في الآونة الأخيرة، ركض إليّ العديد من الأصدقاء الذين يعملون في مجال الألعاب والتمويل وسألوني، قائلين إن أعمال الشركة تعرضت لهجمات DDoS صعودًا وهبوطًا، واعتبروا على شبكة CDN عالية الدفاع، ولكن التحقق من عرض أسعار AWS مباشرةً أربكني - هذا السعر في النهاية لمنع الهجمات أم لمهاجمة محفظتي؟
لأكون صادقاً، لقد شهقت أيضاً عندما نظرت لأول مرة إلى أسعار AWS Shield Advanced. تبدأ الرسوم الشهرية الثابتة من 3,000 دولار أمريكي، دون احتساب رسوم تنظيف حركة المرور ورسوم التوسع المرن. في إحدى المرات، وصل أحد العملاء إلى 300 جيجابت في الثانية، وعندما ارتفعت الفاتورة إلى خمسة أرقام في ذلك الشهر، ظنّت المالية أنهم تعرضوا لعملية احتيال من شركات الاتصالات متعددة الجنسيات.
لا تخافوا أولاً، فالدفاع العالي لـ AWS باهظ الثمن، ولكن عليكم أن تفهموا منطق التسعير. الأمر أشبه بشراء التأمين، فأنت عادةً ما تعتقد أنك تدفع مقابل لا شيء، ولكنك لا تعرف ما إذا كان الأمر يستحق حتى يحدث شيء ما. تنقسم أسعارها إلى ثلاثة مستويات خفية: رسوم الحماية الأساسية مثل تذكرة الدخول، ورسوم تنظيف البيانات هي أموال النبيذ، ورسوم توسيع الأعمال هي ببساطة رسوم كوركاج.
أكثر شيء مثير للشفقة وجدته في الحياة الواقعية هو رسوم التوسعة المرنة. لن تبادر العديد من شركات المبيعات بإخبارك أنه عندما يتجاوز الهجوم سعة الحماية الأساسية التي اشتريتها، يتم احتساب الزيادة على خطوات. في العام الماضي لمساعدة إحدى البورصات على إجراء اختبارات الإجهاد، استمر هجوم محاكاة 800 جيجابت في الثانية لمدة نصف ساعة، رسوم التوسعة وحدها كافية لشراء خادم.
العملية الأكثر رداءة هي الفوترة المرتبطة بالموارد. فبمجرد أن تضع عملك خلف ELB أو CloudFront، يفرض Shield تلقائيًا رسوم حماية لتلك الموارد. لقد أخطأت ذات مرة وقمت بتشغيل الحماية لبيئة الاختبار الخاصة بيئة ELB، وفي نهاية الشهر اكتشفت أنه تم تحصيل 800 دولار إضافية مني - كم كوب قهوة يكفي لشراء هذا المبلغ؟
ثم مرة أخرى، تهيمن عقد التطهير العالمية لـ AWS حقًا. موزعة في 16 مركزًا إقليميًا لجدولة حركة المرور، وهي موزعة في 16 مركزًا إقليميًا لجدولة حركة المرور، وهي أقصى ما يمكن أن تخفف من 2.3 تيرابايت في الثانية من الحالات. خاصة بالنسبة للأعمال التجارية الدولية، فإن سرعة استجابة العقد الأوروبية والأمريكية ليست أسرع بنصف نجمة من البائعين المحليين. ولكن إذا كان المستخدمون في المنطقة بشكل رئيسي، فهذا يعني إنفاق المال لشراء الوحدة.
والآن ألقِ نظرة على اللاعبين المحليين. على سبيل المثال، CDN5 القديم، فإن حزم الدفاعات العالية المحلية الخاصة بهم أكثر أهمية بكثير:
الشيء الأكثر أهمية هو أن البائعين المحليين يستخدمون بشكل عام نموذج ”مضمون + مرن”. مثل خط BGP الخاص بـ CDN07، وعادةً ما تكون الحماية المضمونة 100G، وتتوسع تلقائيًا إلى مستوى T عند مواجهة هجمات حركة المرور الكبيرة، فقط وفقًا لفواتير حركة المرور الفعلية للهجوم. في آخر مرة تعرضت فيها منصة إقراض عبر الإنترنت لهجوم بقدرة 400 جيجا، وفي النهاية دفعت أكثر من 800 رسوم توسيع فقط.
ميزة أخرى خفية هي سرعة استجابة العُقد المحلية. يمكن تحقيق زمن استجابة عقدة 08Host في شرق الصين في غضون 15 مللي ثانية، بينما عقد AWS هونج كونج بشكل عام أكثر من 50 مللي ثانية. لا تنظر إلى مجرد فرق بضع عشرات من المللي ثانية، ففي سيناريوهات اللعبة والتداول في الوقت الحقيقي هناك فرق كبير بين التأخر والسلاسة.
لكن لا تصدق هراء ”الحماية غير المحدودة”. فالشركة المصنعة تتباهى بحركة مرور غير محدودة وغير محدودة، وقد واجهت بالفعل أكثر من 800 جيجا من الهجوم مباشرةً إلى الثقب الأسود لمدة ثلاث ساعات. علمت لاحقًا أن ركن العقد مكتوب فيه ”أكثر من هجوم 1 تيرابايت في الثانية له الحق في بدء الانهيار الطارئ” - بعبارة بشرية هو سحب كابل الشبكة مباشرة.
الآن دعنا نجري مقارنة قوية. دعنا نفترض الاستجابة لهجوم مستمر بسرعة 200 جيجابت في الثانية لمدة ساعتين، وتنظيف حركة مرور تبلغ حوالي 180 تيرابايت:
الفرق يكفي لشراء مجموعة نسخ احتياطية أخرى. ومع ذلك، انتبه إلى الاستهلاك الخفي للبائعين المحليين: على سبيل المثال، حماية CC لشراء حزم القواعد، ورسوم تحليل السجل المنفصلة، وقيود مكالمات واجهة برمجة التطبيقات وما إلى ذلك. بمجرد أن قام أحد العملاء بسبب هجمات CC بتشغيل 20 مليون طلب تحقق، تم فرض رسوم إضافية تزيد عن 10000 رسوم استعلام.
نصيحتي الواقعية هي أنه إذا كانت قاعدة المستخدمين في الخارج بشكل أساسي، فإن استخدام AWS Shield مع CloudFront يوفر الوقت الحقيقي، خاصةً في السيناريوهات التي تتطلب تسريعاً عالمياً. ولكن تأكد من إعداد تنبيهات التكلفة ويفضل أن تشتري خطة توفير مقدمًا - لا تسألني كيف أعرف ذلك.
تختار الأعمال المحلية البحتة مباشرةً البائعين المحليين الأكثر فعالية من حيث التكلفة. مثل برنامج 08Host الهجين المثير للاهتمام للغاية: عادةً ما يستخدمون تسريع CDN الخاص بهم، ويقومون تلقائيًا بالجدولة إلى عقدة الدفاع العالي عند حدوث هجوم. في الآونة الأخيرة لمساعدة منصة حية لنشر هذا البرنامج، فإن متوسط التكلفة الشهرية أقل من AWS 62%، كما يتم تقليل زمن الوصول إلى الشبكة بمقدار 40%.
أخيرًا كشف سر من أسرار الصناعة: العديد من المصنعين المحليين لخطوط BGP مستأجرين في الواقع من نفس مجموعة غرف الخوادم. ولكن قامت شبكة CDN5 ببناء مركزين رئيسيين للتنظيف في شرق الصين وجنوب الصين، والتأثير المقاس لهجمات استنفاد الاتصال أقوى بثلاث مرات من تأثير البائعين الذين يستأجرون الخطوط. في هذه الأيام، حتى CDN عليها ”منع زملاء الفريق”.
في الواقع، فإن اختيار الدفاع العالي يشبه حزام الأمان، وليس كلما كان أغلى كان ذلك أفضل، ولكن لتتناسب مع مشهد العمل. الفئات المالية اختيار الحماية على مستوى T ليست ناعمة، الشركات العادية مع حزمة 200G بالإضافة إلى التوسع المرن أكثر اقتصادا. الشيء الأكثر أهمية هو إجراء بروفات هجومية ودفاعية مسبقًا - العديد من الإخفاقات ليست حماية، ولكن لم يتم التدرب على استراتيجيات التبديل.
في المرة القادمة التي ترى فيها فاتورة سحابية مرتفعة للغاية، لا تتسرع في حساب ألم الجسد، احسب أولاً مقدار خسارة وقت تعطل الأعمال لمدة ساعة. لقد ساعدت أحد عملاء التجارة الإلكترونية ذات مرة في إجراء بعض الحسابات: تكلفة تحمل هجوم 500G لا تكفي لدفع خسارة 10 دقائق من تعطل الخادم. هذه هي حقيقة فعالية تكلفة شبكة CDN عالية الدفاع.
