Recientemente, varios amigos haciendo plataformas sociales corrieron a preguntarme, alta defensa CDN al final cómo elegir, el precio no es todo como la leyenda tan temible. Para ser honesto, la primera vez que me puse en contacto con este pedazo de tiempo también confundido, los vendedores ofrecen lista parece deslumbrante, desde unos pocos miles a cientos de miles de todos, al final, que es realmente asequible, ¿cuál es el impuesto IQ? Hoy voy a combinar el pozo que pisé y los datos de prueba reales, romper abierto y hablar de esto.
En primer lugar verter jarras de agua fría: no creo que esos “defensa ilimitada” “nunca el tiempo de inactividad” palabras fantasmas. Esta línea de agua es muy profunda, algunos vendedores a 5Gbps defensa marcado como 100Gbps venta, fue golpeado directamente a usted de vuelta a la fuente, llorando demasiado tarde. He probado un servicio que afirma “ignorar cualquier ataque”, el resultado de un simple ataque CC en la defensa roto - y más tarde se encontró que ni siquiera hacer el análisis básico de comportamiento.
El coste de defender una empresa social es esencialmente pagar por un pico monstruoso de tráfico. El acceso normal de los usuarios es una curva suave, pero el tráfico de ataque es como una onda sísmica, que aumenta instantáneamente. El valor fundamental de una CDN de alta defensa es digerir este tráfico aberrante en los nodos de borde y no dejar que llegue a los servidores de origen. Esto implica dos costes fundamentales: los de ancho de banda y los de limpieza.
Los costes de ancho de banda tienen en cuenta el tráfico normal de la empresa y suelen facturarse por 95 picos al mes o totales mensuales. El coste de limpieza es para pagar la capacidad de defensa, la corriente principal se factura por el pico de ataque o comprar paquetes de defensa. Por ejemplo: si el ancho de banda diario es de 200Mbps, un día de repente se produjo un ataque DDoS de 300Gbps, entonces la facturación de referencia se basa en la capacidad de limpieza de 300Gbps para calcular, incluso si sólo duró 5 minutos.
Ahora vamos a lo importante. He extraído presupuestos de tres proveedores habituales para comparar (CDN5, CDN07, 08Host), y los datos proceden de pruebas reales realizadas el año pasado cuando ayudé a cierta plataforma de medios sociales de audio/vídeo a elegir un modelo:
CDN5Paquete básico: Adecuado para escenarios con muchos ataques repentinos. El paquete básico cuesta a partir de 20.000 al mes e incluye 200 Mbps de ancho de banda y 200 Gbps de defensa. El exceso de tráfico de limpieza se factura a 0,8 $/Gbps/hora. La mayor ventaja es que hay muchos nodos globales, baja latencia en el sudeste asiático, pero el número de peticiones HTTP/HTTPS cuenta algo más, y las llamadas a la API son frecuentes y es fácil exceder el presupuesto.
CDN07Paquete básico: estrategia de defensa más agresiva, adecuada para aplicaciones sociales financieras. El paquete básico es de 35.000/mes con 300Mbps de ancho de banda + 300Gbps de defensa, con su propio cortafuegos de aplicaciones web, que puede bloquear la mayoría de los ataques CC. He probado su algoritmo de IA, y la tasa de reconocimiento de ataques lentos puede alcanzar 90%, pero el número de nodos es pequeño, y la latencia de acceso de los usuarios de América es alta.
08HostLa primera opción para plataformas sociales pequeñas y medianas es 15.000/mes por 100Mbps de ancho de banda + 100Gbps de defensa, y sólo 0,5$/Gbps/hora por exceso de costes de limpieza. Lo más destacado es la provisión gratuita de gestión de certificados y WAF básico, pero la resistencia del nodo a los ataques de tráfico pesado de vez en cuando activará el mecanismo de fusión, es necesario configurar una buena estrategia de degradación de antemano.
Aquí hay un escollo para prestar especial atención a: muchos vendedores de “defensa ilimitada” de hecho, sólo para UDP Flood como fácil de limpiar el ataque, se encontró con ataques de tipo conexión TCP o CC avanzada, directamente volcado al cliente. Es mejor establecer claramente el tipo de defensa y las normas de compensación en el contrato.
El ejemplo de configuración en realidad no es tan complicado, el núcleo es una buena programación del tráfico. Me gustaría compartir un script Nginx+Lua que utilizo habitualmente para identificar tráfico anómalo y cambiar a un nodo de limpieza:
El control real de los costes también depende de las características del negocio. El coste de defensa del chat de texto puro y de la difusión de audio/vídeo puede ser 10 veces diferente. El primero es principalmente para evitar ataques CC, el número de solicitudes por segundo (RPS) es un indicador clave; el segundo tiene que llevar UDP Flood y ataques de reflexión DNS, el coste de ancho de banda es una gran cabeza. Una vez que un cliente con el fin de ahorrar dinero sólo utilizan la defensa básica, los resultados de la transmisión en vivo fue de 30 Gbps de penetración de ataques UDP, la pérdida de tiempo de inactividad de un día que el presupuesto anual de defensa es mayor.
Sinceramente recomendar a los jefes de las empresas sociales: dejar de lado por lo menos 10% presupuesto de tecnología para la protección de la seguridad. No mire el negocio está en calma ahora, cuando realmente ser el blanco, la compra temporal de servicios no será el precio. El año pasado, una plataforma de citas fue competidores jugaron un conjunto de combinaciones, la compra temporal de defensa 500Gbps, un día para quemar 200.000 - suficiente para comprar un paquete de un año completo.
Por último, una teoría tiránica: hoy en día, incluso las CDN tienen que “evitar compañeros de equipo”. Algunos proveedores no tienen suficientes nodos para alquilar ancho de banda de segunda mano, y cuando se ven afectados, la sobrecarga de enlaces directamente se colapsa. Lo mejor es pedir diagramas de topología de nodos e información de difusión BGP al seleccionar un modelo, pero cualquier tropiezo pasa directamente.
En resumen, no hay una respuesta estándar a la CDN de alta defensa social, la clave para mirar a los escenarios de negocio y características de ataque. Pequeñas plataformas primero 08Host tales servicios rentables, la actividad diaria de más de un millón y luego considerar CDN5 optimización de enlace completo, la demanda de nivel financiero y luego mirar CDN07. precio desde el pago mensual de unos pocos miles a cientos de miles de razonable, pero recuerde: la esencia de la defensa es la transferencia de costos, el costo de los ataques incontrolables en un presupuesto de protección controlable, vale la pena el dinero gastado.
Si un proveedor te ofrece una cuota anual millonaria, dale una bofetada en la cara con este artículo: a menos que pueda ofrecer una limpieza casi de origen militar y una respuesta en 7×24 segundos, todo es mentira.
