Recientemente, me han preguntado por los clientes: ¿Qué CDN de alta defensa que utiliza, y es el de Huawei Cloud está bien? Para ser honesto, en estos días incluso CDNs tienen que "evitar que los compañeros de equipo" - algunos proveedores de servicios hablan de "aceleración global", los ataques reales CC directamente de vuelta a la fuente, esto no es un pozo?
El mes pasado, nuestro equipo estaba actualizando la arquitectura de seguridad, y saqué la CDN de alta defensa de Huawei Cloud, la antigua CDN5 del sector y la CDN07, que se centra en los países de ultramar, y las probé todas por turnos. El método de prueba es muy simple y tosco: directamente al nombre de dominio de prueba para verter tráfico mixto para ver cuál puede llevar el escenario de ataque real.
Tira primero de conclusiones:Esta solución Cloud de Huawei realmente hace honor a la palabra "clase empresarial" en las tres dimensiones fundamentales de calidad de nodo, precisión de defensa y estabilidad. Pero no se apresure a desembolsar dinero, hay algunos puntos que debe conocer de antemano.
El entorno de prueba se construyó con tres conjuntos de arquitecturas: CDN de alta defensa de Huawei Cloud, paquete de aceleración WAF de CDN5 y línea preferente Asia-Pacífico de CDN07. Cada conjunto de configuración 10 páginas centrales, incluyendo API dinámica y recursos estáticos, con LoaderRunner simulado 500QPS de tráfico normal + 200QPS de tráfico de ataque de solicitud mixta, pruebas de presión continua durante 6 horas.
La primera ronda de medición de la cobertura de nodos. Huawei Cloud anunciaba oficialmente más de 2800 nodos, de hecho utilicé el comando Dig para averiguar que el número de nodos alcanzables es 137 (Asia-Pacífico), comparado con los 89 de CDN5 y los 211 de CDN07, el número de nodos en el medio. Pero la calidad de los nodos es algo que se puede engañar con sólo mirar el número de nodos: elegí específicamente el pico de la tarde utilizando MTR para trazar la ruta, y descubrí que los saltos del nodo de Hong Kong de Huawei Cloud se controlan dentro de los 5 saltos, y el nodo de Los Ángeles está en la ruta CN2 GIA. Por el contrario, aunque CDN07 tiene muchos nodos, la latencia de algunos nodos del sudeste asiático se disparó hasta 380 ms+.
He aquí un detalle del que merece la pena presumir: los nodos periféricos de Huawei Cloud optimizan la pila TCP. He cogido un paquete y he visto que han cambiado los parámetros del kernel, el número de retransmisiones SYN se ha reducido de las 5 veces por defecto a 3 veces, y el tiempo de recuperación del estado TIME_WAIT se ha comprimido a 1 segundo. No subestimes este cambio, cuando te encuentres con un ataque SYN Flood el pool de conexiones no estará ocupado, la prueba real puede llevar 3000 paquetes malformados más por segundo.
El rendimiento de Huawei Cloud es un poco sorprendente - UDP Flood es todo limpiado en los nodos de borde, sin ningún tipo de tráfico de vuelta a la fuente.CC ataque desencadenó la verificación humana, pero la lógica de verificación es un poco interesante: el mismo dispositivo no aparecerá el código de verificación de nuevo dentro de las 24 horas después de la primera verificación, pero el uso del motor de análisis de comportamiento para hacer la verificación silenciosa. Tomé Selenium para simular el comportamiento del navegador, hasta que la solicitud 17 para desencadenar la verificación de nuevo, que CDN5 cada 5 veces para verificar la experiencia es demasiado buena.
Lo más sorprendente es la protección contra ataques lentos. Muchos proveedores de CDN simplemente no pueden detectar este tipo de ataque de "rana hirviendo en agua tibia", Huawei Cloud realmente tomó la iniciativa de ahogar la conexión lenta 15 segundos después de que se estableció la conexión, y también envió automáticamente un paquete RST al cliente. Más tarde, comprobé los documentos y descubrí que utilizaban el algoritmo SMP (Slow Attack Mitigation) de desarrollo propio, que incluso Cloudflare es una función de complemento de pago.
Publicar las normas de protección realmente configuradas para el segmento, eso es lo realmente importante:
Jugué un poco sucio en la sesión de pruebas de estabilidad: simular la fluctuación de la red regional. Se utilizó ChaosMesh para inyectar 30% de pérdida de paquetes en los nodos de prueba durante 10 minutos. 3 nodos de CDN5 se desconectaron directamente, y CDN07 activó el equilibrio de carga global, pero la conmutación tardó 47 segundos. Aunque Huawei Cloud también tenía 2 nodos con respuesta lenta, el sistema de programación inteligente cortó el tráfico al nodo de Tokio en 12 segundos, y el lado del usuario lo ignoró por completo.
Por supuesto, no es perfecto. Encontrado dos problemas: En primer lugar, el proceso de presentación de nodo nacional es una gran molestia para llenar un montón de compromiso que esperar 3 días hábiles para revisar; En segundo lugar, la latencia del sistema de registro es alta, los registros de ataque tienen que esperar 5-10 minutos para averiguar, no es tan bueno como los registros en tiempo real del flujo 08Host.
El precio de Huawei Cloud pertenece a la clase de "dolor de carne pero puede salvar vidas". El paquete básico comienza en 20.000 al mes, que es 40% más caro que CDN5, pero 20% más barato que CDN07. ¡La clave es que no se cobra por exceso de tráfico de limpieza! Las tarifas de limpieza de algunos proveedores son más caras que las del paquete principal, pero lo que dice Huawei Cloud es cierto.
Una nota final para ofender: no creas en toda esa mierda de "defensa ilimitada". Si realmente te encuentras con un DDoS de 800 G o más, cualquier proveedor te arrastrará a un agujero negro. La ventaja de Huawei Cloud es que sus algoritmos de defensa son más inteligentes e identifican y mitigan los ataques en una fase temprana, en lugar de basarse únicamente en el ancho de banda.
Si su empresa se encuentra en la región Asia-Pacífico y necesita equilibrar aceleración y seguridad, merece la pena probar la CDN de alta defensa en la nube de Huawei. Pero recuerda tener tu número de registro preparado de antemano y tirar de registros críticos para el almacenamiento local - su período de retención de registros es de sólo 30 días, lo cual es bastante lamentable.
He empaquetado los datos de las pruebas en Excel, si necesitas datos detallados, puedes enviarme un correo electrónico privado. Nunca esperes que un proveedor lo tenga todo, la defensa multicapa es el camino correcto.
