Récemment, plusieurs amis faisant des plates-formes sociales ont couru pour me demander, haute défense CDN à la fin comment choisir, le prix n'est pas tous comme la légende si effrayant. Pour être honnête, la première fois que j'ai contacté ce morceau de temps, je suis également confus, la liste des offres des vendeurs semble éblouissante, de quelques milliers à des centaines de milliers de tout, à la fin qui est vraiment abordable, qui est la taxe de QI ? Aujourd'hui, je vais combiner le piège dans lequel j'ai marché et les données de test réelles, ouvrir les yeux et en parler.
Tout d'abord, versez de l'eau froide : ne croyez pas ces mots fantômes de “défense illimitée”, “jamais de temps d'arrêt”. Cette ligne d'eau est très profonde, certains vendeurs à la défense de 5Gbps marquée comme vente de 100Gbps, a été frappé directement à vous de retour à la source, pleurer trop tard. J'ai testé un service qui prétend “ignorer toute attaque”, le résultat d'une simple attaque CC sur la défense brisée - et j'ai découvert plus tard qu'ils n'avaient même pas fait l'analyse comportementale de base.
Le coût de la défense d'une entreprise sociale consiste essentiellement à payer pour un pic de trafic monstrueux. L'accès normal des utilisateurs est une courbe régulière, mais le trafic d'attaque est comme une vague sismique, qui monte instantanément en flèche. La valeur fondamentale d'un CDN de haute défense est de digérer ce trafic aberrant au niveau des nœuds périphériques et de ne pas le laisser atteindre les serveurs sources. Cela implique deux coûts principaux : les coûts de bande passante et les coûts de nettoyage.
Les coûts de la bande passante concernent le trafic normal de l'entreprise et sont généralement facturés à raison de 95 pics par mois ou de totaux mensuels. Le coût de nettoyage sert à payer la capacité de défense, le courant principal est facturé en fonction du pic de l'attaque ou de l'achat de paquets de défense. Par exemple : si la bande passante quotidienne est de 200 Mbps et qu'un jour une attaque DDoS de 300 Gbps se produit, la référence de facturation est basée sur une capacité de nettoyage de 300 Gbps, même si l'attaque n'a duré que 5 minutes.
Passons maintenant aux choses sérieuses. J'ai obtenu des devis de trois fournisseurs courants pour les comparer (CDN5, CDN07, 08Host), et les données proviennent de tests en conditions réelles effectués l'année dernière lorsque j'ai aidé une plateforme de médias sociaux audio/vidéo à choisir un modèle :
CDN5Le forfait de base est adapté à des scénarios avec beaucoup d'attaques soudaines. L'offre de base débute à 20 000 euros par mois et comprend une bande passante de 200 Mbps et une défense de 200 Gbps. Le trafic de nettoyage excédentaire est facturé à 0,8 $/Gbps/heure. Le plus grand avantage est qu'il y a de nombreux nœuds mondiaux, une faible latence en Asie du Sud-Est, mais le nombre de requêtes HTTP/HTTPS compte pour autre chose, et les appels API sont fréquents et faciles à dépasser le budget.
CDN07Le forfait de base est de 35 000 euros par mois avec une bande passante de 300 Mbps et une défense de 300 Gbps. L'offre de base est de 35 000 euros/mois avec une bande passante de 300 Mbps + une défense de 300 Gbps, avec son propre pare-feu d'application web, qui peut bloquer la plupart des attaques CC. J'ai testé leur algorithme d'IA, et le taux de reconnaissance des attaques lentes peut atteindre 90%, mais le nombre de nœuds est faible, et la latence de l'accès des utilisateurs américains est élevée.
08HostLe premier choix pour les plateformes sociales de petite et moyenne taille est de 15 000 euros/mois pour une bande passante de 100 Mbps + une défense de 100 Gbps, et seulement 0,5 $/Gbps/heure pour les coûts de nettoyage excédentaires. Le point fort est la fourniture gratuite de la gestion des certificats et du WAF de base, mais la résistance du nœud aux attaques de trafic lourd déclenchera occasionnellement le mécanisme de fusion, vous devez configurer une bonne stratégie de dégradation à l'avance.
Voici un piège auquel il convient de prêter une attention particulière : de nombreux fournisseurs proposent une “défense illimitée” qui ne concerne en fait que l'inondation UDP, par exemple une attaque facile à nettoyer, et les attaques de type connexion TCP ou CC avancées, qui sont directement répercutées sur le client. Il est préférable d'indiquer clairement dans le contrat le type de défense et les normes de compensation.
L'exemple de configuration n'est en fait pas très compliqué, l'essentiel étant une bonne planification du trafic. J'aimerais partager un script Nginx+Lua que j'utilise couramment pour identifier un trafic anormal et passer à un nœud de nettoyage :
Le contrôle des coûts réels dépend également des caractéristiques de l'entreprise. Les coûts de défense d'un simple chat textuel et d'une diffusion audio/vidéo peuvent être dix fois différents. Dans le premier cas, il s'agit principalement de prévenir les attaques CC, le nombre de requêtes par seconde (RPS) étant un indicateur clé ; dans le second cas, il s'agit de faire face aux attaques UDP Flood et aux attaques par réflexion DNS, le coût de la bande passante étant très élevé. Une fois qu'un client, pour économiser de l'argent, n'a utilisé que la défense de base, les résultats de la diffusion en direct ont été une pénétration d'attaque UDP de 30 Gbps, une perte de temps d'arrêt d'un jour que le budget annuel de la défense est plus élevé.
Je recommande sincèrement aux patrons d'entreprises sociales de réserver au moins le budget technologique 10% à la protection de la sécurité. Il ne faut pas croire que les affaires sont calmes aujourd'hui, mais lorsqu'elles seront vraiment ciblées, l'achat temporaire de services ne sera pas le prix à payer. L'année dernière, une plateforme de rencontres a été attaquée par des concurrents qui ont joué un ensemble de combinaisons, l'achat temporaire d'une défense de 500 Gbps, une journée pour brûler 200 000 euros - assez pour acheter un paquet d'une année entière.
Enfin, une théorie tyrannique : de nos jours, même les CDN doivent “prévenir les coéquipiers”. Certains fournisseurs n'ont pas assez de nœuds pour louer de la bande passante d'occasion, et lorsqu'ils sont touchés, la surcharge du lien s'effondre directement. Il est préférable de demander des diagrammes de topologie des nœuds et des informations de diffusion BGP lors de la sélection d'un modèle, mais tout faux pas passe directement.
En résumé, il n'y a pas de réponse standard au CDN de haute défense sociale, la clé est d'examiner les scénarios d'entreprise et les caractéristiques des attaques. Les petites plateformes commencent par 08Host, des services aussi rentables, une activité quotidienne de plus d'un million, puis envisagent CDN5, l'optimisation complète des liens, la demande de niveau financier, puis CDN07. Le prix du paiement mensuel de quelques milliers à des centaines de milliers est raisonnable, mais rappelez-vous : l'essence de la défense est le transfert des coûts, le coût des attaques incontrôlables dans un budget de protection contrôlable, il vaut la peine de dépenser de l'argent.
Si un fournisseur vous propose vraiment une redevance annuelle d'un million de dollars, envoyez-lui cet article au visage - à moins qu'il ne puisse fournir un nettoyage de qualité militaire proche de la source et une réponse en 7×24, ce ne sont que des conneries.

