Recientemente, varios amigos haciendo proyectos sociales han corrido a hacerme la misma pregunta: ¿utiliza una CDN de alta defensa para apoyar WebRTC en el extremo ah? Fui golpeado por DDoS todos los días cuero cabelludo entumecido, y no se atreven a exponer directamente la estación de origen, en tiempo real de audio y tarjeta de vídeo en el PPT son casi maldecido a muerte por el usuario.
Para ser honesto, la primera vez que escuché esta pregunta casi rocié mi café en la pantalla, WebRTC es esencialmente una conexión P2P directa, y la aceleración de caché CDN tradicional no es la misma manera. Pero más gente preguntó, me di cuenta de que las cosas no son tan simples - ahora un poco de la escala de la plataforma social, que todavía se atreven a poner los flujos de audio y vídeo directamente desnuda en la red pública?
Yo estuve en el extremo receptor de esto el año pasado. En aquel momento, el proyecto tenía prisa por entrar en línea, y lanzó directamente el servidor TURN a la nube pública, que fue penetrado a los tres días de su apertura. El atacante localizó la IP de nuestro servidor multimedia, y el tráfico de 300G por segundo hizo que la sala de servidores se convirtiera directamente en un agujero negro. La escena era casi como si todo el centro de datos hubiera sido inundado digitalmente.
El meollo del problema es el siguiente: WebRTC se diseñó originalmente para la conectividad directa de igual a igual, pero la realidad del entorno de red es tan compleja que hace que te duela la cabeza.La tasa de fallos NAT traversal es superior a 30%, y los cortafuegos corporativos son el asesino número uno de los flujos de audio y vídeo. Esta vez para confiar en el servidor TURN para hacer el tránsito - y esta cosa es sólo un punto de exposición IP.
Lo que es aún más asqueroso es que WebRTC tiene un fallo fatal a la hora de establecer una conexión: el proceso de recogida de direcciones del candidato ICE expone tanto la IP de la intranet como la IP pública. Una vez cogí un paquete y lo vi, y durante el proceso de negociación STUN la IP de tu servidor se transmitía a través de la red como si estuviera desnuda. Los atacantes ni siquiera necesitan molestarse en escanear, pueden simplemente recoger la IP del servidor de medios directamente de la señalización del handshake.
Es el momento de que entren en juego las CDN de alta defensa. Pero los proveedores de CDN tradicionales como CDN07, sus nodos están optimizados principalmente para HTTP/HTTPS, el soporte para protocolos UDP es simplemente conmovedor. He probado sus nodos, el tráfico WebRTC más allá de la demora directamente se duplicó, la tasa de pérdida de paquetes de más de 15% es una ocurrencia común.
En cambio, me sorprendió gratamente CDN5, especializada en comunicaciones en tiempo real. Todos sus nodos de borde son compatibles con los protocolos SRT y WebRTC y, lo que es más importante, han desplegado clústeres proxy TURN dedicados en todo el mundo. He aquí un esquema de su arquitectura:
Ten en cuenta que iceTransportPolicy está configurado como relay - esta es la clave para salvar vidas. Obligar a todo el tráfico a pasar por el relé TURN aumenta un poco la latencia, pero oculta completamente la IP de origen, y el aumento medio de latencia está dentro de los 40 ms, que está bien dentro del rango aceptable.
La solución de 08Host es más interesante. Tienen un sistema de enrutamiento inteligente que puede cambiar dinámicamente entre UDP y TCP según las condiciones de la red en tiempo real. Telecom va a TCP, Unicom va a UDP, y la red móvil incluso utiliza el protocolo QUIC. Hice pruebas deliberadamente en el pico de la tarde, la tasa de pérdida de paquetes siempre está controlada por debajo de 3%:
Este fake_ip_pool está inteligentemente diseñado - los nodos de borde usan IPs virtuales para comunicarse con la fuente, y las IPs reales nunca están expuestas. Rotar los segmentos de IP cada 5 minutos equivale a ponerle un traje de camuflaje al servidor.
El efecto de la protección DDoS es aún más exagerado. El mes pasado, nos encontramos con un ataque dirigido contra la pasarela WebRTC, 800.000 paquetes SYN por segundo dedicados al puerto TURN. El centro de limpieza de CDN5 activó directamente la protección inteligente, programando automáticamente el tráfico a tres nodos de limpieza diferentes. Las estadísticas finales muestran que sólo 0,3% del tráfico legítimo se vio afectado, y los usuarios casi no se dieron cuenta.
Sin embargo, es importante tener en cuenta que no todas las CDN de alta defensa son realmente compatibles con WebRTC. algunos proveedores se limitan a reenviar tráfico UDP sin ni siquiera garantías básicas de calidad de servicio. Cuando realice las pruebas, asegúrese de observar estos indicadores clave: tasa de éxito de la conexión ICE, varianza del retardo de extremo a extremo, tasa de retransmisión de paquetes perdidos. He resumido un esquema rápido de verificación:
Los datos de medición muestran que una buena CDN de alta defensa puede hacer que el control de latencia WebRTC P99 dentro de 200ms, 5 segundos tasa de éxito de la conexión de 99,8% o más. En particular, la optimización de enlace transfronterizo de Asia, el retraso de Hong Kong a Silicon Valley puede ser presionado a unos 150 ms, que está cerca del nivel de datos dedicados.
Mirando ahora hacia atrás, la combinación de WebRTC y CDN de alta defensa es casi como un doble seguro para la comunicación en tiempo real. Ambos conservan la ventaja de baja latencia del P2P y ganan la capacidad de proteger la nube. Especialmente para las plataformas sociales más castigadas, la protección DDoS por sí sola puede ahorrar cientos de miles de costes de ancho de banda cada año.
Por último, una lección de lágrimas: no construir su propio clúster de TURN para ahorrar dinero. Mi equipo tiró tres meses el año pasado, el equipo de limpieza de tráfico ligero invertido más de dos millones, los resultados del efecto de protección no es tan bueno como los vendedores profesionales de CDN. Ahora piensa en ello realmente cerebro en el agua, las cosas profesionales se debe dar a los profesionales para hacer.
Así que de vuelta a la pregunta original: social de alta defensa CDN apoyo WebRTC? La respuesta no es sólo el apoyo, y debe apoyar. Hoy en día, la comunicación en tiempo real sin protección es como correr desnudo en el campo de batalla, sólo cualquier script boy puede despejar el escenario. Elija el proveedor de servicios CDN derecho, su negocio de audio y vídeo puede realmente estar tranquilo.
