Acabo de terminar de ocuparme de un incidente DDoS para un cliente y de paso me he preparado una taza de té fuerte. El mensaje de texto de alarma de la sala de servidores a las 3:00 a.m. es como un amuleto de la muerte, pero esta vez nuestra CDN de alta defensa realmente llevó los 800Gbps de tráfico inesperado, e incluso el jitter de negocios no apareció. Al lado del nodo de la casa del viejo rey es todavía probablemente reiniciando - en estos días, no entienden el ancho de banda elástico y la movilización inteligente de la operación y mantenimiento, es simplemente usar un palillo de fósforos para apoyar la puerta del embalse.
El tráfico en ráfagas es desde hace tiempo algo más que la patente del doble once. He medido la curva de tráfico de una plataforma de comercio electrónico en un día normal de promoción, en sólo 5 minutos el número de peticiones se disparó 12 veces, por no hablar de los ataques CC organizados y DDoS pulsados. la CDN tradicional de ancho de banda fijo es como una carretera de un solo carril en la hora punta de la mañana, no importa que toques el claxon para romperla, no puede moverse ni medio paso. La verdadera alta defensa debe tener “Transformers” tipo de expansión de la capacidad, y el ancho de banda elástico es su motor principal.
El año pasado, ayudamos a una aplicación financiera a realizar pruebas de estrés en el foso. En ese momento, se utilizó un proveedor que afirmaba tener “protección ilimitada”, y como resultado, el tráfico repentino sólo se precipitó a 200G, y todo el nodo directamente handshake tiempo de espera. Más tarde, la captura de paquetes encontró que su reserva de ancho de banda es la programación interregional, los nodos de América del Norte se derrumbó antes de pedir prestado recursos de Europa, el retraso se disparó a 900ms +. Lecciones de sangre te dicen:El ancho de banda elástico debe permitir el escalado en caliente de recursos dentro de un mismo nodoEn lugar de jugar al truco transfronterizo de derribar los muros del pasado.
Ahora la industria puede hacer la elasticidad real, contando los dedos no más de cinco. Por ejemplo, el enlace dinámico BGP de CDN07, he probado su nodo de Tokio: en la línea de base 100Gbps de ancho de banda basado en 300ms puede ampliar automáticamente a 1,2Tbps. la clave de esta expansión no es un simple montón de ancho de banda, pero basado en el tipo de protocolos para hacer la asignación inteligente - TCP negocio al enlace estable. Los servicios TCP se asignan a los enlaces estables, el tráfico de ataque UDP se dirige al centro de limpieza y las peticiones HTTP/HTTPS tienen prioridad para garantizar una baja latencia.
Mira estos datos de muestreo de ancho de banda en tiempo real para ver dónde está la brecha:
Pero la ampliación del ancho de banda por sí sola es una solución a medias. Cuando una plataforma de vídeo sufrió un ataque el año pasado, aunque el ancho de banda aguantó, la resolución DNS se convirtió en un coladero. Esto nos lleva a otra capacidad fundamental:Los sistemas de despacho inteligentes deben permitir la toma de decisiones en milisegundos a través de los enlaces de redLo primero que me gustaría hablar es de cómo utilizar el sistema de “equilibrio de carga global”. Muchos vendedores se jactan de "equilibrio de carga global" en realidad todavía se basa en la ubicación geográfica de la distribución estática, se encontró con el tráfico inesperado no se puede cambiar.
Un buen sistema de programación tiene que ser como un viejo conductor conduciendo por una carretera de montaña: antes de que los ojos vean la curva, las manos ya están dirigiendo. Por ejemplo, el modelo multidimensional de toma de decisiones de 08Host calcula 12 parámetros al mismo tiempo: calidad del enlace en tiempo real, coste de carga de los nodos, características del tipo de ataque, e incluso predice el siguiente número de AS que puede estar congestionado. Su programador permite reconstruir la ruta completa de la red en 0,3 segundos, más de 20 veces más rápido que la programación DNS tradicional.
Aquí tienes una comparación de la latencia de programación de mi prueba del mes pasado:
No te fíes de los vendedores que sólo lanzan soluciones de optimización TCP. Una vez engañaron a un cliente para que comprara la “optimización exclusiva de la pila de protocolos”, y el resultado fue que, ante ataques SYN Flood, el número de conexiones nuevas por segundo superó las 800.000, y entonces rompió directamente la defensa. La verdadera alta defensa debe jugar una combinación de golpes: el ancho de banda elástico para proteger la capacidad, la programación inteligente para proteger la ruta, la optimización de protocolos para proteger la eficacia de las tres capas son indispensables.
He encontrado un fenómeno interesante en la batalla real: muchos de tráfico de ataque ahora se disfrazan de negocio normal. La semana pasada se encontró con un ataque de CC en la imitación del patrón de solicitud de la API de vídeo de corta duración, 2 millones de solicitudes por segundo con un token de autenticación válida. Esta vez pura expansión de ancho de banda, pero ayudará al mal, debe confiar en el motor de análisis de comportamiento en la capa de programación para interceptar. solución CDN07 es ampliar la elasticidad del canal montado módulo de detección de AI, la expansión de ancho de banda no va al clúster de limpieza directamente soltar paquetes, lo que es realmente fiable.
Para dar un ejemplo de configuración, aquí está nuestra implementación de Elastic Bandwidth + Intelligent Scheduling linked jobs en CDN5:
Por último, me gustaría hacer un punto escandaloso: Cualquiera que todavía se atreve a utilizar un paquete de ancho de banda fijo en 2024 es un magnate o un verdadero guerrero. He manejado la investigación del incidente de fuga, al menos tres veces porque no podían abrir el ancho de banda elástico, la exposición IP de la estación de origen después de ser atravesado por el ataque de pulso. Ahora CDN07 y 08Host tienen un modo flexible de facturación por volumen, el ataque llegó a ampliar la capacidad, por lo general pagar la cuota básica de ancho de banda, el costo puede ser presionado hacia abajo 60% o más.
Esta cosa de la tecnología es más miedo del papel. El año pasado, un proveedor de libro blanco soplando sus algoritmos de programación de lo poderoso, los resultados de una prueba, el cambio de nodo para actualizar recursivamente toda la caché DNS de la red, las flores amarillas son frías. El verdadero trabajo se lleva a cabo en la batalla real - como esta mañana temprano 800G ataque y defensa, sistema de programación inteligente en 18 segundos para cortar el tráfico de usuarios a los tres nodos de espera, ancho de banda elástico expansión sincrónica a 900G, desde el principio del fin del usuario, incluso un 502 no han visto.
Al final, la CDN de alta defensa ya no es un simple transportador de tráfico. Debe ser capaz de predecir el ataque de Zhu Geliang, puede soportar la presión del Optimus Prime, también debe ser un cálculo cuidadoso del contador. Los que todavía están atrapados en la “guerra número G” nivel de vendedores, tarde o temprano para ser presionado en la fricción del suelo.
(De repente recibió una alarma de monitorización, miró a la consola y se rió de nuevo - esta vez es un tráfico de actividad del cliente, naturalmente, se disparó 320%, el sistema está ampliando automáticamente la capacidad. Toque el teléfono para enviar un mensaje al equipo técnico: “Esta noche el té de la tarde en mí, por cierto, 08Host solución de programación híbrida para optimizar otra versión”)
