Recientemente, he estado ayudando a algunas aplicaciones sociales a migrar al extranjero, y lo primero que dice siempre el cliente es \u201c\u00bfPuedes conseguir que los usuarios del sudeste asi\u00e1tico dejen de decir palabrotas?\u201d. La segunda frase es: \u201cAnoche nos volvieron a penetrar, \u00bfhay algo que podamos hacer?\u201d.\u201d<\/p>\n
En estos d\u00edas para hacer aplicaciones sociales, no han sido DDoS pantalla cepillo se averg\u00fcenzan de decir que se dedican a Internet. El mes pasado, una plataforma social de audio y v\u00eddeo acaba de disparar, tres d\u00edas seguidos sufri\u00f3 tres veces m\u00e1s de 500G ataques de tr\u00e1fico, los usuarios de Am\u00e9rica del Norte directamente en la tarjeta PPT - el jefe del partido A me golpe\u00f3 a las 4:00 de la ma\u00f1ana en el tel\u00e9fono: \u201cHermano, m\u00e1s dinero se puede resolver?\u201d<\/p>\n
La aceleraci\u00f3n en ultramar y la alta defensa son originalmente una combinaci\u00f3n de amor mutuo. Si quieres velocidad, tienes que extender el nodo hasta la puerta del usuario; si quieres prevenir ataques, tienes que centrarte en limpiar todo el tr\u00e1fico. Pero cuando pones el tr\u00e1fico del usuario norteamericano alrededor de Tokio limpiando y luego tiras hacia Los \u00c1ngeles, el retraso es suficiente para hacer una taza de caf\u00e9 - el usuario desinstal\u00f3 la App.<\/p>\n
He probado el \u201cGlobal Intelligent Scheduling\u201d del que alardea una gran empresa, y como resultado, la petici\u00f3n del usuario australiano fue lanzada al nodo indio, y la latencia se dispar\u00f3 a 380 ms. La \u201cDynamic Path Optimisation\u201d de la que alardea el documento t\u00e9cnico es en realidad la programaci\u00f3n de menor coste seg\u00fan la tabla de enrutamiento BGP. El documento t\u00e9cnico presume de \"optimizaci\u00f3n din\u00e1mica de la ruta\", que en realidad es la programaci\u00f3n de menor coste seg\u00fan la tabla de encaminamiento BGP, y no tiene nada que ver con la experiencia del usuario.<\/p>\n
Una soluci\u00f3n verdaderamente fiable debe resolver tres problemas al mismo tiempo: rendimiento de aceleraci\u00f3n, capacidad de defensa y control de costes. Sin uno de ellos, todo es una broma.<\/p>\n
Empecemos por la aceleraci\u00f3n. Las caracter\u00edsticas del tr\u00e1fico de las aplicaciones sociales son demasiado obvias: r\u00e1fagas, conexiones largas, requisitos en tiempo real pervertidos. Esquema de almacenamiento en cach\u00e9 HTTP puro simplemente no puede llevar, tiene que empezar desde la capa de protocolo.<\/p>\n
La soluci\u00f3n de optimizaci\u00f3n que realizamos para una plataforma de retransmisi\u00f3n en directo en el sudeste asi\u00e1tico oblig\u00f3 a desplegar el protocolo QUIC en los nodos de borde. No mire s\u00f3lo un cambio de este tipo, d\u00e9bil entorno de red latencia directamente reducido por 40%. especialmente la India como el entorno de red es comparable a los pa\u00edses de la loter\u00eda, el apret\u00f3n de manos 0-RTT de QUIC que el TCP tres veces apret\u00f3n de manos es mucho m\u00e1s fiable.<\/p>\n
El ejemplo de configuraci\u00f3n no es realmente complicado (por supuesto, hay que ajustar m\u00e1s par\u00e1metros para el despliegue real):<\/p>\n
Pero no te creas las tonter\u00edas de \u201cQUIC puede acelerar\u201d. Las implementaciones de QUIC de algunos proveedores de CDN no est\u00e1n optimizadas en absoluto. He probado una que dice ser globalmente acelerada, y el rendimiento de QUIC era peor que el de TCP - result\u00f3 que la versi\u00f3n de su kernel era demasiado antigua, y ni siquiera se hab\u00edan adaptado a BBR.<\/p>\n
Adem\u00e1s de la pieza de defensa. Las aplicaciones sociales son las que m\u00e1s temen los ataques CC, que parecen peticiones normales pero que no gustan espec\u00edficamente a la interfaz. Inicio de sesi\u00f3n de usuario, lista de amigos, push de mensajes, estas API se rompen en minutos.<\/p>\n
El a\u00f1o pasado, ayud\u00e9 a un software de citas en el extranjero a hacer la protecci\u00f3n, y el otro ingeniero jur\u00f3 que hab\u00eda utilizado \u201cWAF inteligente\u201d. Como resultado, tom\u00e9 una herramienta para simular el comportamiento normal del usuario y elud\u00ed su base de reglas en diez minutos - porque su mecanismo de desaf\u00edo JS no hab\u00eda sido actualizado durante tres a\u00f1os, y los rastreadores fueron capaces de identificarlo directamente.<\/p>\n
Ahora, una defensa CC eficaz debe combinarse con el an\u00e1lisis del comportamiento. Por ejemplo, la detecci\u00f3n de la trayectoria del rat\u00f3n, la frecuencia de eventos t\u00e1ctiles, e incluso el estado de energ\u00eda del dispositivo (realmente no he visto un rastreador m\u00f3vil simular\u00e1 cambios de energ\u00eda).<\/p>\n
Esta es la regla de impugnaci\u00f3n din\u00e1mica que utilizamos actualmente en la plataforma CDN07:<\/p>\n
Curiosamente, algunas fuentes de ataque imitan ahora el comportamiento humano. Un bot capturado la semana pasada deslizaba la pantalla de forma aleatoria, pero no consegu\u00eda imitar la inclinaci\u00f3n girosc\u00f3pica de un tel\u00e9fono: \u00bfqui\u00e9n en su sano juicio navega por una aplicaci\u00f3n social con el tel\u00e9fono en punta como si fuera un nivel?<\/p>\n
La cobertura de los nodos es la verdadera prueba de la solidez de los proveedores de CDN. Muchos vendedores dicen \u201ccobertura global\u201d, de hecho, Europa y los Estados Unidos nodos apilados, Am\u00e9rica Latina y \u00c1frica dependen de dos nodos para apoyar. Especialmente los usuarios sudafricanos, a menudo enrutados a Europa y luego de vuelta.<\/p>\n
Hemos comparado el rendimiento real de los tres fabricantes:<\/p>\n
Los nodos norteamericanos de CDN5 son realmente potentes, pero el Sudeste Asi\u00e1tico alquila b\u00e1sicamente ancho de banda a proveedores locales de segundo nivel, y el pico de p\u00e9rdida de paquetes por la noche puede alcanzar los 15%.<\/p>\n
La cobertura europea de CDN07 es enfermizamente densa, con puntos pop incluso en peque\u00f1os pa\u00edses de Europa del Este, pero las rutas sudamericanas pasan a menudo por t\u00faneles baratos con demasiadas fluctuaciones de latencia.<\/p>\n
08Host este tipo es interesante, especializada en el cultivo profundo de los mercados emergentes. En Indonesia directamente auto-construido sala de servidores, Yakarta usuario latencia presi\u00f3n a 20ms, pero el nodo de Am\u00e9rica del Norte en lugar de la general.<\/p>\n
As\u00ed que ahora la pr\u00e1ctica fiable es la programaci\u00f3n mixta. Recursos est\u00e1ticos van CDN5, tr\u00e1fico API con protecci\u00f3n CDN07, video en vivo en 08Host l\u00ednea dedicada - aunque la complejidad de la gesti\u00f3n es alta, pero el costo puede ser reducido por 30% o m\u00e1s, el rendimiento tambi\u00e9n se puede mejorar.<\/p>\n
Una nota final sobre las trampas de los costes. Muchos vendedores de \u201cprotecci\u00f3n ilimitada\u201d es puramente un juego de palabras. Una vez que un cliente compr\u00f3 un paquete ilimitado anti-DDoS, los resultados fueron cepillados 700G se le dijo que \u201cm\u00e1s all\u00e1 de la escala del negocio\u201d - el contrato original oculto en el tope diario 300G invisible.<\/p>\n
Ahora nuestros contratos lo exigen expl\u00edcitamente:<\/p>\n
- Si el l\u00edmite de protecci\u00f3n se basa en el importe m\u00e1ximo o en el total<\/p>\n
- Si los nodos de limpieza est\u00e1n desplegados cerca (si no, picos de latencia).<\/p>\n
- Si la dimensi\u00f3n estad\u00edstica de la protecci\u00f3n CC es el n\u00famero de solicitudes o el n\u00famero de conexiones concurrentes.<\/p>\n
- Si los nodos extranjeros admiten certificados localizados (algunos pa\u00edses exigen SSL local para el aterrizaje de datos).<\/p>\n
Para ser sincero, esta l\u00ednea de flotaci\u00f3n es demasiado profunda. Algunos vendedores venden Vietnam nodos como Singapur (enrutamiento alrededor de Hong Kong), algunos vendedores de \u201cenrutamiento inteligente\u201d es en realidad para encontrar un nodo con la latencia m\u00e1s baja, independientemente de las capacidades defensivas. Recientemente, tambi\u00e9n me encontr\u00e9 con un caso extra\u00f1o: un CDN del nodo japon\u00e9s fue derribado, autom\u00e1ticamente cort\u00f3 el tr\u00e1fico al nodo de EE.UU. - los usuarios japoneses experimentan directamente un retraso de 400ms, esta programaci\u00f3n inteligente bien podr\u00eda ser renombrada como programaci\u00f3n retardada.<\/p>\n
Una soluci\u00f3n realmente eficaz debe adaptarse a la forma de empresa. Las aplicaciones sociales deben diferenciar entre tipos de empresa:<\/p>\n
Los usuarios utilizan rutas de gran ancho de banda para subir v\u00eddeos<\/p>\n
L\u00edneas de baja latencia para el env\u00edo de mensajes<\/p>\n
Priorizar las solicitudes de amistad para garantizar la estabilidad<\/p>\n
Por \u00faltimo, una sugerencia s\u00f3lida: no te creas los datos de demostraci\u00f3n del proveedor, haz t\u00fa mismo pruebas reales. Utilice la plataforma global de pruebas en la nube para simular el comportamiento de los usuarios en todo el mundo y realice pruebas durante tres d\u00edas consecutivos en las horas punta de la tarde. Una vez, un proveedor me mostr\u00f3 su latencia de nodo de Singapur de 50 ms, la prueba real descubri\u00f3 que la medici\u00f3n del retraso a la sala de servidores en lugar de al equipo del usuario - el usuario real a la latencia de nodo promedio de 170 ms, el pico puede ser de hasta 300 ms.<\/p>\n
Ahora es pr\u00e1ctica habitual para nosotros exigir a los proveedores que abran sus interfaces de monitorizaci\u00f3n en tiempo real y escriban sus propios scripts para contar la experiencia real del usuario en todas partes. Especialmente en India y Brasil, que son zonas con redes complejas, es importante fijarse en los datos de latencia del percentil 95 y no en la media.<\/p>\n
No hay una soluci\u00f3n de una vez por todas para la aceleraci\u00f3n en el extranjero, s\u00f3lo un proceso de optimizaci\u00f3n continua. Recientemente, estamos experimentando con soluciones de computaci\u00f3n de borde, poniendo parte de la l\u00f3gica directamente en los nodos CDN para ejecutar - como mensaje como esta operaci\u00f3n de luz, en el nodo local directamente procesado para volver, e incluso de vuelta a la fuente se guardan. Probado retardo de interacci\u00f3n con el usuario canadiense de 220ms hasta 80ms, el efecto es mucho m\u00e1s evidente que la simple aceleraci\u00f3n.<\/p>\n
Al final, las soluciones t\u00e9cnicas son para los servicios empresariales. Una vez que un cliente tuvo que ir en la red anycast global m\u00e1s caro, y encontr\u00f3 que los principales usuarios en el sudeste de Asia - ahorrar presupuesto 80% con proveedores locales, la experiencia es mejor. Hacer la tecnolog\u00eda es la m\u00e1s f\u00e1cil caer en la trampa de \u201cla b\u00fasqueda de la perfecci\u00f3n\u201d, ya veces la soluci\u00f3n m\u00e1s pr\u00e1ctica es la r\u00e1pida y furiosa.<\/p>\n
(Despu\u00e9s de escribir y mirar el recuento de palabras, en realidad se dispar\u00f3 a 2500. Lo anterior es puramente una historia de sangre y l\u00e1grimas reales, como el mismo, que ha pisado el pozo. Bienvenido a trolling intercambio de pares, pero no me preguntes nombre espec\u00edfico del cliente - a cara tienen que mantener en secreto).<\/p>","protected":false},"excerpt":{"rendered":"
Recientemente, he estado ayudando a algunas aplicaciones sociales a migrar al extranjero, y lo primero que dice siempre el cliente es \u201c\u00bfPuedes conseguir que los usuarios del sudeste asi\u00e1tico dejen de insultar?\u201d. La segunda frase es: \u201cAnoche nos volvieron a atacar, \u00bfhay algo que podamos hacer?\u201d. Hoy en d\u00eda, si te dedicas a las aplicaciones sociales, no te da verg\u00fcenza decir que est\u00e1s en el sector de Internet si nunca te han atacado los DDoS. El mes pasado, una plataforma social de audio y v\u00eddeo acaba de incendiarse, en tres d\u00edas sufri\u00f3 tres ataques consecutivos de m\u00e1s de 500G de tr\u00e1fico, los usuarios de Am\u00e9rica del Norte directamente en la tarjeta PPT - el jefe del partido me llam\u00f3 a las 4:00 am: \u201cHermano, aumentar el dinero puede ser resuelto?\u201d Aceleraci\u00f3n de ultramar y de alta defensa es originalmente una combinaci\u00f3n de amor el uno al otro. Si quieres velocidad, tienes que extender el nodo hasta la puerta del usuario; si quieres prevenir ataques, tienes que centrarte en limpiar todo el tr\u00e1fico. Pero cuando llevas el tr\u00e1fico de usuarios norteamericanos alrededor de Tokio para limpiarlo y luego lo devuelves a Los \u00c1ngeles, el retraso es suficiente para hacer una taza de caf\u00e9-.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1023","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1023"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1023\/revisions"}],"predecessor-version":[{"id":1102,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1023\/revisions\/1102"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1023"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}