Recientemente, muchos amigos en la selección de soluciones de protección desgarrado a la muerte: CDN de alta defensa y servidores de alta defensa, parecen ser anti-ataque, la diferencia de precio es tanto, al final ¿cómo elegir? No te preocupes, yo soy un viejo pedo hoy para darle un descanso claro.
En primer lugar volcar una teoría tormenta: en estos días, no saben un poco de estrategia de despliegue de la operación y mantenimiento, es simplemente trabajar para el hacker. He visto demasiadas empresas ciegamente apilar hardware, dinero quemado wow, realmente DDoS golpeó sobre el mismo accidente. El año pasado para ayudar a una empresa de comercio electrónico para hacer la respuesta de emergencia, el otro lado compró una cuota mensual de 30.000 servidores de alta seguridad, los resultados de 200G de tráfico directamente a través del jefe casi venció a mi teléfono móvil - de hecho, una forma diferente de pensar, con CDN para llevar el tráfico + estación de origen oculto, el costo puede ahorrar más de la mitad.
Los servidores de alta defensa son esencialmente "jugadores duros".. Se puede pensar en él como en un tanque de gran potencia: toda la potencia de fuego se dirige a una sola IP, gana si puede defenderla, y directamente la destruye si no puede. La ventaja es que los datos están completamente controlados, aptos para la necesidad de leer y escribir con frecuencia en bases de datos. Pero el talón de Aquiles es el riesgo de irrupción de un solo punto: una vez expuesta la IP, el atacante podrá centrarse en la salida de potencia de fuego. He probado una marca de servidores de alta defensa, la protección nominal de 800G, la inundación real de 300G UDP llevó a desbordamiento de la cola de handshake TCP.
Las CDN de alta defensa juegan con "tácticas indirectas. Al distribuir el tráfico a través de los nodos globales, los atacantes no pueden tocar tu servidor real en absoluto. Es como dejar que el enemigo se enfrente a innumerables blancos móviles, golpeando uno y cientos de repuesto. Los proveedores de servicios como CDN5 pueden incluso hacer limpieza a nivel de TB, basándose en el número de nodos apilados fuera de la capacidad de redundancia. Sin embargo, la desventaja es que la eficiencia de procesamiento de solicitudes dinámicas es baja, la interacción de bases de datos con más negocios es propensa a retrasos.
Veamos un escenario real: una plataforma financiera ha probado el paquete de servidor de alta defensa y CDN07 al mismo tiempo. Al encontrarse con ataques de CC, la CPU del servidor de alta defensa se disparó hasta 100%, provocando la muerte del negocio, mientras que CDN07 filtraba directamente 90% solicitudes de spam mediante autenticación humano-máquina y limitación de velocidad. Sin embargo, más tarde descubrieron que la latencia aumentaba en 80 ms cuando la interfaz de inicio de sesión del usuario utilizaba CDN, un problema habitual del procesamiento dinámico de recursos.
¿Cómo elegir? Recuerde este principio: elija una CDN si tiene mucho contenido estático, y elija un servidor si necesita aritmética.
Si su negocio es el sitio web oficial, blogs, páginas de comercio electrónico de productos básicos, tales como recursos estáticos basados, selección de ojos cerrados de alta defensa CDN. 08Host línea BGP + optimización de almacenamiento en caché de página, una vez ayudó a mis clientes al tiempo de carga de imágenes de 3 segundos a 400 milisegundos, se encontró con un ataque en la conmutación automática del nodo de copia de seguridad, el usuario simplemente no perciben. El precio también es particularmente escandalosa - unos pocos cientos de dólares al mes puede llevar a los ataques diarios, que para mantener un servidor de alta defensa asequible.
Sin embargo, si necesita computación en tiempo real, como un sistema ERP o una aplicación de base de datos, sigue necesitando servidores de alta defensa. Después de todo, el retraso de retorno de CDN puede ser más de 200ms en intercontinental, y la operación del usuario, obviamente, se sentirá "lag". Una vez que un cliente tuvo que establecer CDN para el sistema de OA, como resultado, los empleados a menudo tiempo de espera al enviar formularios, volver al servidor de alta defensa para resolver el problema.
La jugada avanzada es el "despliegue híbrido". La CDN se utiliza para transportar el tráfico estático, y los datos centrales se siguen colocando en servidores de alta defensa. Comparta un ejemplo de configuración:
El control de costes es la esencia. Negocio de la luz con el paquete de facturación por volumen CDN5, menos de 5 ataques por mes, el costo puede ser inferior a 1/10 del servidor, pero si se encontró con un ataque sostenido, algunos proveedores de CDN "costos de exceso de tráfico" puede asustar fuera del ataque al corazón - una vez que un cliente fue rozado con 2 TB de tráfico, el proyecto de ley directamente de cinco dígitos. Así que el negocio de alto tráfico debe elegir CDN07 este tipo de servicio con "tope de tráfico", más que el umbral de fusión automática.
Por último, me gustaría decir: algunos fabricantes afirman que el valor de protección es demasiada agua. Claramente escrito 300G protección, la prueba de presión real a 200G comenzó a perder paquetes. Realmente quiero ver el efecto también tienen que mirar a la precisión de limpieza - como 08Host motor de reglas inteligentes, incluso los ataques lentos pueden ser identificados, mientras que algunos servidores baratos todavía están utilizando iptables defensa dura, CC ataca a un golpe un cuasi.
En resumen, no creas en soluciones de "un solo truco". En los casos que he manejado, los clientes 70% son más adecuados para CDN de alta defensa, los 20% necesitan servidores de alta defensa, y los 10% restantes tienen que jugar con la arquitectura híbrida. La esencia de ahorrar dinero es "usar buen acero en el filo de la navaja" - recursos estáticos con CDN para dispersar la presión, los datos centrales con el servidor para asegurar el rendimiento, en medio de la programación inteligente encadenar. La próxima vez que te encuentras con las ventas presumiendo de protección universal, directamente tomar este artículo pegar la cara.
