Recientemente, los clientes siempre hacen la misma pregunta: ¿Baidu nube de alta defensa CDN al final no es fiable? Para ser honesto, si esta pregunta se me hubiera hecho hace medio año, podría haber tenido que hojear los documentos. Pero el mes pasado, el negocio de comercio electrónico de nuestra empresa fue golpeada por tres oleadas de DDoS, el pico máximo se precipitó a 800Gbps, acaba de tomar Baidu nube de alta defensa para hacer una prueba de combate - los resultados, un poco interesante.
Vamos a volcar la conclusión en primer lugar: esto no es un producto de hadas, pero resuelve los puntos de dolor en escenarios específicos. Si usted está siendo torturado por los ataques de CC a levantarse en medio de la noche para reiniciar el servidor, o confundido acerca de qué servicio de alta defensa para elegir, esta revisión de la prueba real debe ser capaz de darle alguna referencia.
En primer lugar, alta defensa CDN en el extremo para evitar que?
Muchas personas piensan que la compra de un CDN de alta defensa será capaz de estar tranquilo, de hecho, puro pensamiento exagerado. He visto el caso más escandaloso es una empresa financiera de Internet, compró la configuración superior de la alta defensa, pero todavía ser penetrado - más tarde se encontró que sus propios programadores para exponer el puerto de base de datos en la red pública. Así que seamos claros: CDN de alta defensa es principalmente para prevenir los ataques de capa de aplicación (como los ataques CC, HTTP Flood) y los ataques de capa de red (como SYN Flood, UDP reflexión), pero no puede prevenir la vulnerabilidad de la lógica de negocio y la voladura de contraseña débil.
La capacidad de limpieza de tráfico de alta seguridad de la nube de Baidu está oficialmente etiquetada como 2Tbps, medí unos 800Gbps de ataques mixtos (SYN Flood + ataque lento HTTP), el nodo no se cayó. Sin embargo, debe tenerse en cuenta que el proceso de limpieza tendrá un retraso de 5-10 segundos jitter, para el negocio de transacciones en tiempo real para hacer un buen mecanismo de reintento de tiempo de espera.
En segundo lugar, hay más baches en la cadena de configuración de los esperados
No se crea lo que dicen los vendedores: ”acceso con una sola llave”. En la práctica, existen tres modos de resolución de nombres de dominio en el momento de la configuración: CNAME, NS y registro A. Recomiendo encarecidamente utilizar NS para hacerse cargo de toda la resolución, aunque se tarda unas horas en cambiar el registro NS para que surta efecto, pero la precisión de la programación posterior es mayor. Anteriormente, cuando utilizaba el acceso CNAME, me encontraba con el problema de la caché de resolución, y los usuarios de una determinada región seguían siendo enviados a la IP de origen durante dos días consecutivos.
La configuración de la caché también es un pozo oscuro. Las reglas de caché de recursos estáticos por defecto son extremadamente poco amigables con los sitios dinámicos:
En tercer lugar, la estrategia de precios es un poco misteriosa
Baidu Cloud High Defence utiliza un modelo de facturación doble por ancho de banda + número de peticiones. El paquete básico empieza en 20.000 al mes (100Gbps de protección + 5TB de flujo), y el número de peticiones se factura a 0,15 yuanes por cada 10.000 peticiones superadas. Durante una de nuestras promociones, de repente hubo 2 millones de peticiones más, y la factura se disparó directamente en 30.000 -más tarde descubrimos que el rastreador estaba rozando la página de detalles del producto.
Comparación de varios otros: CDN5 utilizando un número ilimitado de solicitudes, pero el precio unitario de ancho de banda es mayor (1Gbps / mes = 8000 yuanes), CDN07 proporciona 300Gbps de protección fija, pero no admite la expansión elástica. 08Host participado recientemente en las actividades del pago anual del 60% de descuento, pero el número de nodos es sólo la mitad de la Baidu. Para ser honesto, no hay una solución perfecta, sólo adecuado o no.
IV. Datos sobre el efecto de protección real
Publicar una comparación de los datos cuando nuestro negocio estaba bajo ataque:
Una cosa que hay que tener en cuenta es que sus umbrales por defecto para la protección de CC son conservadores. Yo recomendaría ajustar las reglas lo primero que hagas al abrir una cuenta:
V. Calidad desigual de los nodos
Baidu Cloud cuenta con más de 2000 nodos en China, pero la calidad de los nodos de las ciudades de tercer nivel es significativamente peor que la de Aliyun. A través de la monitorización continua de 17Monitor, descubrimos que la tasa de retransmisión TCP de Foshan, Guiyang y otros nodos se disparaba ocasionalmente hasta 3% (lo normal debería ser menos de 0,5%). Más tarde, mediante la estrategia de programación para limitar los asuntos importantes en los nodos TOP 10 de la ciudad, el retardo se estabilizó inmediatamente en 30 ms.
¡Los nodos de ultramar son aún más sumideros! Hong Kong nodos tomar la línea PCCW noche pico de pérdida de paquetes es increíble, los Estados Unidos nodo latencia es básicamente más de 200ms. Si quieres hacer negocios globales, se recomienda utilizar Baidu nube anti-ataque + CDN5 para hacer la combinación de programas de aceleración.
VI. Velocidad de respuesta de la asistencia técnica
Este es el punto en el que más me quiero quejar. Problemas ordinarios órdenes de trabajo promedio de 4 horas para responder, los ataques urgentes tienen que llamar para instar. En contraste con CDN07 proporciona 7 × 24 horas expertos técnicos en el sitio, 08Host incluso tirar de WeChat corporativa segundos para tirar de la respuesta del grupo. Sin embargo, Baidu Cloud tiene un servicio oculto: los clientes que consumen más de 100.000 yuanes en un mes puede ser equipado con un arquitecto exclusivo, y más tarde se comprimió el tiempo de respuesta del problema a 20 minutos a través de este canal.
Siete, nunca ignores la protección de la fuente de retorno
He visto demasiadas empresas que sólo se acuerdan de utilizar una defensa alta para proteger el tráfico de entrada, pero se olvidan de proteger los nodos que no son CDN de vuelta a la fuente. Hubo un caso trágico: el atacante consiguió la IP real a través de todo el escaneo de la red y penetró directamente en la estación de origen. Asegúrese de configurar una lista blanca en el cortafuegos del servidor:
VIII. ¿Cuáles son exactamente las empresas adecuadas?
Después de tres meses de pruebas, creo que Baidu nube de alta defensa es el más adecuado para estos dos tipos de escenarios: 1) los principales usuarios de negocios se concentran en las medianas y grandes empresas nacionales, especialmente en la educación, el gobierno, las industrias financieras que necesitan para grabar; 2) los clientes que ya han utilizado otros productos en la nube Baidu (como BCC, BOS), la interoperabilidad de la intranet puede ahorrar una gran cantidad de costes de tráfico. Si se trata de comercio electrónico transfronterizo o la búsqueda de negocios de juegos de latencia extrema, se recomienda mirar a los demás.
Por último, la verdad: no hay ninguna solución que puede 100% prevenir los ataques. Más tarde hicimos una recuperación de desastres multi-CDN - Baidu nube de alta defensa como la principal protección, CDN5 hacer copia de seguridad de programación inteligente, el costo mensual se incrementó en 40%, pero luego no apareció todo el tiempo de inactividad de la estación. La seguridad es una cosa así, por lo general piensan que la inversión es una pérdida de dinero, realmente pasa algo para saber son dinero para salvar vidas.
(A petición del proveedor para ocultar algunos de los datos de prueba, pero las conclusiones básicas de pie al escrutinio. (Si desea ver los gráficos de seguimiento de tráfico específicos, puede enviar un mensaje privado para intercambiar - recuerde que debe indicar la intención, recientemente el rastreador para agregar demasiados microblogging).
