Recientemente ayudó a un amigo para hacer frente a un evento DDoS, encontró que su empresa utiliza CDN de alta defensa es una arquitectura de nodo único, el ataque llegó a todo el negocio directamente paralizado durante tres días. Este asunto me recuerda a muchas empresas eligen soluciones de alta seguridad no consiguieron la lista de nodos y multi-nodos diferencia esencial, siempre piensan “hay una protección en la línea”. El resultado es que el ataque llegó a llorar los padres, después de la recuperación de las empresas siguen utilizando el antiguo programa, con la apertura de la caja ciega como.
Una CDN de un solo nodo de alta defensa es, francamente hablando, todo el tráfico se centraliza en un centro de limpieza para ser procesado. Parece un gran ahorro, ¿verdad? Pero usted piensa ah, todo el país o incluso las solicitudes de los usuarios del mundo tienen que dar la vuelta a este punto, de alta latencia, por no hablar, una vez encontrado un DDoS a gran escala, independientemente de si 100G o 500G de ancho de banda de defensa, golpeó el pleno directamente al colapso de toda la línea. He probado el programa de un solo nodo de un proveedor, 300Gbps SYN Flood más, no sólo la muerte de la tarjeta de visita, incluso el fondo de gestión no puede iniciar sesión - porque la superficie de control y la superficie de datos no está separada.
La arquitectura multinodo es la respuesta adecuada para las CDN modernas de alta defensa. Como CDN5 tales proveedores de servicios se han dedicado durante mucho tiempo a la limpieza distribuida, cientos de nodos en todo el mundo de tráfico de programación inteligente. Los ataques vienen automáticamente a la guía de tráfico al centro de limpieza más cercano, después de reproducir los datos sucios y luego dejar que el tráfico limpio de nuevo a la fuente. No digas 300G, se duplica también puede llevar, porque el tráfico fue desmontado a diferentes nodos en el procesamiento paralelo.
La velocidad del nodo único es aún mejor. El año pasado, una plataforma de comercio electrónico para hacer pruebas de migración, a partir de un solo nodo para cambiar a CDN07 programa multi-nodos, el retraso medio de 180ms hasta 40ms. ¿por qué? Porque los usuarios no tienen que ir hasta el único nodo para ir, directamente cerca del acceso. Especialmente para las empresas multinacionales, con la red multi-nodo de Asia-Pacífico de 08Host, Hong Kong, Singapur, Tokio, tres líneas de programación, los usuarios de ultramar el aumento de la velocidad de acceso de 60% o más.
También hay un pequeño detalle que mucha gente ignora: una vez que el programa de un solo nodo para ampliar la capacidad de todo el tiempo de inactividad de actualización, y multi-nodo de apoyo de conmutación a escala de grises. La semana pasada para ayudar a una empresa de juegos para agregar nodos, directamente a la piscina de equilibrio de carga CDN5 lanzó un nuevo servidor, el tráfico se distribuye automáticamente de acuerdo con el peso, el usuario es completamente imperceptible. Esta flexibilidad es un salvavidas durante los períodos pico de negocio.
Las defensas son aún más diferentes. Los nodos individuales son como poner los huevos en una cesta, mientras que los nodos múltiples son una estrategia típica de divide y vencerás. Me he encontrado con una situación: una APP financiera fue atacada para golpear el tráfico geográfico, la fuente del ataque se concentra en el este de China. Si se trata de un solo nodo debe ser completamente paralizado, pero después de utilizar el esquema de múltiples nodos, el sistema programa automáticamente el tráfico de China Oriental al centro de limpieza en Nanjing y Hangzhou, y otros usuarios regionales no se ven afectados en absoluto. Este tipo de prevención y control de grano fino de los nodos individuales simplemente no puede hacer.
La configuración no es tan complicada como podría pensarse. Las soluciones multi-nodo son ahora básicamente operaciones basadas en API, como el uso del sistema de programación de 08Host, escribir una configuración de peso simple para controlar la dirección del tráfico:
Nunca creas esos rumores que dicen que el costo de múltiples nodos es alto. Ahora CDN07 este tipo de proveedor de acuerdo con la facturación de ancho de banda elástico, por lo general utilizan cuánto cuenta cuánto, el ataque ampliar automáticamente la capacidad. Por el contrario, un solo nodo con el fin de reservar el ancho de banda de defensa, la capacidad ociosa perenne 80%, que es un verdadero desperdicio.
Por último, una lección de lágrimas: algunas pequeñas fábricas se jactan de “super nodo” sigue siendo una arquitectura única, pero la configuración de la máquina se apilan alta solamente. Realmente encontrado ataques mixtos (CC + DDoS + conexión lenta), la CPU está llena de choque directo. El programa multi-nodo regular como CDN5 ha hecho siete capas de vinculación de protección, cada nodo puede completar de forma independiente la detección de anomalías HTTP y la respuesta al desafío.
Así que no se deje engañar por esos anuncios de “valor de defensa ultra alto”. El número de nodos son los indicadores duros de alta defensa CDN, arquitectura distribuida trae no sólo la profundidad de la defensa, sino también la protección real de la continuidad del negocio. En estos días, incluso CDN tienen que “evitar que los compañeros de equipo” - para evitar que los que cortan las esquinas de los proveedores de programas.
