في الآونة الأخيرة، تم سؤالي من قبل العملاء: ما هي شبكة CDN عالية الدفاع التي تستخدمها، وهل شبكة هواوي السحابية جيدة؟ لنكون صادقين، في هذه الأيام، حتى شبكات CDN يجب أن "تمنع زملاء الفريق" - بعض مزودي الخدمة يتحدثون عن "التسريع العالمي"، هجمات CC الفعلية تعود مباشرة إلى المصدر، هذه ليست حفرة؟
في الشهر الماضي، كان فريقنا يعمل على ترقية بنية الأمان، وسحبتُ شبكة CDN عالية الدفاع من هواوي السحابية، وشبكة CDN5 القديمة في الصناعة، وشبكة CDN07 التي تركز على البلدان الخارجية، واختبرتها كلها بدورها. طريقة الاختبار بسيطة وخشنة للغاية: مباشرةً إلى اسم نطاق الاختبار لصب حركة مرور مختلطة لمعرفة أي منها يمكن أن يحمل سيناريو الهجوم الحقيقي.
ألقِ الاستنتاجات أولاً:إن حل Huawei Cloud هذا يرقى حقًا إلى مستوى كلمة "فئة المؤسسات" في الأبعاد الثلاثة الأساسية المتمثلة في جودة العقدة ودقة الدفاع والاستقرار. ولكن لا تتعجل في صرف الأموال، فهناك بعض النقاط التي تحتاج إلى معرفتها مسبقًا.
تم بناء بيئة الاختبار بثلاث مجموعات من البنى: شبكة CDN عالية الدفاع من Huawei Cloud، وحزمة تسريع WAF من CDN5، والخط المفضل لآسيا والمحيط الهادئ من CDN07. كل مجموعة من التكوينات 10 صفحات أساسية، بما في ذلك واجهة برمجة التطبيقات الديناميكية والموارد الثابتة، مع محاكاة LoaderRunner لحركة مرور عادية بمعدل 500 كيلوبت في الثانية + حركة مرور هجومية مختلطة بمعدل 200 كيلوبت في الثانية، واختبار الضغط المستمر لمدة 6 ساعات.
الجولة الأولى من قياس تغطية العقدة. لقد أعلنت Huawei Cloud رسميًا عن أكثر من 2800 عقدة، وقد استخدمت أمر Dig في الواقع لتحليل عدد العقد التي يمكن الوصول إليها وهو 137 عقدة (آسيا والمحيط الهادئ)، مقارنةً بـ CDN5 وCDN07 البالغ عددها 89 عقدة وCDN07 البالغ عددها 211 عقدة في الوسط. لكن جودة العقدة هي شيء يمكن خداعه بمجرد النظر إلى عدد العقد - لقد اخترت تحديدًا الذروة المسائية باستخدام MTR لتتبع المسار، ووجدت أن عقدة Huawei Cloud في هونج كونج يتم التحكم في قفزات عقدة هونج كونج في حدود 5 قفزات، وعقدة لوس أنجلوس على مسار CN2 GIA. على العكس من ذلك، على الرغم من أن CDN07 يحتوي على العديد من العقد، إلا أن زمن انتقال بعض عقد جنوب شرق آسيا ارتفع إلى 380 مللي ثانية فأكثر.
إليك تفصيلاً يستحق التباهي به: تقوم عقد حافة Huawei Cloud بتحسين مكدس TCP. لقد التقطت حزمة ورأيت أنهم قاموا بتغيير معلمات kernel، وتم تقليل عدد مرات إعادة إرسال SYN من 5 مرات الافتراضي إلى 3 مرات، وتم ضغط وقت استرداد حالة TIME_WAIT إلى ثانية واحدة. لا تقلل من شأن هذا التغيير، فعند مواجهة هجوم فيضان SYN لن يكون تجمع الاتصال مشغولاً، يمكن للاختبار الفعلي أن يحمل 3000 حزمة مشوهة أخرى في الثانية.
أداء Huawei Cloud مثير للدهشة بعض الشيء - يتم تنظيف فيضان UDP بالكامل في عقد الحافة، دون أي حركة مرور إلى المصدر.CC الهجوم الذي أدى إلى تشغيل التحقق البشري، لكن منطق التحقق مثير للاهتمام بعض الشيء: لن يظهر نفس الجهاز رمز التحقق مرة أخرى خلال 24 ساعة بعد التحقق الأول، ولكن استخدم محرك التحليل السلوكي لإجراء التحقق الصامت. لقد أخذت Selenium لمحاكاة سلوك المتصفح، حتى الطلب السابع عشر لتشغيل التحقق مرة أخرى، ثم CDN5 كل 5 مرات للتحقق من التجربة جيدة جدًا.
الشيء الأكثر إثارة للدهشة هو الحماية من الهجوم البطيء. لا يمكن للعديد من بائعي شبكات CDN ببساطة اكتشاف هذا النوع من هجوم "الماء الدافئ الذي يغلي الضفدع"، وقد بادرت Huawei Cloud بالفعل إلى خنق الاتصال البطيء بعد 15 ثانية من إنشاء الاتصال، كما أرسلت تلقائيًا حزمة RST إلى العميل. لاحقًا، راجعت المستندات ووجدت أنهم استخدموا خوارزمية SMP (تخفيف الهجوم البطيء) المطورة ذاتيًا، والتي تعد حتى Cloudflare ميزة إضافية مدفوعة.
نشر قواعد الحماية المكوّنة الفعلية للقطعة، هذه هي الصفقة الحقيقية:
لقد تلاعبت قليلاً في جلسة اختبار الثبات - محاكاة اهتزاز الشبكة الإقليمية. استُخدمت ChaosMesh لحقن 30% فقدان الحزمة في عقد الاختبار لمدة 10 دقائق. 3 عقد في CDN5 انقطعت عن العمل مباشرة، وأطلقت CDN07 موازنة التحميل العالمية، لكن التبديل استغرق 47 ثانية. على الرغم من وجود عقدتين في Huawei Cloud أيضًا مع بطء الاستجابة، إلا أن نظام الجدولة الذكي قطع حركة المرور إلى عقدة طوكيو في غضون 12 ثانية، ولم يكن جانب المستخدم على علم بذلك تمامًا.
بالطبع ليست مثالية. فقد وجدت مشكلتين: أولاً، عملية إيداع العقدة المحلية هي مشكلة كبيرة لملء مجموعة من الالتزامات والانتظار لمدة 3 أيام عمل لمراجعتها؛ ثانياً، زمن انتقال نظام التسجيل مرتفع، فسجلات الهجوم يجب أن تنتظر لمدة 5-10 دقائق لمعرفة ذلك، وهي ليست جيدة مثل سجلات الوقت الحقيقي لتدفق 08Host.
ينتمي سعر Huawei Cloud إلى فئة "ألم اللحم ولكن يمكن أن ينقذ الأرواح". يبدأ سعر الباقة الأساسية من 20,000 شهريًا، وهو أغلى بـ 401 تيرابايت 3 تيرابايت من CDN5، ولكنه أرخص بـ 201 تيرابايت 3 تيرابايت من CDN07. رسوم التنظيف لدى بعض البائعين أغلى من الباقة الأساسية، ولكن وجهة نظر Huawei Cloud صحيحة.
ملاحظة أخيرة للإهانة: لا تصدق كل هراء "الدفاع غير المحدود". إذا واجهت بالفعل DDoS بقوة 800 جيجا أو أكثر، فإن أي بائع سيسحبك إلى ثقب أسود. تكمن ميزة Huawei Cloud في أن خوارزميات الدفاع الخاصة بها أكثر ذكاءً، حيث تحدد الهجمات وتخفف من حدتها في مرحلة مبكرة، بدلاً من الاعتماد على النطاق الترددي وحده.
إذا كان نشاطك التجاري في منطقة آسيا والمحيط الهادئ وتحتاج إلى الموازنة بين التسارع والأمان، فإن شبكة CDN السحابية عالية الدفاع من هواوي تستحق التجربة حقًا. ولكن تذكر أن يكون رقم السجل الخاص بك جاهزًا مسبقًا وأن تسحب السجلات المهمة للتخزين المحلي - فترة الاحتفاظ بالسجلات لديهم هي 30 يومًا فقط، وهو أمر مثير للشفقة.
لقد قمت بتجميع بيانات الاختبار في برنامج Excel، إذا كنت بحاجة إلى بيانات مفصلة، يمكنك مراسلتي عبر البريد الإلكتروني بشكل خاص. لا تتوقع أبدًا أن يكون لدى بائع واحد كل شيء، فالدفاع متعدد الطبقات هو الطريق الصحيح.
