Recientemente para ayudar a algunos clientes de ajedrez para hacer pruebas de penetración, encontró un fenómeno extraño: la configuración del servidor es, obviamente, no está mal, pero en la hora punta de la tarde se ha quedado atascado en el PPT, una revisión de los registros son todos los ataques de CC en el tráfico - este grupo de nietos elegir la hora punta de negocios para jugar, claramente no quieren hacer un buen negocio.
Un cliente lloró y dijo que el uso original de alta defensa ordinaria, cada mes fue golpeado a través de tres veces, el jugador cayó al teléfono de servicio al cliente estaba roto. Eché un vistazo a sus cuentas, buen tipo, mensual pequeño 20.000 gastado en realidad “compartida alta defensa” paquete, el tráfico sobre la cantidad de dinero a pagar, el costo del ataque directamente se disparó hasta el techo.
El sector del ajedrez es desde hace tiempo una zona de desastre DDoSEl juego de mesa es sensible a la latencia a nivel de milisegundos. A diferencia de los sitios web ordinarios todavía puede aguantar por un tiempo, el juego de mesa es sensible a la latencia a nivel de milisegundos, una ola de tráfico sobre la luz se está quedando pesado agujero negro en la sala de servidores, los datos de equilibrio jugador no está sincronizado también puede dar lugar a controversias. Lo que es más desagradable es que los competidores elegir a participar en actividades cuando la orden de “prueba de presión”, no puede impedir que el fresco directa.
Recogí el mercado siete u ocho programa de proveedor de servicios de alta defensa, encontró que los clientes de la junta son más propensos a ser lanzada en dos lugares: uno es supersticioso “protección ilimitada”, pero no saben la parte posterior de la limpieza de tráfico en bruto, por error matar a los usuarios normales; el segundo es ser codicioso para barato para comprar la aceleración estática de la CDN, las solicitudes dinámicas para la defensa de la forma de un nulo.
Empecemos con un caso de sangre y lágrimas: una plataforma de póquer Texas Hold'em utilizaba el “paquete de protección 100G” de un proveedor, que fue penetrado directamente por un ataque CC 30G. El soporte técnico tardó 4 horas en responder, y finalmente descubrió que sus reglas de protección no se ajustaban a las características del protocolo de ajedrez - resultó que la llamada alta defensa es sólo para las reglas generales HTTP, la conexión larga TCP y los protocolos UDP casi ninguna defensa.
Una defensa alta de ajedrez realmente útil debe cumplir tres puntos: ser capaz de identificar la lógica de negocio del protocolo de juego (por ejemplo, desconectarse y volver a conectarse para deducir dinero o no), ser capaz de distinguir entre los patrones de comportamiento de las personas reales que operan y los bots, y el nodo de limpieza debe estar lo suficientemente cerca del usuario o, de lo contrario, la latencia explotará. Por desgracia, los vendedores de 90% no pueden hacer ninguna de estas tres cosas.
Probado tres proveedores especializados en la protección del juego, pero es un poco interesante: el programa de ajedrez de CDN5 analizará profundamente los paquetes de juego, a través de la frecuencia de las operaciones del jugador y la trayectoria del ratón para determinar la persona real; CDN07 incluso comprometido en un conjunto de modelos de IA para analizar el comportamiento anormal del juego (como los robots llaman a las apuestas en cuestión de segundos); 08Host es un simple y brutal - - Todo el tráfico primero a través del filtro de protocolo de desarrollo propio y luego en el centro de limpieza. Todo el tráfico primero a través de un filtro de protocolo de desarrollo propio antes de entrar en el centro de limpieza.
Pero estas cosas nunca se escriben en el presupuesto. Si preguntas al servicio de atención al cliente “cuál es el principio de su anti-CC”, lo más probable es que te respondan con un conjunto de palabras estándar: “nuestro sistema identificará automáticamente el tráfico anómalo”.No te creas estas habladurías.Para comprarlo de verdad, tendrías que obligarles a crear un caso de reglas personalizadas para el protocolo de ajedrez.
Pasemos ahora a desmontar la estructura de costes. El coste de una CDN de alta defensa se divide en cuatro partes principales: el precio del ancho de banda básico, el precio de la capacidad de protección, el precio de las funciones de valor añadido (como certificados, WAF) y el precio del exceso de limpieza. Los vendedores dudosos tienden a presionar muy a la baja el precio del ancho de banda básico, y luego confían en los tres últimos elementos para compensarlo.
¿Lo ve? Luz que el precio del paquete principal absolutamente caer en el pozo. ¡Una vez que un cliente compró un paquete barato CDN07 facturación flexible, los resultados de un día se jugó 800G flujo, tarifa de limpieza de un solo día para secar un pequeño diez mil - la facturación flexible original no establece un techo!
Mi consejo sería dar prioridad a un paquete de ancho de banda fijo + protección limitada.La primera es la edición de ajedrez CDN5, que tiene un precio inicial de 20.000 yuanes. Por ejemplo, el ajedrez CDN5 versión dedicada del precio de salida de 25.000, pero el compromiso de 300G dentro del ataque no se cobra, más de 300G tirar directamente del agujero negro en lugar de seguir quemando dinero para limpiar - esto es más real, después de todo, realmente se encontró con más de 300G ataque no es tan bueno como cortar la sala de servidores de repuesto.
Otro punto de foso oculto: muchos vendedores de “optimización de ajedrez” es en realidad el ajuste de parámetros TCP + acceso a nodos en las inmediaciones. Pero si usted cree en su maldad, realmente abrir todos los nodos globales, los usuarios del sudeste asiático pueden ser enviados al nodo de Estados Unidos - latencia directamente se disparó a más de 300ms. Lo mejor es dejar que pongan la estrategia de programación de nodos por escrito en el contrato, como “los usuarios de China continental programación obligatoria a los nodos nacionales, los usuarios extranjeros no más de 3 saltos de tránsito”.
Voy a poner una regla Nginx en vivo directamente en la pieza de ejemplo de configuración, específicamente para proteger contra CCs lentos en la categoría de ajedrez:
Este conjunto de reglas ayudó a un cliente concreto a reducir las peticiones falsas de 80%, pero ¡ten cuidado!No lo apliques directamente.Al fin y al cabo, cada marco de juego tiene una ruta de API diferente, y la detección de algunos paquetes de latidos requiere un control más granular.
Por supuesto, todo esto es el valor nominal, y el precio real de la transacción puede rebajarse hasta un 70%. Si pagas anualmente aún puedes exprimir otros 10%, peroNo pagues todo el año de golpe.--Pruébalo primero durante un mes, centrándote en la rapidez con la que responden a las emergencias por la noche. El proveedor más escandaloso que he visto tuvo llamadas técnicas de fin de semana a través de 6 sucursales antes de conseguir a alguien, y para entonces el servidor había estado en un agujero negro durante 8 horas.
Hoy en día, algunos vendedores incluso hacen “apuestas de eficacia defensiva”, como prometer pagar los gastos del mes si son penetrados. Suena bien, ¿verdad? Pero los detalles del contrato por escrito en el “único ataque SYN Flood” - y ahora la industria del ajedrez 90% es un ataque híbrido CC, este juego de palabras volar.
Para ser honesto, en estos días, incluso CDN tienen que “evitar que los compañeros de equipo”. Algunas ventas de los vendedores para el rendimiento, dará a los clientes abiertos “tráfico de prueba” para probar el efecto de la defensa, de hecho, el tráfico de ataque a otros clientes alrededor del nodo. ¿Cómo juzgar? Simple: De repente un día el retraso se disparó, pero la consola no puede ver el registro de ataque, el ochenta por ciento en el malhechor.
Realmente quieren ahorrar dinero y programa seguro, sugiero una arquitectura híbrida: recursos estáticos para lanzar CDN5 (sus nodos en el extranjero barato), el negocio principal con CDN07 ajedrez línea dedicada, servidor de base de datos front-end más una capa de WAF de 08Host - de modo que incluso si una determinada casa está seca a través de la parálisis completa no lo es. Aunque la configuración inicial punto problemático, pero a la larga el costo hacia abajo 30% también más seguro.
Olvidé mencionar lo más importante:Tenga siempre un plan de reserva.Lo primero que me gustaría hacer es sacar lo mejor de la situación. He visto a demasiados clientes poner todas sus pertenencias en un proveedor de alta defensa, el resultado es que los cables de fibra óptica de la otra habitación están desenterrados, todo el personal ojos secos durante 12 horas. Al menos prepara un clúster de servidores de reserva en frío, sincroniza los datos con regularidad y, en los momentos críticos, puedes cortar durante un rato con el top IP de alta seguridad facturable del fabricante de la nube.
En resumen, elegir el ajedrez de alta defensa no sólo puede mirar las cifras de precios, usted tiene que romper el roce preguntó claramente: CC protección no se basa realmente en la lógica de negocio? La programación de nodos no tiene restricciones geográficas? ¿Hay alguna restricción geográfica en la programación de nodos? ¿Hay algún cargo o agujero negro después de la sobrecarga? La respuesta de emergencia es 7 × 24 o 5 × 8, estos términos están escritos en el contrato, que escuchar a los fanfarrones de ventas mucho más real.
Después de todo, esta línea de agua es demasiado profunda, algunos vendedores del “paquete especial de ajedrez” es cambiar el nombre del paquete general caro 20.000 yuanes. Si abre la boca y pregunta “¿cómo prevenir los ataques de CC en el ajedrez”, y la otra parte tartamudea y dice secretos comerciales - date prisa para cambiarlo, de verdad.
