في الآونة الأخيرة، اشتكى لي العديد من الأصدقاء الذين يلعبون الشطرنج والبطاقات في الخارج من أن الخادم كان يتعرض للضرب من قبل DDoS كل يوم لدرجة أنهم لم يتمكنوا من الاعتناء بأنفسهم، وكان اللاعبون في الخارج عالقين لدرجة أنهم كانوا يلعنون أمهاتهم مباشرة. هناك صديق أسوأ من ذلك، فقد أطلق للتو لعبة جديدة في جنوب شرق آسيا، وفي نفس اليوم أصيب بالشلل في نفس اليوم، وخسروا بداية مباشرة من ستة أرقام. ممارسة الشطرنج هذه الأيام، لا يوجد جيب CDN عالي الدفاع موثوق به CDN، هو ببساطة تشغيل عارية آه.
إن اختيار العقدة الخارجية هو في الواقع مهمة تقنية، ولا يمكن حل مشكلة العثور على بائع CDN فقط. لقد وجدت أن العديد من البائعين ادعى “التغطية العالمية”، ونتائج عقد جنوب شرق آسيا كلها انحرفت عن هونغ كونغ وأوروبا والولايات المتحدة العقد لا تتحرك للقفز على الشبكة الأساسية لأمريكا الشمالية. لا يتحرك زمن انتقال اللاعب 300 مللي ثانية +، لا يمكن تشغيل البطاقة، ولكن أيضًا لعب المطرقة؟ والأمر الأكثر إثارة للشفقة هو أن بعض “الدفاع العالي” لشبكة CDN هو إعداد، ويواجه هجمات حقيقية تعود مباشرة إلى المصدر، مساوية لعنوان IP المصدر المكشوف للمهاجم.
لنبدأ بجنوب شرق آسيا. الفلبين وفيتنام وتايلاند، هذه الأماكن، المشغلون المحليون معقدون مثل ثقب القرص، إذا لم يكن لدى بائعي CDN نقطة اتصال محلية، فإن دقائق الكمون تعلمك أن تفعل الناس. في العام الماضي، اختبرت العام الماضي شبكة CDN معينة تسمى “تحسين جنوب شرق آسيا”، وجد تتبع المسار الفعلي أن الحزمة انحرفت بالفعل من سنغافورة إلى اليابان ثم عادت إلى تايلاند، وارتفع التأخير مباشرة إلى 220 مللي ثانية. إلغاء تثبيت “لعبة رديئة” مباشرة.
أوروبا والولايات المتحدة هما المنطقتان الأكثر تضررًا. ومن أجل توفير التكاليف، تقوم بعض الشركات المصنعة بإلقاء عقدتين فقط في فرانكفورت ووادي السيليكون، ومن ثم تتجرأ على القول “تغطية أوروبا والولايات المتحدة”. حتى فرانكفورت لديها كمون يصل إلى 80 مللي ثانية بالنسبة للاعبين في أوروبا الشرقية، ناهيك عن إسبانيا وإيطاليا. تريد حقًا تغطية أوروبا والولايات المتحدة، على الأقل في أوروبا الشرقية (مثل وارسو)، وأوروبا الغربية (أمستردام)، وغرب الولايات المتحدة (لوس أنجلوس)، وشرق الولايات المتحدة (نيويورك) نشر أربع أو خمس عقد أساسية، إلى جانب عقد الحافة للجدولة.
هجمات CC وفيضانات UDP هي القاعدة، ويمكن أن تستمر بعض الهجمات لأسابيع. لقد رأيت أكثرها قسوة ذات مرة، تعرضت منصة شطرنج لهجوم مختلط بسرعة 700 جيجابت في الثانية، وركعت الحماية السحابية العادية مباشرة. في وقت لاحق، تغيرت إلى بائع متخصص في الحماية العالية للشطرنج، واعتمدت على تحديد بصمات الأصابع والتحليل السلوكي لتنفيذها.
لا تصدق الإعلانات الكاذبة عن “الحماية غير المحدودة”. تعتمد قدرة الحماية الحقيقية على قدرة واستراتيجية جدولة مركز التنظيف. على سبيل المثال CDN5، تم اختبار مراكز التنظيف الخاصة بهم في سنغافورة ولوس أنجلوس لتكون قادرة على تحمل 1.2 تيرابايت في الثانية من حركة المرور، وهناك مكتبات بصمات خاصة ببروتوكولات الشطرنج. في المرة الأخيرة لمساعدة العملاء على الانتقال، لم تخترق حركة المرور الهجومية من 300 جيجا إلى 800 جيجا.
تحسين التكوين هو المكان الذي تظهر فيه القوة الحقيقية. فالكثير من شركات إدارة المواقع الخارجية لا تعرف سوى كيفية ضبط شبكات CDN ولا تقوم حتى بتعديل سياسات التخزين المؤقت الخاصة بها:
إن أداء CDN07 الذي تم اختباره مؤخرًا في جنوب شرق آسيا مثير للدهشة. في إندونيسيا والفلبين، فهي متصلة مباشرة مع المشغل المحلي Peer، ويصل زمن انتقال عقدة جاكرتا إلى 38 مللي ثانية، وعقدة مانيلا 42 مللي ثانية فقط، والأكثر أهمية هو أن شبكة Anycast الخاصة بهم يمكنها تبديل المسارات في ثوانٍ في حالة حدوث هجوم، ولا يمكن للاعبين الشعور بذلك على الإطلاق. انخفض معدل اضطراب أحد العملاء بمقدار 17% بعد الترحيل.
تجدر الإشارة إلى مسارات 08Host الأوروبية والأمريكية بشكل منفصل. لقد استخدموا مشغل Turfiberia المحلي في أوروبا الشرقية (أعتقد أن الكثير من الناس لم يسمعوا بهذا الاسم)، ولكن زمن الاستجابة من عقدة وارسو إلى موسكو منخفض يصل إلى 55 مللي ثانية. ومع ذلك، من المهم أن نلاحظ أن استراتيجية الحماية الخاصة بهم تحتاج إلى ضبطها يدويًا، فالتكوين الافتراضي لا يمكنه مقاومة هجمات CC الخاصة بالشطرنج.
التلاعب في الأسعار هو القاعدة في هذا المجال. بعض البائعين ينظرون إلى سعر الوحدة على أنه رخيص، ولكن هناك رسوم إضافية لرسوم تنظيف حركة المرور، ورسوم طلب HTTPS، وحتى رسوم مكالمات واجهة برمجة التطبيقات. يمكن أن تكون تكلفة الحماية المحسوبة لكل جيجابت في الثانية أكثر من ثلاثة أضعاف الفرق. من الأفضل البحث عن استخدام الفوترة المدمجة مثل CDN5، والحماية + سعر حركة المرور المجمّع، والتوفير الشهري المقاس لتكلفة 30%.
أخيرًا قلت درسًا مبكيًا: اسمح دائمًا لبائع CDN بإخفاء عنوان IP المصدر! بعض المصانع الصغيرة لتوفير المتاعب للسماح للعميل A سجل يشير إلى عنوان IP عالي الدفاع، لا يزال الخادم المصدر مكشوفًا في الشبكة العامة. لقد رأيت أكثرها فظاعة، حيث تجاوز المهاجم مباشرةً شبكة CDN لضرب محطة المصدر معلقة. النهج الصحيح هو السماح للبائعين بتوفير مقاطع IP حصرية، لا تسمح المحطة المصدر إلا لمقاطع IP هذه بالعودة إلى المصدر:
إذا كنت لا تعرف كيفية تهيئة جدار الحماية، فعليك البحث عن خدمة مستضافة من البائع، حيث يوفر لك CDN07 مجموعة كاملة من التكوينات، وسيساعدك الفنيون في ضبط قواعد جدار الحماية مباشرةً وعن بُعد. على الرغم من أن ذلك يكلفك المزيد من المال، ولكن اقلق آه، أفضل من أن تكون مشلولاً بسبب فقدان يوم قوي.
إن ممارسة الشطرنج في الخارج في الوقت الحاضر أشبه بالرقص في حقل ألغام، والدفاع ضد القراصنة والأقران على حد سواء. في المرة الأخيرة، واجه أحد العملاء منافسًا منحرفًا متخصصًا في شن هجمات بطيئة أثناء الحدث، حيث كان يحتفظ بكل اتصال لعدة ساعات دون إرسال حزم، مستهلكًا عدد اتصالات الخادم عمدًا. في وقت لاحق، تم استخدام وظيفة تحليل مكدس البروتوكول في 08Host لتحديد هذا النوع من الهجمات المتخفية في شكل اتصال عادي.
من المرجح أن يزرع المبتدئون على تكوين SSL. تذكر أن تقوم بتشغيل TLS 1.3 للموقع بأكمله، وإيلاء اهتمام خاص لتوافق سلسلة الشهادات لتطبيقات الشطرنج. مرة واحدة استخدم العميل شهادة وسيطة شهادة مفقودة، مما أدى إلى بعض أنظمة الهاتف المحمول القديمة في إندونيسيا لا يمكن مصافحة بعض أنظمة الهاتف المحمول القديمة، وفقدان عدد كبير من المستخدمين. الآن أنا مجبر على استخدام مختبرات SSL لاختبار التصنيف إلى A+:
لا توفر المال أبدًا على تنبيهات المراقبة. نوصي باستخدام Prometheus+Grafana للقيام بمراقبة متعددة الأبعاد، مع التركيز على مراقبة معدل إعادة إرسال TCP ووقت الحزمة الأولى. كان هناك وقت تذبذبت فيه شبكة عقدة طوكيو، وزاد وقت الحزمة الأولى من 80 مللي ثانية إلى 200 مللي ثانية في الوقت المناسب لاكتشاف العطل. إذا انتظرت حتى يشتكي اللاعبون ثم تعاملت مع الأمر، فسيكون الطعام باردًا.
لنكون صادقين، هذا الخط من الماء عميق جدًا، العديد من الشركات المصنعة لـ “عدد العقد” هي تسميات خاطئة. الموثوق الحقيقي أو القياس الخاص بهم:
بعد الاختبار ستعرف البائعين الذين يتفاخرون. آخر اختبار لـ “30 عقدة مزعومة في جنوب شرق آسيا”، يمكن استخدام الفعلي على 7، والآخر جميع العقد الافتراضية أو إعادة توجيه NAT.
إذا كانت الميزانية كافية، فمن المستحسن استخدام حل متعدد السحابة. يركز CDN5 على المسارات الآسيوية، ويغطي 08Host أوروبا والولايات المتحدة، ويقوم CDN07 بالحماية الاحتياطية. على الرغم من أن التكلفة مرتفعة، ولكنها مستقرة حقًا، إلا أن منصة الشطرنج المعروفة مع هذه المجموعة من الهندسة المعمارية لتحمل موجة نوفمبر الأخيرة من هجوم 900G الكبير.
وقال أخيرا صلبة: لا يكون الجشع رخيصة مع تلك المصانع الصغيرة غير معروفة. عميل لحفظ تكاليف 20% لاختيار بائع جديد، تم اختراق النتائج حتى عندما لا يمكن الوصول إلى هاتف خدمة العملاء. في وقت لاحق، علمت أن الفريق الفني بأكمله المكون من ثلاثة أشخاص، جاء الهجوم مباشرة لسحب خط الشبكة. الشطرنج في هذا الخط، الاستقرار أهم 10000 مرة من توفير المال.
وباختصار، فإن اختيار شبكة CDN عالية الدفاع في الخارج يشبه مطابقة المعدات، فلا يوجد أفضل فقط الأنسب. المفتاح هو النظر إلى التوزيع الفعلي للأعمال وخصائص الهجوم. يوصى بإجراء حساب اختبار لتشغيل أسبوع لمراقبة البيانات، ثم دمجها مع تكلفة اتخاذ القرارات. بعد كل شيء، لن يمنحك اللاعبون فرصة ثانية - التأخر ثلاث مرات مباشرةً في إلغاء التثبيت هو أمر واقعي للغاية.
