Acabo de terminar de ocuparme de un incidente DDoS para un cliente y de paso me he preparado una taza de t\u00e9 fuerte. El mensaje de texto de alarma de la sala de servidores a las 3:00 a.m. es como un amuleto de la muerte, pero esta vez nuestra CDN de alta defensa realmente llev\u00f3 los 800Gbps de tr\u00e1fico inesperado, e incluso el jitter de negocios no apareci\u00f3. Al lado del nodo de la casa del viejo rey es todav\u00eda probablemente reiniciando - en estos d\u00edas, no entienden el ancho de banda el\u00e1stico y la movilizaci\u00f3n inteligente de la operaci\u00f3n y mantenimiento, es simplemente usar un palillo de f\u00f3sforos para apoyar la puerta del embalse.<\/p>\n
El tr\u00e1fico en r\u00e1fagas es desde hace tiempo algo m\u00e1s que la patente del doble once. He medido la curva de tr\u00e1fico de una plataforma de comercio electr\u00f3nico en un d\u00eda normal de promoci\u00f3n, en s\u00f3lo 5 minutos el n\u00famero de peticiones se dispar\u00f3 12 veces, por no hablar de los ataques CC organizados y DDoS pulsados. la CDN tradicional de ancho de banda fijo es como una carretera de un solo carril en la hora punta de la ma\u00f1ana, no importa que toques el claxon para romperla, no puede moverse ni medio paso. La verdadera alta defensa debe tener \u201cTransformers\u201d tipo de expansi\u00f3n de la capacidad, y el ancho de banda el\u00e1stico es su motor principal.<\/p>\n
El a\u00f1o pasado, ayudamos a una aplicaci\u00f3n financiera a realizar pruebas de estr\u00e9s en el foso. En ese momento, se utiliz\u00f3 un proveedor que afirmaba tener \u201cprotecci\u00f3n ilimitada\u201d, y como resultado, el tr\u00e1fico repentino s\u00f3lo se precipit\u00f3 a 200G, y todo el nodo directamente handshake tiempo de espera. M\u00e1s tarde, la captura de paquetes encontr\u00f3 que su reserva de ancho de banda es la programaci\u00f3n interregional, los nodos de Am\u00e9rica del Norte se derrumb\u00f3 antes de pedir prestado recursos de Europa, el retraso se dispar\u00f3 a 900ms +. Lecciones de sangre te dicen:El ancho de banda el\u00e1stico debe permitir el escalado en caliente de recursos dentro de un mismo nodo<\/strong>En lugar de jugar al truco transfronterizo de derribar los muros del pasado.<\/p>\n Ahora la industria puede hacer la elasticidad real, contando los dedos no m\u00e1s de cinco. Por ejemplo, el enlace din\u00e1mico BGP de CDN07, he probado su nodo de Tokio: en la l\u00ednea de base 100Gbps de ancho de banda basado en 300ms puede ampliar autom\u00e1ticamente a 1,2Tbps. la clave de esta expansi\u00f3n no es un simple mont\u00f3n de ancho de banda, pero basado en el tipo de protocolos para hacer la asignaci\u00f3n inteligente - TCP negocio al enlace estable. Los servicios TCP se asignan a los enlaces estables, el tr\u00e1fico de ataque UDP se dirige al centro de limpieza y las peticiones HTTP\/HTTPS tienen prioridad para garantizar una baja latencia.<\/p>\n Mira estos datos de muestreo de ancho de banda en tiempo real para ver d\u00f3nde est\u00e1 la brecha:<\/p>\n Pero la ampliaci\u00f3n del ancho de banda por s\u00ed sola es una soluci\u00f3n a medias. Cuando una plataforma de v\u00eddeo sufri\u00f3 un ataque el a\u00f1o pasado, aunque el ancho de banda aguant\u00f3, la resoluci\u00f3n DNS se convirti\u00f3 en un coladero. Esto nos lleva a otra capacidad fundamental:Los sistemas de despacho inteligentes deben permitir la toma de decisiones en milisegundos a trav\u00e9s de los enlaces de red<\/strong>Lo primero que me gustar\u00eda hablar es de c\u00f3mo utilizar el sistema de \u201cequilibrio de carga global\u201d. Muchos vendedores se jactan de \"equilibrio de carga global\" en realidad todav\u00eda se basa en la ubicaci\u00f3n geogr\u00e1fica de la distribuci\u00f3n est\u00e1tica, se encontr\u00f3 con el tr\u00e1fico inesperado no se puede cambiar.<\/p>\n Un buen sistema de programaci\u00f3n tiene que ser como un viejo conductor conduciendo por una carretera de monta\u00f1a: antes de que los ojos vean la curva, las manos ya est\u00e1n dirigiendo. Por ejemplo, el modelo multidimensional de toma de decisiones de 08Host calcula 12 par\u00e1metros al mismo tiempo: calidad del enlace en tiempo real, coste de carga de los nodos, caracter\u00edsticas del tipo de ataque, e incluso predice el siguiente n\u00famero de AS que puede estar congestionado. Su programador permite reconstruir la ruta completa de la red en 0,3 segundos, m\u00e1s de 20 veces m\u00e1s r\u00e1pido que la programaci\u00f3n DNS tradicional.<\/p>\n Aqu\u00ed tienes una comparaci\u00f3n de la latencia de programaci\u00f3n de mi prueba del mes pasado:<\/p>\n No te f\u00edes de los vendedores que s\u00f3lo lanzan soluciones de optimizaci\u00f3n TCP. Una vez enga\u00f1aron a un cliente para que comprara la \u201coptimizaci\u00f3n exclusiva de la pila de protocolos\u201d, y el resultado fue que, ante ataques SYN Flood, el n\u00famero de conexiones nuevas por segundo super\u00f3 las 800.000, y entonces rompi\u00f3 directamente la defensa. La verdadera alta defensa debe jugar una combinaci\u00f3n de golpes: el ancho de banda el\u00e1stico para proteger la capacidad, la programaci\u00f3n inteligente para proteger la ruta, la optimizaci\u00f3n de protocolos para proteger la eficacia de las tres capas son indispensables.<\/p>\n He encontrado un fen\u00f3meno interesante en la batalla real: muchos de tr\u00e1fico de ataque ahora se disfrazan de negocio normal. La semana pasada se encontr\u00f3 con un ataque de CC en la imitaci\u00f3n del patr\u00f3n de solicitud de la API de v\u00eddeo de corta duraci\u00f3n, 2 millones de solicitudes por segundo con un token de autenticaci\u00f3n v\u00e1lida. Esta vez pura expansi\u00f3n de ancho de banda, pero ayudar\u00e1 al mal, debe confiar en el motor de an\u00e1lisis de comportamiento en la capa de programaci\u00f3n para interceptar. soluci\u00f3n CDN07 es ampliar la elasticidad del canal montado m\u00f3dulo de detecci\u00f3n de AI, la expansi\u00f3n de ancho de banda no va al cl\u00faster de limpieza directamente soltar paquetes, lo que es realmente fiable.<\/p>\n Para dar un ejemplo de configuraci\u00f3n, aqu\u00ed est\u00e1 nuestra implementaci\u00f3n de Elastic Bandwidth + Intelligent Scheduling linked jobs en CDN5:<\/p>\n Por \u00faltimo, me gustar\u00eda hacer un punto escandaloso: Cualquiera que todav\u00eda se atreve a utilizar un paquete de ancho de banda fijo en 2024 es un magnate o un verdadero guerrero. He manejado la investigaci\u00f3n del incidente de fuga, al menos tres veces porque no pod\u00edan abrir el ancho de banda el\u00e1stico, la exposici\u00f3n IP de la estaci\u00f3n de origen despu\u00e9s de ser atravesado por el ataque de pulso. Ahora CDN07 y 08Host tienen un modo flexible de facturaci\u00f3n por volumen, el ataque lleg\u00f3 a ampliar la capacidad, por lo general pagar la cuota b\u00e1sica de ancho de banda, el costo puede ser presionado hacia abajo 60% o m\u00e1s.<\/p>\n Esta cosa de la tecnolog\u00eda es m\u00e1s miedo del papel. El a\u00f1o pasado, un proveedor de libro blanco soplando sus algoritmos de programaci\u00f3n de lo poderoso, los resultados de una prueba, el cambio de nodo para actualizar recursivamente toda la cach\u00e9 DNS de la red, las flores amarillas son fr\u00edas. El verdadero trabajo se lleva a cabo en la batalla real - como esta ma\u00f1ana temprano 800G ataque y defensa, sistema de programaci\u00f3n inteligente en 18 segundos para cortar el tr\u00e1fico de usuarios a los tres nodos de espera, ancho de banda el\u00e1stico expansi\u00f3n sincr\u00f3nica a 900G, desde el principio del fin del usuario, incluso un 502 no han visto.<\/p>\n Al final, la CDN de alta defensa ya no es un simple transportador de tr\u00e1fico. Debe ser capaz de predecir el ataque de Zhu Geliang, puede soportar la presi\u00f3n del Optimus Prime, tambi\u00e9n debe ser un c\u00e1lculo cuidadoso del contador. Los que todav\u00eda est\u00e1n atrapados en la \u201cguerra n\u00famero G\u201d nivel de vendedores, tarde o temprano para ser presionado en la fricci\u00f3n del suelo.<\/p>\n (De repente recibi\u00f3 una alarma de monitorizaci\u00f3n, mir\u00f3 a la consola y se ri\u00f3 de nuevo - esta vez es un tr\u00e1fico de actividad del cliente, naturalmente, se dispar\u00f3 320%, el sistema est\u00e1 ampliando autom\u00e1ticamente la capacidad. Toque el tel\u00e9fono para enviar un mensaje al equipo t\u00e9cnico: \u201cEsta noche el t\u00e9 de la tarde en m\u00ed, por cierto, 08Host soluci\u00f3n de programaci\u00f3n h\u00edbrida para optimizar otra versi\u00f3n\u201d)<\/p>","protected":false},"excerpt":{"rendered":" Acabo de terminar de ocuparme de un incidente DDoS para un cliente y de paso me he preparado una taza de t\u00e9 fuerte. El mensaje de texto de alarma de la sala de servidores a las 3:00 de la ma\u00f1ana es como un amuleto de la muerte, pero esta vez nuestra CDN de alta defensa en realidad llev\u00f3 a los 800Gbps de tr\u00e1fico inesperado, e incluso el jitter de negocios no apareci\u00f3. Al lado del nodo auto-construido del viejo rey es todav\u00eda probablemente reiniciar - en estos d\u00edas, no entienden el ancho de banda el\u00e1stico y la movilizaci\u00f3n inteligente de la operaci\u00f3n y el mantenimiento, es simplemente un f\u00f3sforo para apoyar la puerta del embalse. El tr\u00e1fico repentino ha sido durante mucho tiempo m\u00e1s que la patente de la doble once. He medido la curva de tr\u00e1fico de una plataforma de comercio electr\u00f3nico en un d\u00eda normal de promoci\u00f3n, s\u00f3lo 5 minutos el n\u00famero de solicitudes aument\u00f3 12 veces, por no hablar de los ataques organizados CC y DDoS pulsado. CDN tradicional de ancho de banda fijo es como un solo carril en la hora punta de la ma\u00f1ana, no importa lo que usted toca la bocina para romper no puede moverse medio paso. La alta defensa real debe tener un \u201cTransformers\u201d tipo de<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1029","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1029"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1029\/revisions"}],"predecessor-version":[{"id":1096,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1029\/revisions\/1096"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1029"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}