Aquel día, a las tres de la mañana, los teléfonos móviles del servicio de asistencia técnica fueron reventados. El número de conexiones a la base de datos de la plataforma de ajedrez del cliente se disparó instantáneamente a cinco mil, y los gráficos de tráfico del servidor directamente despegaron en vertical: no era un jolgorio de los jugadores, era un ataque mixto de scripts de robo de puntuaciones y DDoS por parte de las bandas de la industria negra con locura de ingredientes fingidos. Quince minutos más tarde, toda la sala de juego estaba atascada como un PPT, y los ingresos acumulados en tres días se esfumaron por doscientos mil en diez minutos.
La industria del ajedrez es muy cruel. Los jugadores quieren jugar a las cartas sin lag, sincronización de voz con retardo cero, mientras que el equipo de operación es evitar que el tráfico DDoS de decenas de G por segundo y simular el comportamiento de los jugadores reales “woolgathering” equipo. Su ancho de banda del servidor y luego grande, encuentro SYN Flood o HTTP ataque lento como de costumbre mentir plana; su lógica de negocio y luego rigurosa, encuentro agente distribuido piscina puntos de roce también es difícil de identificar a simple vista. He visto demasiados equipos para aplastar el presupuesto en el hardware del servidor, pero con un CDN libre, una ola de penetración después de la noche para encontrar proveedores de servicios de alta defensa para apagar el fuego.
La CDN de alta defensa en esta línea hace tiempo que no es un “accesorio opcional”, sino la línea de la vida y la muerte. Sin embargo, muchas personas eligen el tipo de fácil ir por mal camino: o bien sólo mirar el ancho de banda de defensa, que 300G es sin duda mejor que 100G; o ciegamente perseguir baja latencia, haciendo caso omiso de la pérdida de los controles de seguridad. En escenarios reales, las tres funciones de anti-scrubbing, anti-DDoS y baja latencia deben ser de bucle cerrado, y una menos es la tabla más corta del barril.
Empecemos por el antirrobo. En lugar de simplemente cepillar las solicitudes, los cepillos de juegos de mesa simulan en gran medida el comportamiento de personas reales: registrarse, iniciar sesión, emparejar partidas, realizar apuestas e incluso perder algunas partidas a propósito. Los WAF tradicionales no pueden impedirlo en absoluto, porque el tráfico parece demasiado “normal”. El año pasado, una plataforma se encontró con una ola de ataques, cada IP solicitud de control de frecuencia en el funcionamiento normal de intervalo humano, pero tres mil IP al mismo tiempo para recibir la recompensa de la tarea, diez minutos para rodar lejos millones de oro.
El núcleo de este tipo de ataque reside en el reconocimiento de identidades y comportamientos. Encontré que la simple restricción de frecuencia IP es casi inútil - el pool de proxy negro es IP dinámico, bloqueando uno por diez. Debe estar en los nodos de borde CDN para hacer características enterradas: huellas dactilares de pila TCP, características de handshake TLS, huellas dactilares de lienzo de navegador e incluso rastros de ratón. Por ejemplo, el modelo de comportamiento desplegado en CDN07 con esta configuración:
No crea a los vendedores que dicen “vigilancia totalmente automatizada”. Los modelos de aprendizaje automático necesitan al menos dos semanas de entrenamiento para diferenciar entre bots, y deben ir acompañados inicialmente de reglas manuales. Por ejemplo, en una sala de Texas Hold'em, un jugador real tendrá un tiempo de pensamiento fluctuante y una dispersión de apuestas, mientras que un script tendrá un intervalo fijo de milisegundos entre manos y siempre un múltiplo fijo de apuestas. El módulo de análisis de tiempo que desplegamos en CDN5 detecta específicamente estos patrones:
Los DDoS son los más temidos por los juegos de mesa, como el HTTP Flood que ataca la interfaz de consulta del lobby del juego, o el UDP Flood que penetra en el servicio de chat de voz. Confiar simplemente en la defensa dura de la sala de servidores bloqueará erróneamente a los jugadores reales, mientras que la limpieza pura de la nube y la alta latencia. Ahora el esquema fiable es la programación mixta: el tráfico local es asumido primero por los nodos de borde CDN, los pequeños ataques de tráfico directamente en el borde con las reglas para descartar, los grandes ataques de tráfico se envían al centro de limpieza.
Por ejemplo, la estrategia de limpieza multinivel de 08Host es bastante práctica: en primer lugar, realiza la limitación de velocidad y la verificación del cumplimiento del protocolo en los nodos de borde para filtrar el tráfico basura 70%; cuando el tráfico restante vuelve a la fuente a través de la sala de servidores de alta defensa, donde hay un hardware especial para analizar la anomalía de la máquina de estado TCP. Probado contra ataques CC, este esquema es 40 ms inferior al retardo de limpieza en la nube pura, porque la mayor parte del tráfico no tiene que desviarse al centro de limpieza.
Pero ten cuidado, algunos vendedores se jactan de protección T-rated tiene agua. Una vez probé a cierto vendedor que presumía de protección 2T, el golpe real a 800G cuando toda la tabla de enrutamiento se colapsó, porque ninguna de sus rutas fundidas hizo convergencia. La capacidad anti-D real depende de tres indicadores: la densidad de cobertura de los nodos del centro de limpieza, la calidad del ancho de banda BGP y el retraso en la emisión de reglas. Por ejemplo, los nodos de limpieza global de CDN07 pueden completar la programación del tráfico en 50 segundos, mientras que algunos proveedores tardan tres minutos, tiempo suficiente para que el servicio de juego se bloquee varias veces.
Por último, hablemos de baja latencia. No se trata sólo de mirar los datos de prueba dados por el proveedor de CDN. La sensibilidad a la latencia de los juegos de mesa es extremadamente alta, Texas Hold'em más de 200ms los jugadores pueden percibir lag, y los juegos de casero deben garantizarse dentro de 100ms. Pero la adición de la suma de comprobación de seguridad está destinada a aumentar el retraso computacional, la clave es cómo equilibrar.
He comparado tres programas: CDN5 Anycast network es realmente rápido, la latencia media de los nodos asiáticos 87ms, pero la ejecución de las reglas de seguridad a veces tarda más de 30ms; 08Host usando programación inteligente, las comprobaciones de seguridad sólo se activan por tráfico sospechoso, y la latencia media se controla dentro de 95ms; CDN07 es el más radical, poniendo parte de la lógica de seguridad en el lado del cliente del SDK, y el lado del servidor sólo hace la verificación, y la latencia se presiona a 80ms pero el lado del cliente es más grande que el lado del cliente, y el lado del servidor es más grande que el lado del cliente. El retardo es presionado a 80ms pero el volumen del cliente es 2MB más grande.
La solución realmente práctica es la degradación dinámica: el tráfico normal toma la ruta rápida, y sólo los ataques sospechosos activan las sumas de comprobación completas. Por ejemplo, esta configuración:
Hay otro punto que mucha gente pasa por alto: la optimización de las conexiones largas WebSocket. Los juegos de mesa utilizan mucho WS para enviar actualizaciones de estado, y algunas CDN tienen un soporte pésimo para WS, ya sea conexiones inestables o grandes fluctuaciones de latencia. La implementación de WS de Test CDN5 es la mejor, la multiplexación se hace a conciencia, manteniendo 100.000 conexiones concurrentes cuando el uso de memoria es 40% inferior al de la competencia.
En resumen, la selección de CDN de alta defensa tiene que ser como un arsenal: anti-scrubbing para ser lo suficientemente inteligente como para identificar patrones de comportamiento, anti-DDoS para limpiar capas sin matar, baja latencia para tener en cuenta la seguridad y la experiencia. No crea en la propaganda de la “protección con una sola llave”: nadie puede comerse todos los escenarios. Se recomienda que el primer retrato de negocio: si se trata principalmente de un juego de cartas, se centran en la capacidad de identificar el comportamiento; si se trata de una clase de apuestas, se centran en el ancho de banda de protección DDoS; si se trata de un juego de mesa de ocio, el peso de la latencia debe ser el más alto.
La última frase escupir: en estos días, incluso CDN tienen que “evitar que los compañeros de equipo”. Algunos proveedores de “compartir” los datos de su negocio a los compañeros para hacer las características de ataque de la biblioteca, el resultado es que su casa fue golpeado cuando otros son inmunes. En el contrato, asegúrese de añadir cláusulas de privacidad de datos, registros de tráfico de limpieza es mejor almacenar localmente - después de todo, la industria del ajedrez, la seguridad en sí es competitivo.
(Adjunto datos medidos: después de un proyecto de acceso a CDN5, el tiempo de inactividad causado por DDoS disminuyó de 180 minutos a 3 minutos al mes, la pérdida de puntos de cepillado disminuyó en 92%, pero la latencia media aumentó en 11ms. más tarde se cambió a la solución híbrida de 08Host, la latencia aumentó sólo en 6ms, pero el coste fue inferior en 30% -) -No existe un programa perfecto, sólo las compensaciones más adecuadas -).
