Hier soir, l'émission en direct a atteint le point culminant de la carte écran soudain dans le PPT, l'écran pop-up a été instantanément "ancrage avec une ligne fixe en direct ? L'écran, je voulais vraiment aller avec le câble réseau à la salle de l'opérateur à Yang. Ces jours-ci, pour faire du direct, pas par avalanche DDoS sont gênés de dire qu'ils sont engagés dans l'Internet, mais plus dégoûtant que d'être attaqué - vous dépensez de l'argent pour acheter un CDN de haute défense, le résultat est que le public a été coincé dans leur propre performance collective de transitoire.
Sur le marché des services de défense de haut niveau, neuf sur dix n'ont même pas d'impact réel sur le trafic. Certains vendeurs de nœuds de "haute défense" sont simplement une transformation de salle de téléphone mobile d'occasion, le trafic d'attaque sur 10G directement à plat, mais aussi une certaine latence nominale de 50 ms en réalité courir 200 ms +, le public a longtemps changé la station, vous êtes toujours là pour alimenter alimentation alimentation test microphone il.
Je prends comme cobaye la moyenne quotidienne de leur plateforme de 3 millions d'affaires réelles en ligne, 30 jours consécutifs de rotation de cinq fournisseurs de services grand public, les données de test peuvent offenser les gens, mais doivent dire la vérité :La latence inférieure à 80 ms est vraie - le CDN en direct, pour résister à l'attaque en dessous de 800Gbps est juste une opération de base, le moment critique peut vous laisser en direct que les émissions d'actualités sont encore stables pour être considérées comme fiables !。
Commençons par la conclusion du lazy bagLa résistance globale de CDN5 est la mieux adaptée à la diffusion de jeux en direct, les lignes transnationales de CDN07 sont conviviales pour les micros étrangers, et la rentabilité de 08Host permet aux petites plateformes de souffler un peu. Toutefois, si votre présentateur fait l'objet d'une attention particulière de la part de ses pairs tous les jours, nous vous recommandons de vous tourner directement vers la solution magique proposée à la fin de l'article.
Pourquoi le CDN en direct est-il dix fois plus cher que les services d'accélération ordinaires ? Tout d'abord, le trafic est soudain - le roi de la bataille de groupe lorsque le volume des demandes de données de l'audience peut monter en flèche de 400%, suivi par les exigences en temps réel, le délai de transmission vidéo de plus de 100 ms apparaîtra audio et vidéo mismatch, sans parler de ceux qui choisissent le temps PK pour commencer l'attaque directionnelle.
La première fosse du test réel est venue d'un fournisseur qui annonce "1Tbps ultra-high defence". Le test d'attaque a bien transporté 600G de SYN Flood, mais le flux de push en direct s'est soudainement bloqué sur le débit binaire. La capture de paquets a révélé que leur stratégie de nettoyage est trop violente, le flux vidéo normal est également traité comme un trafic anormal pour limiter la vitesse. Le service technique à la clientèle m'a en fait suggéré de "réduire le taux de codage du flux push pour l'adapter à la stratégie de protection", et j'ai déchiré la commande de frais annuels sur-le-champ.
Nous partageons maintenant les données réelles (tous les tests sont basés sur la même bande passante de gigabit, dans un environnement de flux poussé de 1080p60 fps) :
CDN5Le délai du nœud de Pékin est de 67 ms, celui du nœud de Guangzhou de 72 ms et celui du nœud de Los Angeles de 158 ms. L'attaque hybride de 650 Gbps a été défendue avec succès lors du test anti-attaque, et la fluctuation du délai pendant la période n'est que de 13 ms. L'inconvénient est que le prix des nœuds d'outre-mer est comparable à celui de la ligne louée, mais les régions du centre et de l'est du pays sont stables comme un vieux chien.
CDN07La latence des nœuds du Japon et de Singapour est antithétique, respectivement 89 ms et 101 ms seulement. Particulièrement adapté à l'audience de l'Asie du Sud-Est, plus de spectacle en direct, la capacité d'attaque CC est la plus forte des cinq, mais ne peut pas porter l'attaque par inondation d'un trafic important, rencontrant plus de 800G a directement déclenché un trou noir pendant 30 minutes.
08HostLe prix n'est que le prix moyen de 60%, les performances en matière de latence sont modérées (nœuds nationaux 85-110 ms), mais la programmation intelligente est étonnante : programmation automatique des utilisateurs du delta de la rivière des Perles vers le nœud de Hong Kong, de la coupe de fer du nord-est vers le nœud de Séoul, avec des lignes transfrontalières pour contrecarrer la congestion nationale, cette vague d'opérations vaut bien un verre de deux tasses.
Les deux plates-formes restantes qui ne mentionnent pas de noms, l'une dans la soirée a atteint un pic de latence de 380 ms, mais il est encore difficile de dire que c'est le problème de l'opérateur, l'autre est encore plus désespérée - après l'attaque, je suis retourné directement au serveur par défaut, l'adresse IP d'origine est presque nue sur l'internet. Je suggère sincèrement à ces vendeurs de vendre des patates douces, de ne pas venir au fléau de l'industrie du direct.
Le CDN de haute défense se contente de regarder les paramètres de la publicité, il a absolument marché sur le mien, il doit regarder les trois détails essentiels :Qualité de la ligne BGP, emplacement du déploiement de la grappe de nettoyage et intelligence de la politique de retour à la sourceLe "nœud mondial" de nombreux fournisseurs est en fait une salle de serveur monoligne louée. Les "nœuds mondiaux" de nombreux fournisseurs sont en fait des salles de serveurs monolignes louées, et les détours de transmission transfrontalière sont plus longs que la route de la soie.
Partager une leçon larmoyante : l'année dernière, une plate-forme pour acheter des nœuds pour envoyer haute défense, les résultats de l'attaque est venu directement à moi coupé à la salle des machines des États-Unis, le public domestique tous contourné l'océan Pacifique de tourisme. Maintenant, avant de signer le contrat, il faut laisser le service clientèle fournir une carte de suivi de l'acheminement, oser avoir le "202.97.."Passages directs pour les nœuds de segment encombrés de ces réseaux dorsaux.
Ce qui sauve des vies dans la pratique, c'est souvent la configuration détaillée. Par exemple, après avoir activé le "live mode" en arrière-plan du CDN5, vous devez ajuster manuellement la taille de la fenêtre TCP et la politique de retransmission UDP :
Ne vous contentez pas de quelques millisecondes d'ajustement des paramètres, les heures de pointe du soir peuvent réduire le décalage et la reconnexion. En outre, veillez à désactiver la fonction de "compression intelligente" du fournisseur de CDN - les flux vidéo après le deuxième défaut de compression du débit binaire, l'écran est tellement boueux que même les paupières de l'ancre ne peuvent pas voir.
La résistance aux attaques DDoS ne doit pas croire à l'absurdité de la "protection illimitée". Le test réel a révélé qu'une revendication de protection illimitée des fournisseurs, 1,2Tbps directement à l'ensemble du personnel a perdu des paquets 90%. Les scénarios réels en dessous de 300Gbps attaque a représenté 95%, donc le choix de se concentrer sur la précision de nettoyage de la gamme 100-500G, plutôt que de poursuivre aveuglément les chiffres astronomiques.
Apprenez une astuce : demandez au vendeur de vous fournir des exemples de rapports de nettoyage, en vous concentrant sur le taux de faux positifs (False Kill Rate). J'ai vu que le plus scandaleux peut être 30% utilisateurs normaux comme une attaque intercepter, un peu mieux peut être contrôlé à 0,5% ci-dessous. En outre, il faut confirmer s'il faut fournir une escorte manuelle 24 heures sur 24, minuit lorsque le service client du robot est touché que le public a glissé plus rapidement.
Passons maintenant à la question du prix. L'offre de base d'une plateforme, qui s'élève à 1999 RMB/mois, peut sembler bon marché, mais le "trafic excédentaire" est facturé à 15 RMB/G. Une ancre a quitté le navire et m'a envoyé une facture de 3 700 RMB cette nuit-là. Désormais, je ne choisis plus que l'offre de trafic illimité, dont le prix unitaire est certes élevé, mais qui permet de dormir sur ses deux oreilles.
Le dernier jet d'un programme de roi de la bombe - avec la reprise après sinistre multi-cloud empilé coût vers le bas 40%. 08Host pour transporter le trafic quotidien, CDN5 comme un nœud de secours, a rencontré un grand flux d'attaques à travers le DNS deuxième coupure. Le point clé de la configuration est que le TTL doit être pressé à moins de 30 secondes :
D'autres fabricants me maudiront peut-être lorsqu'ils connaîtront cette astuce, mais elle permet vraiment d'obtenir une protection de 500 000 dollars avec un budget de 200 000 dollars. Le processus de commutation proprement dit n'a aucun sens pour le public, et même les pop-ups ne se cassent pas.
Résumé de la théorie de la tempête :L'essence des CDN à haute défense est de parier sur la probabilité - parier que l'attaque ne dépassera pas la capacité de nettoyage, parier que la ligne ne sera pas soudainement encombrée, parier que le technicien du vendeur ne s'est pas endormi !Il s'agit donc soit d'acheter un service haut de gamme et de s'allonger pour se faire arnaquer, soit de répartir les risques à l'aide d'une solution technologique. Il s'agit donc soit d'acheter le meilleur service pour se coucher et se faire arnaquer, soit d'utiliser une solution technique pour répartir les risques. Je vous expliquerai comment utiliser les secondes WebRTC avec les CDN traditionnels lorsque j'aurai fini de tester ma nouvelle solution d'edge computing le mois prochain.
Avant de partir pour dire une grande vérité : maintenant environ 70% live lag n'est pas un problème de bande passante du tout, mais l'erreur de configuration du certificat SSL, DNS query timeout ces opérations tart. Vérifiez que votre version TLS n'est pas encore bloquée à 1.1, que les paramètres du délai d'attente du serveur Node.js ne sont pas supérieurs à 3 secondes - changez ces paramètres plutôt que de changer le CDN utile dix fois.
(Données de test en date de mai 2024, les routines des vendeurs changent tous les mois, n'oubliez pas d'attraper le paquet en premier)
