Recientemente, varios amigos que hacen el ajedrez en el extranjero y las tarjetas se quejaron a mí que el servidor fue golpeado por DDoS todos los días hasta el punto de que no podían cuidar de sí mismos, y los jugadores en el extranjero estaban tan atascados que directamente maldijo a sus madres. Hay un amigo aún peor, acaba de lanzar un nuevo juego en el sudeste asiático, el mismo día se paralizó, la pérdida de partida directa de seis cifras. Hacer ajedrez en estos días, no hay alta defensa fiable bolsillo CDN, es simplemente corriendo desnudo ah.
Selección de nodo en el extranjero es en realidad un trabajo técnico, nunca acaba de encontrar un proveedor de CDN puede ser resuelto. He encontrado que muchos vendedores afirmaron “cobertura global”, los resultados de los nodos del sudeste asiático son todos desviados de Hong Kong, Europa y los Estados Unidos los nodos no se mueven para saltar la red troncal de América del Norte. Jugador latencia no se mueve 300ms +, la tarjeta no se puede jugar, sino también jugar un martillo? Más lamentable es que algunos CDN “alta defensa” es una configuración, encontrar ataques reales directamente de vuelta a la fuente, igual a la IP de origen expuesta al atacante.
Vamos a empezar con el sudeste asiático. Filipinas, Vietnam, Tailandia, estos lugares, los operadores locales son tan complejos como un agujero de disco, si los proveedores de CDN no tienen un punto POP local, latencia minutos para enseñar a hacer a la gente. El año pasado, he probado un cierto CDN llamado “Sudeste de Asia Optimización”, el seguimiento de la ruta real encontró que el paquete en realidad desviado de Singapur a Japón y luego de vuelta a Tailandia, el retraso directamente se disparó a 220ms. retroalimentación jugador? Directamente un “juego basura” desinstalado.
Europa y Estados Unidos son las zonas más afectadas. Para ahorrar costes, algunos fabricantes sólo lanzan dos nodos en Fráncfort y Silicon Valley, y luego se atreven a decir que “cubren Europa y Estados Unidos”. Incluso Fráncfort tiene una latencia de 80 ms para los jugadores de Europa del Este, por no hablar de España e Italia. Realmente queremos cubrir Europa y Estados Unidos, al menos en Europa del Este (como Varsovia), Europa Occidental (Ámsterdam), Estados Unidos Oeste (Los Ángeles), Estados Unidos Este (Nueva York) despliegue de cuatro o cinco nodos core, acoplados a nodos edge para la programación.
Los ataques CC y las inundaciones UDP son la norma, y algunos ataques pueden durar semanas. He visto el más despiadado una vez, una plataforma de ajedrez recibió un ataque mixto de 700Gbps, la protección ordinaria de la nube directamente se arrodilló. Más tarde, cambió a un proveedor especializado en alta seguridad para el ajedrez, y se basó en la identificación de huellas dactilares y análisis de comportamiento para llevarlo a cabo.
No se crea la falsa publicidad de “protección ilimitada”. La capacidad real de protección depende de la capacidad y la estrategia de programación del centro de limpieza. Por ejemplo, CDN5, sus centros de limpieza de Singapur y Los Ángeles han sido probados para poder transportar 1,2Tbps de tráfico, y existen bibliotecas de huellas digitales específicas para protocolos de ajedrez. La última vez para ayudar a los clientes a migrar, el tráfico de ataque de 300G se disparó a 800G no penetró.
La optimización de la configuración es donde se ve el verdadero poder. Muchos ODM solo saben configurar las CDN y ni siquiera ajustan sus políticas de almacenamiento en caché:
El rendimiento de CDN07 probado recientemente en el sudeste asiático es sorprendente. En Indonesia y Filipinas, están conectados directamente con el operador local Peer, la latencia del nodo de Yakarta es tan baja como 38ms, y la del nodo de Manila es de sólo 42ms. lo que es más crítico es que su red Anycast puede cambiar de ruta en segundos en caso de ataque, y los jugadores no pueden percibirlo en absoluto. La tasa de rotación de un cliente se redujo en 17% tras la migración.
Merece la pena mencionar por separado las rutas europeas y americanas de 08Host. Utilizaron el operador local de Turfiberia en Europa del Este (supongo que no mucha gente ha oído hablar de este nombre), pero la latencia desde el nodo de Varsovia a Moscú es tan baja como 55ms. el nodo Oeste de EE.UU. está conectado a la línea doble de HE y Cogent, el pico de la tarde no es bombardeado. Sin embargo, es importante señalar que su estrategia de protección debe ajustarse manualmente, la configuración por defecto no puede resistir los ataques CC específicos de Chess.
Los precios abusivos son la norma del sector. Algunos proveedores se fijan en que el precio unitario es barato, pero cobran cargos adicionales por tasas de limpieza de tráfico, tasas por peticiones HTTPS e incluso tasas por llamadas a la API. Calculado por Gbps coste de protección puede ser más de tres veces la diferencia. Lo mejor es buscar el uso de la facturación integrada como CDN5, protección + tráfico precio empaquetado, el ahorro mensual medido de 30% costo.
Por último, dijo una lección de lágrimas: siempre deje que el proveedor de CDN para ocultar la IP de origen! Algunas pequeñas fábricas para ahorrar problemas para que el cliente A puntos de registro a la IP de alta defensa, el servidor de origen todavía está expuesto en la red pública. He visto el más escandaloso, el atacante directamente eludido el CDN para golpear la estación de origen colgando. El enfoque correcto es permitir a los vendedores proporcionar segmentos IP exclusivos, la estación fuente sólo permite estos segmentos IP de vuelta a la fuente:
Si no sabe cómo configurar un cortafuegos, debe buscar un servicio alojado del proveedor. CDN07 proporciona un conjunto completo de configuraciones, y los técnicos le ayudarán a ajustar las reglas del cortafuegos directamente y de forma remota. Aunque cuesta un poco más de dinero, pero preocúpese ah, mejor que quedarse paralizado por la pérdida de un día fuerte.
Hoy en día, jugar al ajedrez en el extranjero es como bailar en un campo de minas, defendiéndose tanto de los hackers como de los compañeros. La última vez, hubo un cliente que se encontró con un competidor pervertido, especializado en lanzar ataques lentos durante el evento, manteniendo cada conexión durante varias horas pero sin enviar paquetes, consumiendo deliberadamente el número de conexiones del servidor. Más tarde, se utilizó la función de análisis de pila de protocolos de 08Host para identificar este tipo de ataque disfrazado de conexión normal.
Los novatos son más propensos a plantarse en la configuración SSL. Recuerde que debe activar TLS 1.3 para todo el sitio, y prestar especial atención a la compatibilidad de la cadena de certificados para aplicaciones de ajedrez. Una vez que el cliente utiliza un middleware certificado que falta, lo que resulta en algunos sistemas de telefonía móvil de edad en Indonesia no puede apretón de manos, la pérdida blanca de un gran número de usuarios. Ahora me veo obligado a utilizar SSL Labs para probar la calificación a A +:
Nunca ahorre dinero en alertas de monitorización. Recomendamos utilizar Prometheus+Grafana para realizar una monitorización multidimensional, centrándose en la monitorización de la tasa de retransmisión TCP y el tiempo del primer paquete. Hubo un momento en que la red del nodo de Tokio fluctuó, y el tiempo del primer paquete aumentó de 80ms a 200ms a tiempo para detectar el fallo. Si se espera a que los jugadores se quejen y luego se soluciona, la comida estará fría.
Para ser honesto, esta línea de agua es demasiado profunda, muchos fabricantes de la “cantidad de nodos” son etiquetas falsas. El verdadero fiable o su propia medición:
Después de la prueba usted sabrá qué vendedores están presumiendo. La última prueba de un reclamado “30 nodos en el sudeste de Asia”, el real se puede utilizar en 7, el otro todos los nodos virtuales o NAT reenvío.
Si el presupuesto es suficiente, se recomienda utilizar una solución multi-nube. CDN5 se centra en las rutas asiáticas, 08Host cubre Europa y Estados Unidos, y CDN07 hace la protección de copia de seguridad. Aunque el costo es alto, pero realmente estable, una plataforma de ajedrez conocido con este conjunto de arquitectura para llevar a la última ola de noviembre de 900G gran ataque.
Por último, dijo un sólido: no seas codicioso barato con los desconocidos pequeña fábrica. Un cliente para ahorrar costes 20% para elegir un nuevo proveedor, los resultados fueron penetrados incluso cuando el teléfono de servicio al cliente no se puede llegar. Más tarde, me enteré de que todo el equipo técnico de tres personas, el ataque vino directamente a sacar la línea de red. Ajedrez en esta línea, la estabilidad es 10.000 veces más importante que el ahorro de dinero.
En resumen, la elección de un CDN de alta defensa en el extranjero es como la elección de un equipo, no existe el mejor sino el más adecuado. La clave es mirar a la distribución real del negocio y las características de ataque. Se recomienda tomar una cuenta de prueba para ejecutar una semana para controlar los datos, y luego se combina con el costo de la toma de decisiones. Después de todo, los jugadores no le dará una segunda oportunidad - lag tres veces directamente desinstalado, es tan realista.
