في الآونة الأخيرة، يسأل العملاء دائمًا نفس السؤال: هل شبكة CDN السحابية عالية الدفاع في بايدو في النهاية غير موثوقة؟ لأكون صادقًا، لو طُرح عليّ هذا السؤال قبل نصف عام، لربما اضطررت إلى تصفح المستندات. ولكن في الشهر الماضي، تعرضت أعمال التجارة الإلكترونية لشركتنا لثلاث موجات من DDoS، واندفعت الذروة القصوى إلى 800 جيجابت في الثانية، فقط خذ الدفاع العالي السحابي من Baidu لإجراء اختبار قتالي - النتائج، مثيرة للاهتمام قليلاً.
دعونا نتخلص من الاستنتاج أولاً: هذا ليس منتجاً خرافياً، لكنه يحل نقاط الألم في سيناريوهات محددة. إذا كنت تتعرض للتعذيب من قبل هجمات CC للاستيقاظ في منتصف الليل لإعادة تشغيل الخادم، أو كنت في حيرة من أمرك بشأن الخدمة عالية الدفاع التي تختارها، فإن هذه المراجعة للاختبار الفعلي يجب أن تكون قادرة على إعطائك بعض المراجع.
أولاً، الدفاع العالي CDN في النهاية لمنع ماذا؟
كثير من الناس يعتقدون أن شراء شبكة CDN عالية الدفاع سيكون قادراً على الراحة بسهولة، في الواقع، هذا محض مبالغة في التفكير. لقد رأيت الحالة الأكثر فظاعة هي شركة مالية على الإنترنت، اشترت أعلى تكوين للدفاع العالي ولكن لا يزال يتم اختراقها - تبين لاحقًا أن المبرمجين الخاصين بهم هم من كشفوا منفذ قاعدة البيانات في الشبكة العامة. لذلك دعونا نكون واضحين: شبكة CDN عالية الدفاع هي في الأساس لمنع هجمات طبقة التطبيقات (مثل هجمات CC، وHTTP Flood) وهجمات طبقة الشبكة (مثل SYN Flood، وانعكاس UDP)، ولكن لا يمكنها منع ثغرة منطق الأعمال وتفجير كلمة المرور الضعيفة.
تم تصنيف سعة تنظيف حركة مرور بايدو السحابية عالية الأمان رسميًا على أنها 2 تيرابايت في الثانية، وقمت بقياس حوالي 800 جيجابت في الثانية من الهجمات المختلطة (SYN Flood + هجوم HTTP البطيء)، ولم تنخفض العقدة. ومع ذلك، تجدر الإشارة إلى أن عملية التنظيف سيكون لها تأخير من 5 إلى 10 ثوانٍ من الارتعاش، وذلك من أجل أعمال المعاملات في الوقت الحقيقي للقيام بآلية جيدة لإعادة المحاولة في الوقت الحقيقي.
ثانياً، هناك المزيد من الحفر في سلسلة التكوين أكثر مما هو متوقع
لا تصدق أن المبيعات تقول ”وصول مفتاح واحد”. في الممارسة العملية، هناك ثلاثة أنماط لحل اسم النطاق في وقت التكوين: CNAME و NS وسجل A. أوصي بشدة باستخدام NS لتولي الدقة بالكامل، على الرغم من أن تغيير سجل NS يستغرق بضع ساعات حتى يصبح سجل NS ساري المفعول، ولكن دقة الجدولة اللاحقة أعلى. في السابق، عندما كنت أستخدم الوصول إلى CNAME، واجهت مشكلة في ذاكرة التخزين المؤقت للحل، وكان المستخدمون في منطقة معينة لا يزالون يرسلون إلى عنوان IP المصدر لمدة يومين متتاليين.
تكوين ذاكرة التخزين المؤقت هو أيضًا حفرة مظلمة. قواعد التخزين المؤقت للموارد الثابتة الافتراضية غير ودية للغاية للمواقع الديناميكية:
ثالثًا، استراتيجية السعر غامضة بعض الشيء
يستخدم Baidu Cloud High Defence نموذج فوترة مزدوج للنطاق الترددي + عدد الطلبات. تبدأ الباقة الأساسية من 20,000 شهريًا (حماية 100 جيجابت في الثانية + تدفق 5 تيرابايت)، ويتم احتساب عدد الطلبات بـ 0.15 يوان لكل 10,000 طلب بعد تجاوزها. خلال إحدى عروضنا الترويجية، كان هناك فجأة 2 مليون طلب إضافي، وارتفعت الفاتورة مباشرةً بمقدار 30,000، واكتشفنا فيما بعد أن الزاحف كان ينظف صفحة تفاصيل المنتج.
مقارنة بالعديد من الآخرين: CDN5 باستخدام عدد غير محدود من الطلبات ولكن سعر وحدة النطاق الترددي أعلى (1 جيجابت في الثانية / شهر = 8000 يوان)، CDN07 يوفر حماية ثابتة 300 جيجابت في الثانية ولكنه لا يدعم التوسع المرن. 08Host شارك مؤخرًا في أنشطة الدفع السنوي بخصم 60٪، لكن عدد العقد هو نصف بايدو فقط. لنكون صادقين، لا يوجد حل مثالي، فقط مناسب أم لا.
رابعًا: بيانات تأثير الحماية الحقيقية
نشر مقارنة للبيانات عندما كانت أعمالنا تتعرض للهجوم:
هناك شيء واحد يجب ملاحظته هو أن الحدود الافتراضية لحماية CC في الجانب المتحفظ. أوصي بضبط القواعد أول شيء عندما تحصل على حساب:
خامساً: تفاوت جودة العقد
تمتلك بايدو كلاود أكثر من 2000 عقدة في الصين، ولكن جودة العُقد في مدن الدرجة الثالثة أسوأ بكثير من تلك الموجودة في عليون. من خلال المراقبة المستمرة لـ 17Monitor، وجدنا أن معدل إعادة إرسال TCP في فوشان وقوييانغ والعقد الأخرى يرتفع أحيانًا إلى 3% (يجب أن يكون المعدل الطبيعي أقل من 0.5%). في وقت لاحق، من خلال استراتيجية الجدولة للحد من الأعمال المهمة في أفضل 10 عقد مدينة، استقر التأخير على الفور في غضون 30 مللي ثانية.
العقد في الخارج هي أكثر ثقوبًا في المجاري! العقد في هونج كونج تأخذ خط PCCW في المساء ذروة معدل فقدان الحزمة مذهل، فإن زمن انتقال العقدة في الولايات المتحدة هو في الأساس أكثر من 200 مللي ثانية. إذا كنت ترغب في القيام بأعمال تجارية عالمية، فمن المستحسن استخدام بايدو السحابية المضادة للهجوم + CDN5 للقيام بمجموعة من برامج التسريع.
سادسًا: سرعة استجابة الدعم الفني
هذه هي النقطة التي أريد أن أشكو فيها أكثر من غيرها. مشاكل عادية أوامر عمل المشاكل العادية في المتوسط 4 ساعات للرد، والهجمات العاجلة تحتاج إلى الاتصال للحث. على النقيض من CDN07 يوفر خبراء تقنيين على مدار 7 × 24 ساعة في الموقع، 08Host حتى سحب ثواني WeChat للشركات لسحب استجابة المجموعة. ومع ذلك، فإن Baidu Cloud لديها خدمة خفية: العملاء الذين يستهلكون أكثر من 100000 يوان في الشهر يمكن تجهيزهم بمهندس معماري حصري، وقمنا لاحقًا بضغط وقت الاستجابة للمشكلة إلى 20 دقيقة من خلال هذه القناة.
سابعًا، لا تتجاهل أبدًا حماية مصدر الإرجاع
لقد رأيت الكثير من الشركات تتذكر فقط استخدام الدفاع العالي لحماية حركة مرور المدخل، ولكنها نسيت حماية العقد غير التابعة للشبكة الرقمية الموزعة إلى المصدر. كانت هناك حالة مأساوية: حصل المهاجم على عنوان IP الحقيقي من خلال مسح الشبكة بالكامل واخترق محطة المصدر مباشرةً. تأكد من إعداد قائمة بيضاء في جدار حماية الخادم:
ثامناً: ما هي الأعمال المناسبة بالضبط؟
بعد ثلاثة أشهر من الاختبار، أعتقد أن دفاع بايدو السحابي العالي هو الأنسب لهذين النوعين من السيناريوهات: 1) يتركز مستخدمو الأعمال الرئيسيون في الشركات المحلية المتوسطة والكبيرة، خاصة في قطاعات التعليم والحكومة والصناعات المالية التي تحتاج إلى التسجيل؛ 2) العملاء الذين استخدموا بالفعل منتجات بايدو السحابية الأخرى (مثل BCC و BOS)، يمكن أن توفر إمكانية التشغيل البيني للإنترانت الكثير من تكاليف حركة المرور. إذا كان الأمر يتعلق بالتجارة الإلكترونية العابرة للحدود أو السعي وراء أعمال الألعاب ذات الكمون الشديد، فمن المستحسن النظر إلى الآخرين.
أخيرًا، الحقيقة: لا يوجد حل يمكن أن يمنع الهجمات 100%. لقد قمنا لاحقًا بإجراء التعافي من الكوارث متعددة CDN - الدفاع العالي السحابي من بايدو كحماية رئيسية، CDN5 للقيام بالنسخ الاحتياطي الذكي للجدولة الزمنية، زادت التكلفة الشهرية بمقدار 40%، ولكن بعد ذلك لم تظهر المحطة بأكملها وقت تعطل المحطة. الأمن هو شيء من هذا القبيل، وعادة ما يعتقد أن الاستثمار هو مضيعة للمال، حقا شيء يحدث لمعرفة هي الأموال المنقذة للحياة.
(بناءً على طلب البائع لإخفاء بعض بيانات الاختبار، لكن الاستنتاجات الأساسية تصمد أمام التدقيق. (إذا كنت ترغب في الاطلاع على مخططات مراقبة حركة المرور المحددة، يمكنك إرسال رسالة خاصة للتبادل - تذكر أن تذكر النية، مؤخرًا الزاحف لإضافة الكثير من المدونات الصغيرة)
