Recientemente, varios hermanos de operación y mantenimiento de la compañía de juegos para encontrarme escupir amargo, dijo que el servidor todos los días por el DDoS golpeó la vida no puede cuidar de sí mismos, la tarjeta de jugador a maldecir, teléfono de servicio al cliente están casi reventado. Me preguntaron la primera pregunta es siempre: “se utiliza alta defensa CDN en el extremo puede llevar a cuántos G. No puede penetrar un fondo?” Esta pregunta parece simple, pero en realidad el agua es bastante profunda. Al igual que usted pide un coche puede correr qué tan rápido, el fabricante marcó un 300 km / h, pero la capacidad real para seguir adelante, depende de las condiciones de la carretera, el conductor y el depósito de combustible no es la cosa real.
La industria del juego es ahora el más afectado por DDoS, especialmente aquellos que tienen un poco de flujo de viaje de la mano y el juego final, simplemente convertirse en el “cajero automático” de los hackers. He visto la semana más escandalosa fue golpeado más de un centenar de veces, el pico del tráfico de ataque se elevó a más de 800G, una variedad de tipos de ataques a su vez: UDP Flood, ICMP Flood, TCP SYN Flood, y CC ataques específicamente para la capa lógica del juego. Para ser honesto, en estos días no hay CDN de alta defensa fiable, el juego simplemente no se atreven a abrir el servicio.
En primer lugar, una conclusión: la corriente principal del mercado de proveedores de servicios de alta defensa, pico de defensa de 100G a 1T que van, pero hay un montón de hierba gatera aquí. Algunos vendedores etiquetados “defensa de nivel T”, el real puede ser una piscina compartida, realmente se encontró con ataques a gran escala directamente a usted para lanzar un agujero negro; algunos de los recursos independientes reales, pero el precio puede ser caro para usted carne dolor. He probado varios, resumido en una frase: no se limite a mirar los números, usted tiene que mirar el rendimiento real.
Por ejemplo, CDN5 esto, la norma oficial es 500G pico de defensa, pero la prueba de presión real encontró que su programación de red Anycast es realmente poderoso, el año pasado, un juego secundario se jugó 700G + ataques mixtos, en realidad difícil de llevar hacia abajo sin tiempo de inactividad. Más tarde me enteré de que tienen un mecanismo de “expansión dinámica”, el tráfico repentina supera el valor del contrato se activará automáticamente, aunque después de que el hecho de tener que compensar la diferencia, pero mejor que la caída del servidor. Sin embargo, la configuración de su familia tiene que tirar su propia, la estrategia por defecto es más conservador, hay que ajustar manualmente el umbral de limpieza.
Otro CDN07 es más agresivo, directamente marcado “1T defensa garantizada”, pero el uso real hacia abajo encontró que su protección TCP es un poco débil, especialmente para el juego de larga conexión SYN Flood, tienen que ser optimizados con la pila de protocolo de auto-investigación. La ventaja es que hay muchos nodos globales, en el extranjero efecto anti-D es bueno, adecuado para los juegos de servicios internacionales. Precio, sólo puedo decir que un centavo un centavo, los jefes tienen que cubrir la cartera a la orden.
También hay un flujo técnico sesgado de 08Host, el pico de defensa está marcado 400G, pero la precisión de limpieza medida es ridículamente alta. Su familia es buena en el uso de algoritmos de aprendizaje automático para identificar paquetes anormales en el protocolo de juego, tales como solicitudes de conexión falsas para el motor Unity, y puede descartar con precisión el tráfico malicioso sin afectar a los jugadores normales. La desventaja es que el número de nodos es pequeño, y la fluctuación de latencia doméstica es ligeramente grande, lo que resulta adecuado para juegos por turnos con altos requisitos de precisión.
De hecho, el pico de defensa es sólo el umbral, la verdadera prueba es la capacidad de limpieza y la estrategia de programación. He visto demasiadas empresas que sólo se fijan en el número G de casos para perder: un proveedor se compromete a una defensa de 300G, los resultados de los ataques CC de 200G penetraron directamente, porque las reglas de limpieza no están optimizadas para el protocolo de juego. Más tarde se descubrió que el atacante simuló completamente las solicitudes de inicio de sesión y operación del jugador real, y las reglas tradicionales basadas en la frecuencia IP fueron simplemente ineficaces.
Aquí es donde hay que ofrecer un profundo análisis de protocolos + modelos de comportamiento. Por ejemplo, para protegernos de los servicios de inicio de sesión en juegos, tenemos que enterrar reglas personalizadas en la configuración de la CDN:
No basta con ser técnico, hay que entender el circuito cerebral del atacante. El año pasado, un juego competitivo se dirigió ataque de retransmisión TCP, el atacante falsificado específicamente paquetes RST para interrumpir la conexión del jugador. CDN convencional simplemente no puede prevenir, y, finalmente, en el borde del nodo para hacer la verificación del número de secuencia TCP para resolver. Este tipo de rutina sucia, no hay vendedores de batalla simplemente no puede pensar.
Por eso, a la hora de elegir una CDN de alta defensa, suelo recomendar a los clientes que se hagan primero estas preguntas: ¿El pico de defensa es un recurso independiente o un pool compartido? ¿Cuál es el mecanismo de gestión de superpicos? ¿Existen casos de protección en la industria del juego? ¿De cuántos milisegundos es el retardo de limpieza? ¿Es compatible con la política personalizada del protocolo TCP? Todas estas son lecciones aprendidas a base de sangre y lágrimas.
En cuanto al precio, la protección básica de 100 G probablemente comienza en 20.000 a 30.000 al mes, y el presupuesto se incrementa en 10.000 a 20.000 por cada 100 G adicionales. Pero si se quiere personalizar la protección del protocolo de juego, el precio se duplica directamente. Algunos proveedores también se dedican al “modelo de seguro”, el paquete básico es barato, pero realmente golpea a lo grande por la facturación del tráfico, accidentalmente puede rozar cifras astronómicas. No crea en la tontería de la “defensa ilimitada”, no hay ningún Rayo en este negocio, sólo lógica empresarial.
Por último, la verdad: el pico de defensa es en realidad un concepto dinámico. Verdaderos vendedores profesionales no será estúpido esperando el tráfico se precipitó en difícil de llevar, pero a través de la red Anycast para difundir el tráfico de ataque al centro de limpieza global. Al igual que CDN5 que la arquitectura, los nodos asiáticos fueron golpeados programar automáticamente el tráfico a los nodos europeos para limpiar, y luego a través del túnel interno de nuevo a la fuente, el usuario es casi imperceptible. Esta capacidad de programación global es mucho más importante que el simple apilamiento de hardware.
En resumen, el juego de alta defensa CDN es un proyecto sistemático, no simplemente comprar un número en la alta tranquilidad. Tienen que combinar su propio tipo de juego, la distribución de los jugadores, las características del protocolo para seleccionar el tipo. Lo mejor es participar en una prueba de presión de acción en vivo, ver por sí mismo cómo salta la alarma de la consola, cómo la programación del tráfico, la velocidad de respuesta del servicio al cliente. Después de todo, no hay panacea en este mundo, sólo la armadura adecuada.
(De repente me he acordado de que aún queda un pozo por llenar: el pico de defensa de muchos proveedores no incluye los ataques CC, hay que comprar un paquete WAF adicional. La próxima vez que alguien le cite una cifra, recuerde hacer una pregunta complementaria: “¿Este paquete no incluye los ataques de capa 7?”. (Garantizado que verá un maravilloso cambio de expresión).
