Récemment, de nombreux amis se sont déchirés sur le choix des solutions de protection : CDN haute défense et serveurs haute défense, semblent être anti-attaque, la différence de prix est tellement grande, à la fin, comment choisir ? Ne vous inquiétez pas, je suis un vieux briscard aujourd'hui pour vous donner une pause claire.
D'abord, déverser une théorie de la tempête : ces jours-ci, ne pas connaître un peu de stratégie de déploiement de l'exploitation et de la maintenance, est tout simplement travailler pour le pirate informatique. J'ai vu trop d'entreprises accumuler aveuglément du matériel, brûler de l'argent et subir des attaques DDoS dans le même accident. L'année dernière, pour aider une entreprise de commerce électronique à intervenir en cas d'urgence, l'autre partie a acheté 30 000 serveurs de haute sécurité par mois, les résultats du trafic de 200G ont été directement transmis, le patron a presque battu mon téléphone portable - en fait, une façon différente de penser, avec CDN pour transporter le trafic + station source cachée, le coût peut être réduit de plus de la moitié.
Les serveurs à haute défense sont essentiellement des "joueurs coriaces".. On peut l'assimiler à un char d'assaut : toute la puissance de feu se précipite sur un seul point d'entrée, pour gagner si l'on peut le défendre, et pour le détruire directement si l'on ne peut pas. L'avantage est que les données sont entièrement contrôlées, ce qui convient à la nécessité de lire et d'écrire fréquemment dans les bases de données. Mais le talon d'Achille est le risque de percée d'un seul point - une fois que la propriété intellectuelle est exposée, l'attaquant pourra se concentrer sur la puissance de feu. J'ai testé une marque de serveurs à haute défense, avec une protection nominale de 800G, l'inondation UDP de 300G a conduit à un débordement de la file d'attente de la poignée de main TCP.
Les CDN de haute défense jouent la carte des "tactiques détournées".. En répartissant le trafic entre les nœuds mondiaux, les attaquants ne peuvent absolument pas toucher votre serveur réel. C'est comme laisser l'ennemi faire face à d'innombrables cibles mobiles, en frappant une et des centaines de cibles de rechange. Les fournisseurs de services tels que CDN5 peuvent même effectuer un nettoyage au niveau du TB, en s'appuyant sur le nombre de nœuds empilés à partir de la capacité de redondance. Cependant, l'inconvénient est que l'efficacité du traitement des requêtes dynamiques est faible, l'interaction de la base de données avec d'autres entreprises est sujette à des retards.
Examinons un scénario réel : une plateforme financière a essayé le paquet de serveurs de haute défense et CDN07 en même temps. Lorsqu'elle a été confrontée à des attaques de CC, l'unité centrale du serveur de haute défense est montée en flèche jusqu'à 100%, entraînant l'arrêt de l'activité, tandis que CDN07 a directement filtré 90% de demandes de spam grâce à l'authentification homme-machine et à la limitation du taux. Cependant, ils ont constaté par la suite que la latence augmentait de 80 ms lorsque l'interface de connexion de l'utilisateur utilisait le CDN - il s'agit d'un problème courant de traitement dynamique des ressources.
Comment choisir ? Rappelez-vous ce principe : choisissez un CDN si vous avez beaucoup de contenu statique, et choisissez un serveur si vous avez besoin d'arithmétique.
Si votre activité est le site web officiel, les blogs, les pages de commerce électronique telles que les ressources statiques, la sélection fermée de CDN haute défense. La ligne BGP de 08Host + l'optimisation de la mise en cache des pages, une fois aidé mes clients au temps de chargement de l'image de 3 secondes à 400 millisecondes, a rencontré une attaque sur la commutation automatique du nœud de sauvegarde, l'utilisateur ne perçoit tout simplement pas. Le prix est également particulièrement scandaleux - quelques centaines de dollars par mois peuvent supporter les attaques quotidiennes, que de maintenir un serveur de haute défense abordable.
Toutefois, si vous avez besoin d'un système informatique en temps réel, comme un système ERP ou une application de base de données, vous devez toujours vous appuyer sur des serveurs de haute défense. Après tout, le délai de retour du CDN peut être supérieur à 200 ms à l'échelle intercontinentale, et l'utilisateur aura manifestement l'impression d'être "à la traîne". Un client a dû configurer le CDN pour le système OA, ce qui a eu pour conséquence de faire perdre du temps aux employés lorsqu'ils soumettaient des formulaires, et il a dû revenir au serveur de haute défense pour résoudre le problème.
La solution la plus avancée est le "déploiement hybride". Le CDN est utilisé pour transporter le trafic statique, et les données principales sont toujours placées sur des serveurs de haute défense. Partagez un exemple de configuration :
Le contrôle des coûts est essentiel. Les entreprises légères utilisant le forfait de facturation au volume CDN5, moins de 5 attaques par mois, le coût peut être inférieur à 1/10 du serveur, mais en cas d'attaque soutenue, certains fournisseurs de CDN "coûts de trafic excessifs" peuvent effrayer et provoquer une crise cardiaque - une fois qu'un client a été bousculé avec 2 To de trafic, la facture a directement atteint les cinq chiffres. Les entreprises à fort trafic doivent donc choisir CDN07, ce type de service étant assorti d'un "plafonnement du trafic" ; au-delà du seuil, l'effondrement est automatique.
Enfin, je voudrais dire que certains fabricants prétendent que la valeur de protection est trop élevée. Clairement écrit 300G protection, le test de pression réelle à 200G a commencé à perdre des paquets. Pour vraiment voir l'effet, il faut aussi regarder la précision du nettoyage - comme le moteur de règles intelligent de 08Host, même les attaques lentes peuvent être identifiées, alors que certains serveurs bon marché utilisent encore la défense dure d'iptables, les attaques CC ont un impact quasi nul.
En résumé, il ne faut pas croire aux solutions à tout faire. Dans les cas que j'ai traités, les clients 70% sont plus adaptés à un CDN de haute défense, 20% ont besoin de serveurs de haute défense, et les 10% restants doivent jouer avec une architecture hybride. L'essentiel pour économiser de l'argent est d'"utiliser du bon acier sur le fil du rasoir" - les ressources statiques avec le CDN pour disperser la pression, les données de base avec le serveur pour assurer la performance, au milieu de la chaîne de planification intelligente. La prochaine fois que vous rencontrerez un vendeur qui se vante de la protection universelle, prenez directement cet article pour lui coller à la figure.
