تخشاه ألعاب الطاولة مثل فيضان HTTP الذي يهاجم واجهة استعلام ردهة اللعبة، أو فيضان UDP الذي يخترق خدمة الدردشة الصوتية. إن الاعتماد ببساطة على الدفاع الصلب لغرفة الخادم سيؤدي إلى حجب اللاعبين الحقيقيين عن طريق الخطأ، بينما التنظيف السحابي الخالص وزمن الاستجابة العالي. الآن المخطط الموثوق به هو الجدولة المختلطة: يتم تنفيذ حركة المرور المحلية أولاً بواسطة عقد حافة CDN، وهجمات حركة المرور الصغيرة مباشرةً على الحافة مع قواعد تجاهلها، ويتم إرسال هجمات حركة المرور الكبيرة إلى مركز التنظيف.
على سبيل المثال، تُعد استراتيجية التنظيف متعددة المستويات التي تتبعها 08Host عملية للغاية: أولاً، القيام بتحديد المعدل والتحقق من الامتثال للبروتوكول في عقد الحافة لتصفية حركة المرور غير المرغوب فيها 70%؛ عندما تعود حركة المرور المتبقية إلى المصدر من خلال غرفة الخادم عالية الدفاع، حيث توجد أجهزة خاصة لتحليل شذوذ آلة حالة TCP. تم اختبار هذا المخطط في مواجهة هجمات CC، وهو أقل بـ 40 مللي ثانية من التأخير في التنظيف السحابي الخالص، لأن معظم حركة المرور لا تضطر إلى الالتفاف إلى مركز التنظيف.
ولكن كن حذرًا، فبعض البائعين الذين يتباهون بحماية مصنفة T لديها ماء. في إحدى المرات اختبرنا بائعًا معينًا يدّعي حماية بقدرة 2T، وكانت النتيجة الفعلية هي 800G عندما انهار جدول التوجيه بأكمله، لأن أيًا من مساراتهم المصبوبة لم تقم بالتقارب. تعتمد القدرة الحقيقية المضادة للتقارب على ثلاثة مؤشرات: كثافة تغطية عقد مركز التنظيف، وجودة عرض النطاق الترددي BGP والتأخير في إصدار القواعد. على سبيل المثال، يمكن لعقد مركز التنظيف العالمي CDN07 إكمال جدولة حركة المرور في 50 ثانية، بينما يستغرق بعض البائعين ثلاث دقائق، وهو وقت كافٍ لتعطل خدمة اللعبة عدة مرات.
أخيراً، دعنا نتحدث عن الكمون المنخفض. هذا ليس مجرد النظر إلى بيانات الاختبار التي قدمها بائع CDN. إن حساسية الكمون لألعاب الطاولة عالية للغاية، فألعاب تكساس هولدم التي تزيد عن 200 مللي ثانية يمكن للاعبين أن يدركوا التأخير، ويجب ضمان ألعاب الأرض في حدود 100 مللي ثانية. ولكن لا بد أن تؤدي إضافة المجموع الاختباري للأمان إلى زيادة التأخير الحسابي، والمفتاح هو كيفية تحقيق التوازن.
لقد قارنت ثلاثة برامج: CDN5 شبكة CDN5 Anycast سريعة حقًا، ومتوسط زمن الاستجابة للعقد الآسيوية 87 مللي ثانية، ولكن تنفيذ قواعد الأمان يستغرق أحيانًا أكثر من 30 مللي ثانية، و 08Host باستخدام الجدولة الذكية، يتم تشغيل عمليات التحقق الأمني فقط من خلال حركة المرور المشبوهة، ويتم التحكم في متوسط زمن الاستجابة في حدود 95 مللي ثانية، و CDN07 هو الأكثر تطرفًا، حيث يضع بعض منطق الأمان في جانب العميل من SDK، ويقوم جانب الخادم بالتحقق فقط، ويتم الضغط على زمن الاستجابة إلى 80 مللي ثانية ولكن جانب العميل أكبر من جانب العميل، وجانب الخادم أكبر من جانب العميل. يتم الضغط على التأخير إلى 80 مللي ثانية ولكن حجم العميل أكبر بـ 2 ميغابايت.
الحل العملي حقًا هو التدهور الديناميكي: حركة المرور العادية تأخذ المسار السريع، والهجمات المشتبه بها فقط هي التي تؤدي إلى إجراء عمليات فحص كاملة. على سبيل المثال، هذا التكوين
هناك نقطة أخرى يغفل عنها الكثير من الناس: تحسين اتصالات WebSocket الطويلة. تستخدم ألعاب الطاولة بكثافة WS لدفع تحديثات الحالة، وبعض شبكات CDN لديها دعم رديء لـ WS، إما اتصالات غير مستقرة أو تقلبات كبيرة في زمن الوصول. اختبار تطبيق CDN5 الخاص بـ CDN5 هو الأفضل، حيث يتم إجراء تعدد الإرسال بدقة، مع الحفاظ على 100000 اتصال متزامن عندما يكون استخدام الذاكرة 40% أقل من المنافسين.
باختصار، يجب أن يكون اختيار شبكة CDN عالية الدفاع مثل الترسانة: مكافحة الاحتكاك لتكون ذكية بما يكفي لتحديد الأنماط السلوكية، ومكافحة DDoS لتنظيف الطبقة دون قتل، وزمن انتقال منخفض لمراعاة الأمان والخبرة. لا تصدق دعاية “الحماية بمفتاح واحد” - لا يمكن لأحد أن يأكل كل السيناريوهات. من المستحسن أن تكون صورة العمل الأولى: إذا كانت لعبة ورق بشكل أساسي، ركز على القدرة على تحديد السلوك؛ إذا كانت فئة مراهنات، ركز على عرض النطاق الترددي للحماية من DDoS؛ إذا كانت لعبة لوحية ترفيهية، يجب أن يكون وزن زمن الاستجابة هو الأعلى.
جملة البصقة الأخيرة: في هذه الأيام حتى شبكة CDN يجب أن “تمنع زملاء العمل”. سيقوم بعض البائعين “بمشاركة” بيانات عملك مع أقرانك للقيام بخصائص الهجوم على المكتبة، والنتيجة هي أن منزلك قد تعرض للهجوم عندما يكون الآخرون محصنين. في العقد، تأكد من إضافة بنود خصوصية البيانات، من الأفضل تخزين سجلات حركة المرور النظيفة محليًا - ففي النهاية، صناعة الشطرنج، الأمن نفسه تنافسي.
(مرفق البيانات المقاسة: بعد وصول المشروع إلى CDN5، انخفض وقت التعطل الناجم عن DDoS من 180 دقيقة إلى 3 دقائق شهريًا، وانخفض فقدان نقاط الفرشاة بمقدار 92%، ولكن متوسط زمن الاستجابة زاد بمقدار 11 مللي ثانية. ثم تحول لاحقًا إلى الحل الهجين لـ 08Host، وزاد زمن الاستجابة بمقدار 6 مللي ثانية فقط، ولكن التكلفة كانت أقل بمقدار 30% -) -لا يوجد برنامج مثالي، فقط المفاضلة الأنسب).
