Je viens de terminer la gestion d'un incident DDoS pour un client et j'ai préparé une tasse de thé fort en passant. Le message textuel d'alarme de la salle des serveurs à 3 heures du matin est comme un charme de la mort, mais cette fois notre CDN haute défense a effectivement transporté les 800 Gbps de trafic inattendu, et même la gigue de l'entreprise n'est pas apparue. À côté, le nœud de la maison du vieux roi est probablement encore en train de redémarrer - de nos jours, on ne comprend pas la bande passante élastique et la mobilisation intelligente de l'exploitation et de la maintenance, on utilise simplement un bâton d'allumette pour soutenir la porte du réservoir.
Le trafic en rafale est depuis longtemps plus que le brevet du double onze. J'ai mesuré la courbe du trafic d'une plateforme de commerce électronique lors d'une journée promotionnelle normale : en cinq minutes seulement, le nombre de demandes a été multiplié par 12, sans parler des attaques CC organisées et des DDoS par impulsion. Le CDN traditionnel à bande passante fixe est comme une voie unique à l'heure de pointe du matin : quoi que vous fassiez, vous ne pouvez pas avancer d'un demi-pas, même en klaxonnant à tout va. La véritable défense de haut niveau doit avoir une expansion de capacité de type “Transformers”, et la bande passante élastique est son moteur principal.
L'année dernière, nous avons aidé une application financière à effectuer des tests de stress sur la fosse. À l'époque, nous avons fait appel à un fournisseur qui prétendait avoir une “protection illimitée”, et en conséquence, le trafic soudain s'est précipité jusqu'à 200G, et l'ensemble du nœud a directement dépassé le temps de la poignée de main. Plus tard, la capture de paquets a révélé que leur pool de bande passante est une planification interrégionale, les nœuds nord-américains se sont effondrés avant d'emprunter des ressources à l'Europe, le délai est monté en flèche jusqu'à 900 ms +. Les leçons du sang vous le disent :La bande passante élastique doit permettre la mise à l'échelle à chaud des ressources au sein d'un même nœud.Au lieu de jouer la carte transfrontalière en abattant les murs du passé.
Aujourd'hui, l'industrie peut faire preuve d'une réelle élasticité, en ne comptant pas plus de cinq doigts. Par exemple, le lien BGP dynamique de CDN07, j'ai testé leur nœud de Tokyo : dans la bande passante de base de 100Gbps basée sur 300ms peut automatiquement s'étendre à 1,2Tbps. La clé de cette expansion n'est pas un simple amas de bande passante, mais basée sur le type de protocoles pour faire l'allocation intelligente - les affaires TCP à la liaison stable. Les services TCP sont attribués aux liaisons stables, le trafic d'attaque UDP est dirigé vers le centre de nettoyage et les requêtes HTTP/HTTPS sont prioritaires pour garantir une faible latence.
Les données d'échantillonnage de la bande passante en temps réel montrent où se situe l'écart :
Mais l'élargissement de la bande passante n'est qu'une solution partielle. Lorsqu'une plateforme vidéo a été attaquée l'année dernière, la bande passante a résisté, mais la résolution DNS s'est transformée en une véritable passoire. Cela nous amène à une autre capacité essentielle :Les systèmes de répartition intelligents doivent permettre une prise de décision à la milliseconde sur les liaisons du réseauLa première chose dont j'aimerais parler est la manière d'utiliser le système de “répartition globale de la charge”. De nombreux fournisseurs se targuent d'un "équilibrage global de la charge" qui est en fait toujours basé sur l'emplacement géographique de la distribution statique, le trafic inattendu rencontré ne peut pas être commuté.
Un bon système de planification doit être comme un vieux conducteur sur une route de montagne - avant que les yeux ne voient le virage, les mains sont déjà au volant. Par exemple, le modèle décisionnel multidimensionnel de 08Host calcule 12 paramètres en même temps : la qualité du lien en temps réel, le coût de la charge du nœud, les caractéristiques du type d'attaque, et prédit même le prochain numéro d'AS susceptible d'être encombré. Le planificateur de 08Host permet de reconstruire le chemin complet du réseau en 0,3 seconde, soit plus de 20 fois plus vite que le planificateur DNS traditionnel.
Voici une comparaison de la latence de la programmation à partir de mon test du mois dernier :
Ne faites pas confiance aux fournisseurs qui ne proposent que des solutions d'optimisation TCP. Un client s'est fait avoir en achetant une “optimisation exclusive de la pile de protocoles” et, face aux attaques SYN Flood, le nombre de nouvelles connexions par seconde a dépassé les 800 000, ce qui a eu pour effet de briser directement la défense. Une véritable défense de haut niveau doit jouer sur plusieurs tableaux : une bande passante élastique pour protéger la capacité, une planification intelligente pour protéger le chemin, une optimisation du protocole pour protéger l'efficacité des trois couches sont indispensables.
J'ai découvert un phénomène intéressant dans la bataille actuelle : de nombreux trafics d'attaque sont désormais déguisés en activités normales. La semaine dernière, j'ai rencontré une attaque CC sur l'imitation du modèle de requête de l'API vidéo courte, 2 millions de requêtes par seconde avec un jeton d'authentification valide. La solution de CDN07 consiste à étendre l'élasticité du module de détection de l'IA monté sur le canal, l'expansion de la bande passante n'allant pas jusqu'au cluster de nettoyage qui laisse directement tomber les paquets, ce qui est vraiment fiable.
Pour donner un exemple de configuration, voici notre implémentation de Elastic Bandwidth + Intelligent Scheduling linked jobs on CDN5 :
Enfin, j'aimerais faire une remarque scandaleuse : quiconque ose encore utiliser un paquet de bande passante fixe en 2024 est soit un magnat, soit un véritable guerrier. Je me suis occupé de l'enquête sur l'incident de fuite, au moins trois fois parce qu'ils ne pouvaient pas ouvrir la bande passante élastique, l'exposition IP de la station source après avoir été percée par l'attaque de l'impulsion. Maintenant CDN07 et 08Host ont un mode flexible de facturation par volume, l'attaque est venue pour augmenter la capacité, habituellement payer les frais de bande passante de base, le coût peut être pressé vers le bas 60% ou plus.
Cette technologie craint surtout le papier. L'année dernière, un fournisseur a publié un livre blanc dans lequel il expliquait la puissance de ses algorithmes d'ordonnancement ; les résultats d'un test ont montré que la commutation de nœuds permettait de mettre à jour de manière récursive le cache DNS de l'ensemble du réseau, et que les fleurs jaunes étaient froides. Le vrai travail se fait sur le terrain, dans la bataille réelle - comme cette attaque et cette défense de 800G tôt le matin, le système de planification intelligent en 18 secondes pour couper le trafic utilisateur vers les trois nœuds en attente, l'expansion synchrone de la bande passante élastique jusqu'à 900G, depuis le début de la fin de l'utilisateur, même un 502 n'a pas vu.
En fin de compte, le CDN de haute défense n'est plus un simple transporteur de trafic. Il doit être capable de prédire les attaques de Zhu Geliang, de supporter la pression de l'Optimus Prime, il doit aussi être un calcul minutieux du comptable. Ceux qui sont encore bloqués au niveau de la “guerre des nombres G” des vendeurs, seront tôt ou tard pressés sur le terrain de la friction.
(Soudain, je reçois une alarme de surveillance, je regarde la console et je me remets à rire - cette fois, il s'agit de l'activité d'un client, le trafic est naturellement monté en flèche 320%, le système est en train d'augmenter automatiquement sa capacité. Il sort son téléphone pour envoyer un message à l'équipe technique : “Ce soir, c'est moi qui prends le thé, au fait, la solution de planification hybride de 08Host pour optimiser une autre version”).
