Ces derniers temps, les gens me demandent toujours : “Quel est le coût minimum d'un CDN de haute défense ? Je viens de commencer ce petit site, puis-je me le permettre ?” Pour être honnête, quand j'ai commencé à faire le site pense aussi, toujours penser que la protection de la sécurité est riche et les grandes entreprises peuvent se permettre de jouer la chose, jusqu'à ce que mon blog personnel a été une vague de paralysie DDoS pendant trois jours.
À l'époque, j'utilisais un hébergement web bon marché, le trafic se précipitait directement sur les ressources étaient bloquées, le service clientèle m'a jeté un “recommandé d'acheter des services de haute défense”. En colère, j'ai failli écraser le clavier - de nos jours, même le script boy a appris à utiliser la boîte à outils trafic aléatoire, les petites stations devraient courir nues ?
Plus tard, j'ai mis sur le marché tous les noms des fournisseurs de services CDN de haute défense sont mesurés une fois, des fabricants internationaux aux marques de niche nationales, et même certaines “solutions folkloriques” ne sont pas épargnées. Le test a révélé que certains fournisseurs du paquet d'entrée est tout simplement consciencieux pour pleurer, le paiement mensuel d'une tasse de thé au lait peut transporter 10G en dessous des attaques régulières, les petites stations peuvent se le permettre.
Tout d'abord, pour dissiper un fantasme : il n'existe absolument pas de “CDN gratuit à haute défense”.La première fois que j'ai vu cela, c'était une très bonne chose que j'ai pu l'obtenir. L'année dernière, un fabricant d'activités pour envoyer 50G protection package, les résultats des gangs de chantage enregistré des centaines de comptes fous coupons de brosse, le lendemain l'activité est jaune. Maintenant, il y a des gens dans le forum vantant les mérites de “nœuds de défense permanente et gratuite”, je prends la station de test pour explorer, bon gars, l'IP du nœud est simplement un agent à domicile, a été frappé directement débranché.
Pour vraiment économiser de l'argent et être fiable, il faut se tourner vers les offres de départ des fournisseurs habituels. J'ai sélectionné trois fournisseurs qui sont particulièrement adaptés aux petits sites et qui se concentrent sur trois paramètres :La protection est-elle réelle, le trafic est-il suffisant et quels sont les coûts cachés ?。
Package “Ant Shield” de CDN5C'est le plus simple que j'aie jamais vu - un paiement mensuel de 59 $ donne une protection de 5 Gbps + 200 Go de trafic, facturés à 1 $/Go après dépassement. Le test réel a porté sur une attaque mixte SYN Flood + CC de 7,8G, la vitesse de réponse du service client n'a pas dépassé 3 minutes. La clé est la suivantePas de limite au nombre de noms de domaine , particulièrement adapté à un ensemble de petits sites entre les mains du webmaster.
Ils ont fait un travail assez solide en ce qui concerne les détails techniques :
Le programme “Moongate” de CDN07Moins cher, 39 $ par mois, mais il n'offre qu'une protection de 3 Gbps + 100 Gb de trafic. La protection est légèrement plus faible, mais la planification intelligente brille par sa capacité à basculer automatiquement les nœuds Anycast en cas d'attaque. Il y a un piège à éviter :Leurs demandes HTTPS sont facturées en sus !La redevance est de 15 dollars par million de requêtes, ce qui peut être excessif si la station dispose de beaucoup de ressources.
Ce qui m'a le plus surpris, c'estL'offre “Ironclad Station” de 08Host. Le paiement annuel de 299 yuans (équivalent à un paiement mensuel de 25 yuans) pour une protection de 2Gbps + 50GB de trafic, mais aussi l'envoi de règles de base WAF. Le test intentionnel de la station a comblé une vulnérabilité d'injection SQL, la demande d'attaque est directement interceptée et WeChat pousse l'alarme - cette fonctionnalité au moins autre vendre 199/mois.
Toutefois, la couverture des nœuds est faible, les vitesses d'accès à l'étranger sont moyennes et l'entreprise est purement orientée vers les utilisateurs nationaux. C'est un exemple de leurs règles de protection des consommateurs :
Ne croyez pas la propagande de la “protection illimitée”.. Une fois, j'ai mesuré le forfait de 99 yuans d'un fabricant, affirmant que la protection de 300G était illimitée. En fait, une inondation UDP de 20G est passée, le service clientèle a immédiatement appelé pour mettre à niveau la version entreprise d'un million - le terme original “illimité” fait référence à une “augmentation illimitée de l'argent”, l'ensemble de "protection illimitée" étant un peu plus compliqué à mettre en œuvre. Les profondeurs comme la mer.
Les petites stations choisissent des CDN à haute défense en tenant compte de trois points :Consultez des rapports de protection réels, calculez les dépassements et testez la réactivité du service clientèle.. Il y a eu une fois où j'ai été touché à deux heures du matin, et le service clientèle d'un fournisseur a attendu une demi-heure avant de répondre, et le site s'est effondré prématurément. Plus tard, j'ai spécifiquement choisi un soir de semaine pour tester la réponse du service client, CDN5 et 08Host sont les plus performants.
Aujourd'hui, j'ai plusieurs petits sites chez différents fournisseurs pour des sauvegardes redondantes, et le coût mensuel total est maintenu dans les 200 euros. Au cours des six derniers mois, j'ai subi une attaque par réflexion Memcached pouvant aller jusqu'à 15G, et mon entreprise n'a pas tremblé du tout. Une fois que le rapport d'attaque a montré que la source était la salle des serveurs d'une université, je les ai également aidés à trouver le serveur en question - cette vague fait partie de l'assistance en matière de sécurité inversée.
Pour être honnête, les CDN de haute défense ont maintenant beaucoup roulé, trente ou cinquante dollars peuvent acheter une protection de base fiable. Mais n'essayez pas d'acheter ces “pools de protection partagée” bon marché du service de route sauvage, l'année dernière il y a une vente 19,9 / mois vendeurs ont été percés, ainsi que le pool de centaines de clients dans le trou noir.
Enfin, jetez une suggestion hardcore :Demandez toujours un essai avant d'acheter. Les fournisseurs légitimes autorisent des tests gratuits pendant 3 à 7 jours, en simulant une attaque Syn Flood/CC à l'aide d'un outil de test de stress pour voir à quel point les rapports sont précis. J'ai écrit des scripts de test automatisés, je les ai jetés sur Github et ils ont été utilisés comme outils de test de stress (couvrez-vous le visage).
En bref, la protection des petites stations n'est plus un luxe depuis longtemps, l'économie d'une tasse de thé au lait peut permettre au site de s'affranchir du script boy 99%. Mais n'oubliez pas qu'il n'existe pas de programme sûr 100%, que le CDN de haute sécurité n'est que la première ligne de défense, que les données clés doivent encore être sauvegardées hors site et que l'architecture multi-live doit les prendre en charge.
