Quelle est l'expérience vécue lorsqu'un DDoS frappe le serveur la nuit précédant la mise en ligne du jeu ? Je me souviens encore de la scène où le programme principal s'est bloqué et a fait tomber le clavier pendant la nuit de réparation de l'équipe. On s'attendait à ce que 100 000 utilisateurs s'inscrivent le premier jour, mais l'attaque a atteint 300 Gbps et le serveur a été directement paralysé pendant 24 heures. Les joueurs n'ont pas pu entrer, les opérateurs de canaux ont dû changer, l'évaluation de la boutique d'applications est tombée à 2 étoiles, et le patron a failli retirer le routeur de la salle des serveurs.
Des leçons de sang pour une vérité : l'industrie du jeu sans CDN à haute défense court à sa perte. Mais le soi-disant "jeu exclusif haute défense" sur le marché est trop d'eau, et certains vendeurs prennent même le WebCDN ordinaire pour changer la configuration oseront vendre trois fois le prix. Aujourd'hui, j'ai testé la combinaison de 17 fournisseurs de services, j'ai ouvert les miettes pour dire comment choisir.
Lancez d'abord un jet d'eau froide :Ne croyez pas à la "défense de classe T", à la "salle de ligne 9999", ce genre de propagande fantaisiste. Lorsque vous êtes confronté à des inondations TCP et à des attaques mixtes CC, les fournisseurs qui peuvent transporter 80% couperont tranquillement votre nom de domaine en mode nettoyage - le délai a grimpé à plus de 300 ms, les joueurs sont toujours coincés dans PPT. la clé est d'examiner ces trois dimensions : stabilité du délai, efficacité de la défense, compatibilité du protocole.
La latence est l'élément vital du jeuLes MMORPG qui dépassent 150 ms seront réprimandés par les joueurs, et les jeux de tir doivent être maintenus à 80 ms ou moins. J'ai mesuré les nœuds nord-américains de CDN5 : 90 ms pendant la journée, c'est assez beau, mais le pic de la nuit a grimpé directement à 220 ms. J'ai découvert plus tard qu'ils traversaient la frontière pour se rendre à la ligne de pénétration bon marché, et que l'embouteillage de l'heure de pointe du soir ressemblait à la voie rapide de la fête du printemps.
Pour mesurer réellement la stabilité de la latence, il faudrait exécuter un script qui effectue des pings toutes les demi-heures pendant 72 heures d'affilée. Voici la commande Linux que j'utilise :
La ligne BGP Asie-Pacifique de 08Host est actuellement la plus stable - la latence entre Hong Kong et Shenzhen a longtemps été maintenue à 35 ± 5 ms, parce qu'ils ont construit leur propre fibre optique transfrontalière directe, contrairement à certains trafiquants qui louent la liaison de l'opérateur.
Les capacités défensives doivent être vues en action, pas sur le papier.. Un fournisseur se vante d'une défense de 800Gbps, le résultat est que nous avons rencontré des attaques CC de 800Mbps sur les genoux. Nous avons découvert par la suite que leur "valeur de défense" consiste à additionner toute la bande passante de la salle des serveurs pour obtenir ce chiffre, un seul nœud ne pouvant transporter qu'un maximum de 200G.
La véritable haute sécurité doit répondre à trois points : 1. planification du trafic sur l'ensemble du réseau Anycast, détournement des attaques vers le centre de nettoyage ; 2. 7 couches d'identification CC permettant de distinguer avec précision les robots des vrais joueurs ; 3. bande passante redondante pour transporter le trafic en rafale. CDN07 dans ce travail acharné - la dernière fois que je les ai vus transporter un SYN Flood de 1,2 Tbps, ils ont automatiquement déclenché une planification intelligente pour distribuer le trafic aux trois centres de nettoyage de Los Angeles, Francfort et Tokyo, le service de jeu lui-même n'a reçu qu'un trafic normal. La dernière fois que je les ai vus transporter un SYN Flood de 1,2 Tbps, ils ont automatiquement déclenché une planification intelligente pour distribuer le trafic aux trois centres de nettoyage de Los Angeles, Francfort et Tokyo, et le service de jeu lui-même n'a reçu qu'un trafic normal.
Voici un exemple de configuration de leurs règles de protection (avec les informations sensibles désensibilisées) :
La prise en charge du protocole a un impact direct sur l'expérience de l'utilisateur. De nombreux CDN prennent peu en charge le protocole UDP, mais les jeux MOBA et FPS s'appuient sur ce protocole pour transférer des données en temps réel. Le protocole WebSocket est encore plus pitoyable : certains fournisseurs ferment les longues connexions par défaut pour économiser les ressources, ce qui oblige les joueurs à se reconnecter fréquemment.
Lorsque j'ai testé un certain fournisseur l'année dernière, son optimisation TCP était un désastre :
Cette configuration provoquait une lente croissance de la fenêtre TCP après le rétablissement du réseau, et les joueurs restaient bloqués pendant plusieurs secondes après la reconnexion. Plus tard, j'ai fait appel à la ligne d'optimisation des jeux de CDN5, qui a modifié les paramètres du noyau :
La latence est réduite directement à 40%, ce qui réduit également l'impact de la gigue du réseau mobile.
Passons maintenant aux choses sérieuses : une comparaison réelle entre trois fabricants :
08Host est fort en qualité de ligne, avec un réseau de base auto-construit et un routage intelligent, le délai transfrontalier peut être ramené à la limite inférieure théorique de la même distance géographique. Cependant, la capacité défensive est moyenne, en cas d'attaque massive du trafic, il sera temporairement envoyé au centre de nettoyage coopératif, et pendant la période de commutation, il peut y avoir une perte de paquets de 3 à 5 secondes.
La force de défense de CDN07 est maximale, elle est dotée d'une bibliothèque de renseignements sur les menaces capable d'identifier 90% ou plus d'empreintes d'outils d'attaque, la précision de nettoyage est élevée, mais le prix est élevé 30%. L'inconvénient est que les nœuds mondiaux ne sont pas aussi nombreux que les deux autres, la couverture de l'Amérique du Sud et de l'Afrique est faible.
CDN5 a le meilleur rapport prix/performance, prend en charge la pile complète WebSocket/UDP/HTTP3 et dispose de plus de 2 000 nœuds de périphérie. Cependant, certains des nœuds sont loués et peuvent fluctuer pendant la période de pointe du soir, il est donc recommandé d'éviter les forfaits partagés.
Enfin, une méthode de choix violente est proposée :
Les petites et moyennes équipes choisissent directement la ligne CDN5 BGP + protection de base, dans la limite de 3000 par mois, n'oubliez pas de leur demander d'ouvrir le mode d'accélération du jeu. Les projets à grande échelle avec le programme CDN07 Anycast, bien que coûteux mais sans souci, l'attaque à 500Gbps peut également s'allonger pour boire du thé. La recherche extrême de jeux compétitifs à retardement sur 08Host, mais doit faire un bon travail de protection de la couche d'affaires.
Demandez toujours un essai avant de signer un contrat ! Les fournisseurs légitimes proposent des essais gratuits de 3 à 7 jours. Concentrez-vous sur la mesure de trois éléments : le pic de ping du soir, le taux de gigue du nœud à travers le pays et l'effet de blocage des attaques CC simulées. Ne croyez pas les rapports de test fournis par les vendeurs - j'ai vu une certaine société connecter le nœud de test exclusivement à une ligne à haute priorité, et ce n'est pas du tout la même chose après l'achat réel.
Aujourd'hui, même les CDN doivent "défendre leurs coéquipiers", et les défaillances de certains fournisseurs sont encore plus meurtrières que les attaques. L'année dernière, une fuite d'air conditionné dans la salle des serveurs d'une grande usine a entraîné l'indisponibilité de l'ensemble du réseau, et la société de jeux vidéo s'est retrouvée sans service. C'est pourquoi je demande maintenant un double fournisseur en attente - 08Host accélération principale, CDN07 vantant la protection, bien que le coût augmente, mais n'a jamais renversé la voiture.
Après tout, les joueurs ne jurent qu'à cause du décalage, ils ne se soucient pas de savoir si vous êtes attaqué. Stabiliser la latence contre les attaques est la véritable capacité de survie d'une société de jeux.
