La industria del ajedrez se ha visto realmente afectada por los DDoS en los últimos años. El año pasado para ayudar a una plataforma de Texas para hacer la respuesta de emergencia, sólo tiene que conectar el teléfono para escuchar al jefe gritar allí: “ancho de banda está lleno, los jugadores están todos atrapados fuera de línea, perdiendo cientos de miles de dólares por hora!” Ir y echar un vistazo, buen tipo, el pico se precipitó a 400Gbps, la alta defensa tradicional simplemente no puede llevar.
Esta escala de ataque no es un hacker individual puede salir, todo el equipo profesional de manipulación de redes de bots, la elección de las horas pico de negocio para jugar una cadena de combinaciones - TCP inundación, ataques CC, ataques de amplificación de DNS a su vez. ¿Crees que puedes comprar una IP ordinaria de alta defensa se puede arreglar? Es una ingenuidad. Muchos vendedores afirman que la “defensa de nivel T”, la comprobación real encontró que todo el ancho de banda de la sala de servidores se sumó al cálculo, un solo punto de la capacidad de limpieza para reducir seriamente.
Una CDN de ajedrez verdaderamente fiable y de alta defensa tiene que resolver tres importantes puntos débiles al mismo tiempo:Capacidad de absorción de tráfico a gran escala, identificación precisa del tráfico malicioso y conmutación de servicios sin percepción. A continuación describo cómo lograrlo con la experiencia de las pruebas en el mundo real.
En primer lugar, la absorción del tráfico. Los ataques de ajedrez pueden ser fácilmente de varios cientos de G, el ancho de banda de entrada de una sala de servidores ordinaria es sólo de unas decenas de G, un golpe desgastará. Es necesario utilizar una arquitectura distribuida para repartir el tráfico a múltiples centros de limpieza. Al igual que los nodos globales de CDN5 puede llevar 800 Gbps de limpieza de un solo punto, el valor global de defensa se dice que es 3T + - esta cifra mirar el bien, la clave para mirar la proporción de limpieza cerca de la fuente. He probado su nodo de Hong Kong, 480Gbps presión de ataque mixto hacia arriba, el retraso sólo saltó 20ms.
Pero el ancho de banda por sí sola no es suficiente, muchos ataques bajo la apariencia de “negocio legítimo”. La semana pasada una plataforma fue HTTPS CC ataque, cada solicitud con un certificado SSL válido, las reglas tradicionales no pueden parar. Esta vez tenemos que confiar en el motor de limpieza inteligente:
Esta combinación de golpes hacia abajo, 90% CC ataques pueden ser etiquetados dentro de 3 segundos. La clave es el mecanismo js_challenge - el navegador del usuario normal realizará automáticamente el cálculo para devolver el token, el programa bot directamente pegado. Nunca confíes en esos programas que sólo utilizan CAPTCHA, la experiencia del jugador es tan pobre que directamente desinstalan la aplicación.
La programación de nodos es la leche. El sistema de programación global de 08Host me impresionó: una vez detectado un ataque, DNS dirigirá el tráfico malicioso al nodo de limpieza en 15 segundos, y los usuarios normales tomarán la línea acelerada. La clave es mantener la conexión TCP, los jugadores no se caerán de la línea. Sus ingenieros me mostraron los registros de programación en tiempo real:
Hoy en día, algunos vendedores soplan “defensa ilimitada”, lo cual es una temeridad. Siempre hay un límite superior para el hardware físico, la clave para mirar el diseño de redundancia. Programa fiable como CDN5: cada nodo de limpieza reservado 30% ancho de banda redundante, copia de seguridad de enrutamiento múltiple entre los nodos centrales. Una vez que un proveedor fue 600G penetración, es porque el enrutamiento entre los nodos no hizo aislamiento, fue golpeado con una reacción en cadena.
El negocio del ajedrez también tiene que protegerse contra las vulnerabilidades de los protocolos. Algunos ataques se dirigen específicamente a los protocolos de comunicación de las partidas, como la suplantación de paquetes de coordenadas GPS para birlar partidas de sala, o agotar el pool de hilos del servidor con conexiones de baja velocidad. Se recomienda añadir módulos de comprobación de protocolos a nivel de CDN:
Por último, el costo. Puramente confiar en la limpieza de la nube es demasiado dinero, se recomienda utilizar una arquitectura híbrida: el tráfico diario ir CDN07 aceleración, el ataque cambió a 08Host dedicado nodos de alta defensa. Después de un cliente desplegado de esta manera, el costo mensual de 70.000 hasta 23.000, 300G por debajo del ataque es completamente sin sentido.
Hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”. Algunos vendedores revender el tráfico a un tercero con el fin de ahorrar costes, por no mencionar que el efecto de limpieza se descuenta, existe el riesgo de fuga de datos. Asegúrese de escribir en el contrato “despliegue de nodo independiente + datos no fuera del país”, antes de ir en línea, es mejor hacer una prueba de penetración - He visto demasiados productos de concha.
En resumen, ajedrez CDN de alta defensa no es simplemente comprar ancho de banda, sino deletrear capacidades de integración tecnológica. Desde la programación del tráfico, pasando por el análisis de protocolos, hasta el acoplamiento empresarial, hay que pulir cada eslabón. Si realmente desea elegir un modelo, se centran en tres puntos: la capacidad de limpieza real (para probar los informes), la precisión de programación (mirar el registro), la compatibilidad de negocios (personalmente prueba de presión). No creo que las ventas soplan el valor, construir un entorno para jugar una ola de tráfico, más que nada es persuasivo.
