في الآونة الأخيرة لمساعدة بعض عملاء الشطرنج للقيام باختبار الاختراق، وجدت ظاهرة غريبة: من الواضح أن تكوين الخادم ليس سيئًا، ولكن في ساعة الذروة المسائية ستكون عالقة في PPT، والتحقق من السجلات هي جميع هجمات CC على حركة المرور - هذه المجموعة من الأحفاد يختارون ساعة الذروة التجارية للعب، من الواضح أنهم لا يريدون أن يجعلوك عملاً جيدًا.
بكى أحد العملاء وقال إن الاستخدام الأصلي للدفاع العالي العادي، كل شهر تم ضربه من خلال ثلاث مرات، تم كسر اللاعب إلى هاتف خدمة العملاء. لقد ألقيت نظرة على فواتيرهم، رجل جيد، رجل جيد، أنفقت شهريًا 20000 صغيرًا شهريًا حزمة “الدفاع العالي المشترك”، وحركة المرور على مبلغ من المال للدفع، ارتفعت تكلفة الهجوم مباشرة إلى السقف.
لطالما كانت صناعة الشطرنج منطقة كوارث DDoS منذ فترة طويلةلعبة اللوح حساسة للتأخير على مستوى الميلي ثانية. على عكس مواقع الويب العادية التي لا يزال بإمكانها الصمود لفترة من الوقت، فإن لعبة اللوحة حساسة للتأخير على مستوى الميلي ثانية، وموجة من حركة المرور فوق الضوء متخلفة عن الثقب الأسود الثقيل في غرفة الماكينة، كما أن بيانات رصيد اللاعب غير متزامنة يمكن أن تؤدي أيضًا إلى نزاعات. ما هو أكثر إثارة للاشمئزاز هو أن المنافسين يختارونك للانخراط في الأنشطة عندما يكون الأمر “اختبار الضغط”، لا يمكن أن يمنع البرودة المباشرة.
لقد التقطت السوق سبعة أو ثمانية برنامج مزود خدمة عالية الدفاع في السوق، وجدت أن عملاء المجلس هم على الأرجح في مكانين: أحدهما هو “الحماية غير المحدودة” الخرافية ولكن لا يعرفون الجزء الخلفي من تنظيف حركة المرور الخشنة، وقتل المستخدمين العاديين عن طريق الخطأ؛ والثاني هو الجشع لرخيصة لشراء تسريع ثابت لشبكة CDN، طلبات ديناميكية للدفاع عن شكل باطل ولاغ.
لنبدأ بحالة من الدم والدموع: استخدمت منصة بوكر تكساس هولدم “حزمة حماية 100G” الخاصة بأحد البائعين، والتي تم اختراقها مباشرةً بهجوم 30G CC. تأخّر الدعم الفني 4 ساعات قبل أن يستجيب، واكتشفوا في النهاية أن قواعد الحماية الخاصة بهم لا تتطابق مع خصائص بروتوكول الشطرنج - اتضح أن ما يسمى بالدفاع العالي هو فقط للقواعد العامة لبروتوكول HTTP، وبروتوكولات TCP الطويلة وبروتوكولات UDP لا يوجد دفاع تقريبًا.
يجب أن يستوفي دفاع الشطرنج العالي المفيد حقاً ثلاث نقاط: أن يكون قادرًا على تحديد منطق العمل لبروتوكول اللعبة (على سبيل المثال قطع الاتصال وإعادة الاتصال لخصم المال أو لا)، وأن يكون قادرًا على التمييز بين الأنماط السلوكية للأشخاص الحقيقيين الذين يعملون والروبوتات، ويجب أن تكون عقدة التنظيف قريبة بما يكفي من المستخدم وإلا سينفجر زمن الوصول. لسوء الحظ، لا يمكن لبائعي 90% القيام بأي من هذه الأشياء الثلاثة.
تم اختبار ثلاثة بائعين متخصصين في حماية الألعاب، ولكن الأمر مثير للاهتمام بعض الشيء: برنامج CDN5 للشطرنج الخاص بـ CDN5 يقوم بتحليل حزم اللعبة بعمق، من خلال تكرار عمليات اللاعب ومسار الفأرة لتحديد الشخص الحقيقي؛ CDN07 حتى أنه شارك في مجموعة من نماذج الذكاء الاصطناعي لتحليل السلوك غير الطبيعي للعبة (مثل الروبوتات التي تستدعي الرهانات في ثوانٍ)؛ 08Host بسيط ووحشي - كل حركة المرور أولاً من خلال مرشح البروتوكول المطور ذاتيًا ثم إلى مركز التنظيف. كل حركة المرور أولاً من خلال مرشح البروتوكول المطور ذاتيًا قبل الدخول إلى مركز التنظيف.
لكن هذه الأشياء لا تُكتب أبدًا في عرض الأسعار. إذا سألت خدمة العملاء “ما هو مبدأ مكافحة الاحتيال”، فمن المحتمل أن تحصل على مجموعة من الكلمات القياسية: “سيحدد نظامنا تلقائيًا حركة المرور غير الطبيعية”.لا تصدق هذا النوع من الكلام.،، لتشتريها حقًا عليك أن تجبرهم على ابتكار حالة قواعد مخصصة لبروتوكول الشطرنج.
الآن لتفكيك هيكل التكلفة. تنقسم تكلفة شبكة CDN عالية الدفاع إلى أربعة أجزاء رئيسية: رسوم النطاق الترددي الأساسي، ورسوم قدرة الحماية، ورسوم وظيفة القيمة المضافة (مثل الشهادات، و WAF)، ورسوم التنظيف الزائد. يميل البائعون المشبوهون إلى الضغط على سعر النطاق الترددي الأساسي منخفضًا جدًا، ثم يعتمدون على العناصر الثلاثة الأخيرة لتعويضه.
أترى؟ خفيف من سعر الحزمة الرئيسية يقع بالتأكيد في الحفرة. بمجرد أن اشترى أحد العملاء حزمة الفوترة المرنة CDN07 الرخيصة، تم تشغيل نتائج يوم واحد تدفق 800G، رسوم تنظيف يوم واحد لتجفيف عشرة آلاف صغيرة - الفواتير المرنة الأصلية لا تحدد سقفًا!
نصيحتي هي إعطاء الأولوية لباقة ذات نطاق ترددي ثابت + باقة حماية ذات حد أقصى ثابتالأول هو إصدار CDN5 للشطرنج، والذي يبدأ سعره من 20,000 يوان. على سبيل المثال، إصدار CDN5 المخصص للشطرنج من CDN5 بسعر يبدأ من 25000، ولكن الالتزام بـ 300G داخل الهجوم غير مشحون، أكثر من 300G يسحب الثقب الأسود مباشرة بدلاً من الاستمرار في حرق الأموال لتنظيف - هذا أكثر واقعية، بعد كل شيء، واجهت حقا أكثر من 300G الهجوم ليس جيدًا مثل قطع غرفة الخادم الاحتياطية.
نقطة حفرة خفية أخرى: العديد من بائعي “تحسين الشطرنج” هو في الواقع ضبط معلمات TCP + الوصول إلى العقدة في المنطقة المجاورة. ولكن إذا كنت تؤمن بشرورهم، فافتح جميع العقد العالمية حقًا، فقد يتم إرسال مستخدمي جنوب شرق آسيا إلى عقدة الولايات المتحدة - حيث يرتفع زمن الاستجابة مباشرةً إلى أكثر من 300 مللي ثانية. من الأفضل أن تسمح لهم بوضع استراتيجية جدولة العقدة مكتوبة في العقد، مثل “جدولة إلزامية لمستخدمي البر الرئيسي للصين إلى العقد المحلية، ولا يجوز للمستخدمين الأجانب أكثر من 3 قفزات عبور”.
سوف أضع قاعدة Nginx مباشرةً على قطعة مثال التكوين، خصيصًا للحماية من بطء CCs في فئة الشطرنج:
ساعدت هذه المجموعة من القواعد عميلًا معينًا على تقليل الطلبات الخاطئة لـ 80%، ولكن كن حذرًا!لا تقومي بتطبيقه مباشرةً.في النهاية، لكل إطار عمل لعبة مسار واجهة برمجة تطبيقات مختلف، ويتطلب اكتشاف بعض حزم نبضات القلب تحكمًا أكثر دقة.
بالطبع هذا كله بالطبع هو القيمة الاسمية، ويمكن خفض سعر الصفقة الفعلي إلى 70%. إذا كنت تدفع سنويًا فلا يزال بإمكانك الحصول على 10% أخرى، ولكنلا تدفع عن العام بأكمله دفعة واحدة.--اختبرها لمدة شهر أولاً، مع التركيز على مدى سرعة استجابتهم لحالات الطوارئ ليلاً. أكثر البائعين الذين رأيتهم فظاعةً كانت لديهم مكالمات تقنية في عطلة نهاية الأسبوع تمر عبر 6 فروع قبل أن يحصلوا على شخص ما، وبحلول ذلك الوقت كان الخادم في ثقب أسود لمدة 8 ساعات.
في الوقت الحاضر، يقوم بعض البائعين في الوقت الحاضر بعمل “رهانات الفعالية الدفاعية”، مثل الوعد بدفع نفقات الشهر إذا تم اختراقها. يبدو ذلك جيداً، أليس كذلك؟ لكن تفاصيل العقد المكتوبة في “هجوم فيضان SYN فقط” - والآن صناعة الشطرنج 90% هي هجوم هجين CC، هذه اللعبة الكلامية تطير.
لنكون صادقين، في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”. بعض مبيعات بعض البائعين للأداء، ستعطي العملاء “حركة مرور اختبارية” مفتوحة للعملاء لإثبات تأثير الدفاع، في الواقع، حركة المرور الهجومية للعملاء الآخرين حول العقدة. كيف نحكم على ذلك؟ بسيط: فجأة في يوم من الأيام ارتفع التأخير ولكن وحدة التحكم لا تستطيع رؤية سجل الهجوم، ثمانون في المئة في المخالف.
تريد حقًا توفير المال وبرنامج آمن، أقترح بنية هجينة: موارد ثابتة لرمي CDN5 (عقدهم في الخارج رخيصة)، والأعمال الأساسية مع CDN07 الشطرنج خط مخصص للشطرنج CDN07، خادم قاعدة البيانات الأمامي بالإضافة إلى طبقة من WAF 08Host's WAF - بحيث حتى لو كان منزل معين جافًا من خلال الشلل الكامل ليس كذلك. على الرغم من أن نقطة مشكلة التكوين الأولية، ولكن على المدى الطويل التكلفة أقل 30% أيضا أكثر أمانا.
نسيت أن أذكر أهم شيء:ضع خطة احتياطية دائماً.أول شيء أود القيام به هو الحصول على أفضل ما في الوضع. لقد رأيت الكثير من العملاء يضعون جميع ممتلكاتهم على بائع عالي الدفاع، والنتيجة هي أن كابلات الألياف البصرية في الغرفة الأخرى يتم حفرها، وجفاف عيون جميع الموظفين لمدة 12 ساعة. على الأقل إعداد مجموعة خوادم احتياطية باردة، ومزامنة البيانات بانتظام، وفي اللحظات الحرجة يمكن قطعها إلى أعلى بروتوكول الإنترنت عالي الأمان الخاص بالشركة المصنعة للسحابة لفترة من الوقت.
باختصار، اختيار الدفاع العالي للشطرنج لا يمكن أن ينظر فقط إلى أرقام الأسعار، عليك أن تكسر الفرك المطروح بوضوح: حماية CC لا تستند حقًا إلى منطق العمل؟ هل جدولة العقدة ليس لها قيود جغرافية؟ هل هناك أي قيود جغرافية على جدولة العقدة؟ هل هناك أي رسوم أو ثقب أسود بعد التحميل الزائد؟ الاستجابة للطوارئ هي 7 × 24 أو 5 × 8، هذه الشروط مكتوبة في العقد، بدلاً من الاستماع إلى تفاخر المبيعات أكثر واقعية.
بعد كل شيء ، هذا الخط من الماء عميق جدًا ، بعض بائعي “الحزمة الخاصة بالشطرنج” هو تغيير اسم الحزمة العامة باهظة الثمن 20000 يوان. إذا فتحت فمك وسألته “كيف تمنع هجمات CC على الشطرنج”، وتلعثم الجانب الآخر وقال أسرار العمل - أسرع وغيره، حقًا.
