Avez-vous déjà été réveillé à 3 heures du matin par un appel à la police vous annonçant que votre site web était à nouveau hors service ? Je me souviens encore de cette station de commerce électronique d'un client dont la bande passante était remplie de DDoS à 500 Gbps, le cauchemar de la paralysie de toute la salle des serveurs - de nos jours, même les pirates informatiques ont commencé à “acheter en groupe” des canons à trafic. Mais pas de panique, aujourd'hui nous allons ouvrir les miettes pour comprendre, CDN de haute défense dans la fin de la façon de porter l'attaque d'inondation, tout en permettant aux utilisateurs d'accéder aussi vite que l'éclair.
Le CDN à haute défense est essentiellement un “garde-épée” et un “frère messager”, il doit arrêter l'épée, mais aussi envoyer le paquet avec précision dans les mains de l'utilisateur. Beaucoup de Blancs pensent qu'un ensemble de CDN sera en mesure de se reposer tranquillement, les résultats des attaques CC s'agenouillent directement - parce que vous pouvez acheter juste un CDN accéléré, la capacité de défense est à peu près égale à un mur de papier. J'ai découvert que 70 % des services dits “à haute défense” sur le marché, même SYN Flood ne peut pas filtrer proprement, sans parler de la couche d'application populaire des attaques lentes.
Tout d'abord, le mécanisme de défense. Le principe de base est le “nettoyage du trafic” : le trafic malveillant est dirigé vers un centre de nettoyage pour y être pincé, puis le trafic propre est renvoyé à la source. La clé ici est le réseau Anycast distribué - en utilisant un groupe de nœuds mondiaux partageant la même IP, le trafic d'attaque sera automatiquement acheminé vers le centre de nettoyage le plus proche. Par exemple, dans CDN07, le délai de leurs nœuds Anycast est réduit à moins de 2 ms, et l'attaque sera pressée à mort avant de se propager. La dernière fois qu'une entreprise a mis en place une défense de 200Tbps, le combat réel s'est déroulé parce que le trafic s'est entassé dans une entrée, la carte réseau physique s'est d'abord effondrée pour le respect.
Sur le plan technique, le centre de nettoyage s'appuie sur trois couches d'empreintes digitales et d'analyse comportementale. Pour faire simple, il s'agit d'abord de regarder la bibliothèque de réputation IP (comme les nœuds TOR ou les botnets connus), puis d'analyser les caractéristiques des paquets (nombre de requêtes par seconde, durée de la connexion). Je configure souvent des règles WAF pour bloquer les attaques CC :
Mais il ne s'agit là que de l'essentiel. Lorsqu'il s'agit d'attaques avancées, tout repose sur l'apprentissage automatique et la modélisation dynamique - par exemple, les algorithmes de CDN5 peuvent identifier des “modèles de comportement humain” : les utilisateurs normaux cliquent avec des délais aléatoires, mais les robots sont plus précis de quelques millisecondes. L'année dernière, ils ont résisté à une inondation HTTP de 8 millions de QPS en ajustant les seuils en temps réel, ce qui est dix fois plus souple que les bases de règles traditionnelles.
Outre le mécanisme d'accélération, il s'agit davantage d'un test de l'architecture sous-jacente du CDN. L'accélération ne consiste pas simplement à mettre en cache des fichiers statiques, mais à utiliser l'informatique de pointe pour “presser” le contenu dynamique jusqu'à la porte de l'utilisateur. 08Host est très souple dans ce domaine : ses algorithmes de routage intelligents peuvent choisir le chemin optimal en temps réel, afin d'éviter l'encombrement des liaisons internationales. J'ai mesuré la vitesse de chargement de la même image de Tokyo à Los Angeles, en utilisant un CDN ordinaire à 380 ms, la pression de 08Host à 90 ms - la différence est comme rouler à vélo et rouler en fusée.
La stratégie de mise en cache est l'âme de l'accélération. Les gens stupides se contentent de définir l'en-tête Cache-Control, les vétérans jouent avec la logique de mise en cache à la périphérie. Par exemple, pour un contenu semi-dynamique tel que des pages de produits de commerce électronique, j'utiliserais des nœuds de calcul en périphérie pour effectuer une mise en cache locale :
N'oubliez pas d'optimiser TCP pour ces détails sous-jacents. Un bon CDN à haute défense doit ajuster les paramètres du noyau comme un vieux médecin chinois ajuste le corps : en augmentant la file d'attente SYN, en activant l'ouverture rapide et en ajustant l'algorithme de congestion. CDN07 a même modifié comme par magie l'algorithme BBR, qui peut encore fonctionner à pleine bande passante sur un lien avec un taux de perte de paquets de 20%, et le taux de retard vidéo mesuré a chuté de 70% - ce qui a permis de réduire le nombre de paquets perdus et d'améliorer la qualité du service. Les obstacles techniques sont suffisants pour que des amis se poursuivent pendant trois ans.
Comparons maintenant les données de combat réelles de plusieurs fournisseurs. L'année dernière, j'ai effectué un test de stress pour un client financier afin de simuler une attaque hybride (DDoS+CC+connexion lente) :
CDN5 : délai de nettoyage <50ms, ratio d'accélération 1:8 (c'est-à-dire 1Gbps de retour à la source pour transporter 8Gbps de trafic en périphérie), mais le prix est très élevé, adapté aux entreprises de type tycoon.
CDN07 : taux de réussite en matière de défense de 99,99%, mais l'accélération dynamique est plus faible, ce qui convient aux jeux tels que les scénarios de priorité en matière de défense.
08Host : le roi de la rentabilité, le meilleur équilibre entre la défense et l'accélération, particulièrement performant sur la ligne Asie-Pacifique, les petites entreprises fermant les yeux.
Enfin, je voudrais dire quelques mots du fond du cœur : ne vous fiez pas aux publicités pour juger de l'efficacité du choix d'un CDN à haute défense. Assurez-vous de demander au vendeur de fournir de vrais journaux d'attaques et des rapports de suivi des routes MTR - j'ai vu trop de revendeurs de second ordre utiliser de fausses données CloudFlare pour tromper les gens. N'oubliez pas que ceux qui sont capables d'assurer à la fois la défense et l'accélération doivent maîtriser à la fois le réseau et les algorithmes sous-jacents. Vérifiez dès maintenant votre configuration CDN, n'attendez pas qu'elle explose pour vous féliciter.

