في الآونة الأخيرة لمساعدة الأصدقاء في التعامل مع موقع الويب كان DDoS ضربت مشاكل معلقة DDoS، وجدت أن العديد من الأشخاص الذين تم تكوين CDN عالية الأمان بشكل خاطئ، وخاصة دقة CNAME لهذا الرابط - هل تعتقد أنه بعد حل راحة البال العالية؟ خطأ! التكوين الخاطئ هو فشل تسريع خفيف، والتعرض المباشر الثقيل لعنوان IP الخاص بالمحطة المصدر.
في الشهر الماضي، هناك عميل أقسم لي أن "بائعي CDN قالوا إن قرار خمس دقائق ليصبح ساري المفعول"، نتائج الانتظار لمدة نصف يوم أو أن المستخدم متصل مباشرة بمحطة المصدر الخاصة به، تدفق حركة المرور إلى الخادم مباشرة مشلول. صعدت لإلقاء نظرة، رجل جيد، قيمة سجل CNAME في نهاية القيمة مفقودة نقطة، لم يدخل التحليل حيز التنفيذ.
حتى شبكات CDN يجب أن تدافع عن نفسها ضد زملائها في الفريق هذه الأيامبعض مستندات البائعين مكتوبة كما لو كانت كتب، والدعم الفني لن يقوم إلا بنسخ ولصق الكلمات الرسمية. اليوم سأخبرك اليوم بخبرة عملية، دقة CDN CNAME عالية الأمان في النهاية كيفية اللعب، من مبدأ تجنب الحفرة خطوة واحدة إلى مكان.
يُرش الماء البارد أولاً:لا تظن أن كل شيء سيكون على ما يرام بعد حل CNAME.لقد اختبرت وقت الدقة لثلاثة بائعين رئيسيين. لقد اختبرت وقت سريان دقة دقة البائعين الثلاثة الرئيسيين الثلاثة، وأسرعهم CDN5 يمكن أن يسري في 90 ثانية على مستوى العالم، في حين أن بعض البائعين الصغار للعقدة يضطرون إلى الانتظار لمدة 20 دقيقة - خلال هذه الفترة الزمنية تكون حركة المرور في حالة عارية!
ما أهمية CNAME؟ ببساطة هو ببساطة هو برنامج جدولة حركة المرور الخاصة بك. عندما يصل المستخدم إلى اسم النطاق الخاص بك، سيقوم DNS أولاً بتوجيه الطلب إلى عنوان CNAME الخاص بمزود شبكة CDN، ثم يقوم المزود بتعيينه بذكاء إلى أقرب عقدة حماية. إذا بدأ المجدول في الإضراب، يندفع المستخدم مباشرةً إلى باب خادمك الرئيسي.
دعونا نأخذ حالة مبكية: استخدمت إحدى المنصات المالية خدمة الدفاع العالي لـ CDN07، لكن الفنيين قاموا بحل اسم CNAME إلى عنوان IP الخاص بالمحطة المصدر بدلاً من اسم نطاق الحماية الخاص بالبائع. ونتيجة لذلك، قام المهاجم مباشرةً من خلال سجلات DNS بالرجوع إلى سجلات DNS للعثور على عنوان IP الحقيقي، فمرّت موجة من حركة المرور التي تبلغ 500 جيجا مباشرةً إلى غرفة الخادم.
الآن جنبًا إلى جنب لتعليمك التكوين الصحيح، إلى دقة DNSPod المحلية الشائعة كمثال:
انتبه لذلك.النقطة الأخيرة! هذه هي أكثر التفاصيل التي يسهل التغاضي عنها. مع وجود نقطة تشير إلى اسم نطاق مطلق، وبدون نقطة سيقوم النظام تلقائيًا بلصق اسم النطاق الحالي. لقد رأيتُ أشخاصًا يضعون قيمًا قياسية مثل "security.cdn5.com.web.com" وهذا النوع من الهراء.
إذا كنت تستخدم شبكة CDN مثل 08Host مع أربع طبقات من الحماية، فسيكون التكوين أكثر تعقيدًا بعض الشيء:
لا تنتظر حتى يكتمل التحليل! تحقق من ذلك على الفور باستخدام الأمر dig:
كنت أتحقق من حالة الدقة للمناطق المختلفة باستخدام أداة استعلام DNS العالمية. ذات مرة وجدت أن التأخير في حل العقد الأوروبية كان يصل إلى 300 مللي ثانية، وقررت السماح للبائع بتحديث ذاكرة التخزين المؤقت لنظام أسماء النطاقات في العقد الطرفية.
البيانات الفعلية تتحدث عن نفسها.:: في ظل نفس بيئة الشبكة، تستغرق دقة CDN5 العالمية 68 ثانية في المتوسط، بينما تستغرق دقة CDN07 120 ثانية، و 08Host هي الأفضل أداءً في منطقة آسيا والمحيط الهادئ بمعدل 40 ثانية فقط. إذا كنت تقوم بالتجارة الإلكترونية عبر الحدود، فإن هذا الفارق الزمني يؤثر بشكل مباشر على سرعة تحميل الشاشة الأولى.
ما الذي يجب أن أفعله إذا واجهت قراراً لا يعمل؟ تحقق من ثلاثة أشياء أولاًما إذا تم تحديث ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS)، وما إذا كان قد تم تعيين TTL طويل جداً، وما إذا كانت قيمة CNAME مع مساحة إضافيةلست متأكدًا من كيفية حل هذه المشكلة، لكنني لست متأكدًا من كيفية حلها. لقد واجهت في وقت ما مشكلة ميتافيزيقية: ذاكرة التخزين المؤقت لنظام أسماء النطاقات للعميل حتى لمدة 24 ساعة، واضطررت في النهاية إلى تحديث نظام أسماء النطاقات المحلي لحلها.
نصائح الإخفاء لشبكات CDN عالية الدفاعات:قم بتكوين قواعد WAF بمجرد سريان مفعول التحليل. تم استغلال العديد من الأشخاص من خلال هجمات الحقن أثناء انتظار "التأثير الكامل". في الواقع، بمجرد أن يبدأ حل DNS في توزيع حركة المرور، يمكن لعقدة الحماية أن تتدخل بالفعل لتنظيف حركة المرور.
نصيحة أخيرة حادةلا تصدق ادعاء البائع بأن "الحل يسري على الفور".. تخضع جميع تغييرات DNS لتأخيرات في الانتشار وتستغرق دقيقتين على الأقل لتصبح سارية المفعول على مستوى العالم. خلال هذا الوقت، تأكد من تشغيل جدار حماية المصدر وتعيينه للسماح فقط لعناوين IP الخاصة بعقدة CDN بالوصول إلى الموقع، حيث أن هذه ممارسة مضمونة.
تحقق الآن من سجل CNAME الخاص بك، هل ما زلت تنتظر "خمس دقائق حتى يسري مفعولها"؟ استخدم الأمر dig للتحقق، ربما موقعك الإلكتروني يعمل عاريًا في الوقت الحالي!
