Récemment, j'ai aidé quelques clients à effectuer des tests de pénétration et j'ai constaté un phénomène étrange : la configuration du serveur n'est manifestement pas mauvaise, mais à l'heure de pointe du soir, il est coincé dans le PPT ; une vérification des journaux montre que toutes les attaques CC portent sur le trafic - cette bande de petits-fils choisit l'heure de pointe pour jouer, et ne veut manifestement pas faire de bonnes affaires avec vous.
Un client a pleuré et a dit que l'utilisation originale de la haute défense ordinaire, chaque mois a été frappé à travers trois fois, le joueur a laissé tomber au téléphone du service à la clientèle a été cassé. J'ai jeté un coup d'œil à leurs factures, bon gars, mensuel petit 20,000 dépensé en fait “partagé haute défense” paquet, le trafic sur le montant de l'argent à payer, le coût de l'attaque directement grimpé au plafond.
Le secteur des échecs est depuis longtemps une zone sinistrée par les attaques DDoS.Le jeu de société est sensible à la latence au niveau de la milliseconde. Contrairement aux sites web ordinaires qui peuvent encore tenir un certain temps, le jeu de société est sensible à la latence au niveau de la milliseconde, une vague de trafic sur la lumière est en retard lourd trou noir dans la salle des machines, les données d'équilibre du joueur n'est pas synchronisé peut également conduire à des litiges. Ce qui est encore plus dégoûtant, c'est que les concurrents vous choisissent pour vous engager dans des activités lorsque l'ordre “test de pression”, ne peut pas empêcher le refroidissement direct.
J'ai consulté le programme de sept ou huit fournisseurs de services de haute définition sur le marché et j'ai constaté que les clients du conseil d'administration sont plus susceptibles d'être orientés dans deux directions : la première est la superstition de la “protection illimitée”, mais ne connaît pas l'envers du décor du nettoyage brutal du trafic, tuant par erreur les utilisateurs normaux ; la seconde est l'avidité d'acheter à bas prix l'accélération statique du CDN, les demandes dynamiques pour la défense de la forme d'une nullité absolue.
Commençons par un cas de sang et de larmes : une plateforme de poker Texas Hold'em utilisait le “paquet de protection 100G” d'un fournisseur, qui a été directement pénétré par une attaque CC 30G. Le support technique a mis 4 heures avant de répondre, et a finalement découvert que ses règles de protection ne correspondaient pas aux caractéristiques du protocole d'échecs - il s'est avéré que la soi-disant défense élevée ne concerne que les règles générales HTTP, la connexion longue TCP et les protocoles UDP n'offrant pratiquement aucune défense.
Pour être vraiment utile, la haute défense aux échecs doit répondre à trois critèresIl faut que le nœud de nettoyage soit capable d'identifier la logique commerciale du protocole de jeu (par exemple, se déconnecter et se reconnecter pour déduire de l'argent ou non), qu'il soit capable de distinguer les modèles de comportement des personnes réelles opérant et des bots, et que le nœud de nettoyage soit suffisamment proche de l'utilisateur pour que la latence n'explose pas. Malheureusement, les vendeurs de 90% ne peuvent faire aucune de ces trois choses.
Nous avons testé trois fournisseurs spécialisés dans la protection des jeux, mais c'est assez intéressant : le programme d'échecs de CDN5 analysera en profondeur les paquets de jeu, grâce à la fréquence des opérations du joueur et à la trajectoire de la souris pour déterminer la personne réelle ; CDN07 s'est même engagé dans un ensemble de modèles d'IA pour analyser le comportement anormal du jeu (comme les robots qui appellent les paris en quelques secondes) ; 08Host est un système simple et brutal - - Tout le trafic passe d'abord par le filtre de protocole développé par l'entreprise avant d'entrer dans le centre de nettoyage. Tout le trafic passe d'abord par un filtre de protocole auto-développé avant d'entrer dans le centre de nettoyage.
Mais ces choses ne sont jamais écrites dans le devis. Si vous demandez au service clientèle “quel est le principe de votre anti-CC”, vous risquez d'obtenir une série de mots standards : “notre système identifiera automatiquement le trafic anormal”.Ne croyez pas ce genre de discours.Pour y croire vraiment, il faudrait les obliger à élaborer des règles personnalisées pour le protocole des échecs.
Démontons maintenant la structure des coûts. Le coût d'un CDN de haute défense est divisé en quatre éléments principaux : la bande passante de base, la capacité de protection, les fonctions à valeur ajoutée (telles que les certificats, le WAF) et le nettoyage excessif. Les vendeurs véreux ont tendance à baisser le prix de la bande passante de base, puis à s'appuyer sur les trois derniers éléments pour compenser.
Vous voyez ? Plus léger que le prix de l'offre principale, il tombe absolument dans le gouffre. Une fois qu'un client a acheté un forfait de facturation flexible CDN07 bon marché, les résultats d'une journée ont été joués 800G flux, les frais de nettoyage d'une seule journée à sécher un petit dix mille - la facturation flexible d'origine ne fixe pas de plafond !
Mon conseil serait de donner la priorité à un forfait bande passante fixe + protection plafonnéeLe premier est le CDN5 Chess Edition, dont le prix de départ est de 20 000 yuans. Par exemple, la version dédiée aux échecs de CDN5 a un prix de départ de 25 000, mais l'engagement de 300G au sein de l'attaque n'est pas facturé, plus de 300G tirent directement le trou noir plutôt que de continuer à brûler de l'argent pour nettoyer - c'est plus réel, après tout, vraiment rencontré plus de 300G attaque n'est pas aussi bon que de couper la salle de serveur de rechange.
Un autre point faible caché : de nombreux fournisseurs d“”optimisation des échecs“ sont en fait des réglages de paramètres TCP + l'accès aux nœuds dans le voisinage. Mais si l'on croit en leur méchanceté, en ouvrant réellement tous les nœuds mondiaux, les utilisateurs d'Asie du Sud-Est peuvent être envoyés vers le nœud des États-Unis - la latence grimpe directement à plus de 300 ms. Il est préférable de les laisser mettre la stratégie d'ordonnancement des nœuds par écrit dans le contrat, par exemple ”les utilisateurs de Chine continentale doivent obligatoirement être ordonnancés vers les nœuds nationaux, les utilisateurs étrangers ne doivent pas transiter par plus de 3 sauts".
Je vais mettre une règle Nginx directement sur l'exemple de configuration, spécifiquement pour protéger contre les CC lents dans la catégorie échecs :
Cet ensemble de règles a permis à un client particulier de réduire les fausses demandes de 80%, mais attention !Ne l'appliquez pas directement.Après tout, chaque cadre de jeu a un chemin d'API différent, et certaines détections de paquets de battements de cœur nécessitent un contrôle plus granulaire.
Bien entendu, il s'agit là de la valeur nominale, et le prix réel de la transaction peut être réduit de 70 %. Si vous payez annuellement, vous pouvez toujours obtenir un autre 10%, maisNe payez pas toute l'année en une seule fois.--Testez-le d'abord pendant un mois, en vous concentrant sur la rapidité avec laquelle il répond aux urgences la nuit. Le vendeur le plus scandaleux que j'aie connu a fait passer les appels techniques du week-end par six succursales avant d'obtenir quelqu'un, et le serveur était alors dans un trou noir depuis huit heures.
Aujourd'hui, certains fournisseurs font même des “paris sur l'efficacité de la défense”, en promettant par exemple de payer les dépenses du mois s'ils sont pénétrés. Cela semble bien, n'est-ce pas ? Mais les détails du contrat sont écrits dans “seulement l'attaque SYN Flood” - et maintenant l'industrie des échecs 90% est une attaque hybride CC, ce jeu de mots vole.
Pour être honnête, de nos jours, même les CDN doivent “prévenir les coéquipiers”. Les ventes de certains fournisseurs pour la performance, donneront aux clients un “trafic de test” ouvert pour prouver l'effet de la défense, en fait, le trafic d'attaque à d'autres clients autour du nœud. Comment juger ? C'est simple : soudain, un jour, le délai a grimpé en flèche, mais la console ne peut pas voir l'enregistrement de l'attaque, quatre-vingts pour cent sont à mettre sur le compte du malfaiteur.
Vraiment vouloir économiser de l'argent et programme sécurisé, je suggère une architecture hybride : ressources statiques à jeter CDN5 (leurs nœuds à l'étranger bon marché), l'activité principale avec CDN07 chess ligne dédiée, serveur de base de données front-end plus une couche de 08Host's WAF - de sorte que même si une certaine maison est à sec à travers la paralysie complète n'est pas. Bien que la configuration initiale point de difficulté, mais à long terme le coût vers le bas 30% aussi plus sûr.
J'ai oublié de mentionner la chose la plus importante :Prévoyez toujours un plan de secours.La première chose que j'aimerais faire est de tirer le meilleur parti de la situation. J'ai vu trop de clients confier tous leurs biens à un fournisseur de haute sécurité, avec pour résultat que les câbles de fibre optique de l'autre pièce sont déterrés et que l'ensemble du personnel a les yeux secs pendant 12 heures. Il faut au moins préparer une grappe de serveurs de secours, synchroniser régulièrement les données et, dans les moments critiques, couper pendant un certain temps avec l'IP de haute sécurité facturable du fabricant de l'informatique en nuage.
En bref, il ne suffit pas de regarder les chiffres des prix pour choisir la haute défense, il faut aussi se pencher sur la question du frottement : la protection CC n'est pas vraiment basée sur la logique d'entreprise ? La programmation des nœuds n'est-elle pas soumise à des restrictions géographiques ? La programmation des nœuds est-elle soumise à des restrictions géographiques ? Y a-t-il des frais ou un trou noir après une surcharge ? La réponse d'urgence est 7 × 24 ou 5 × 8, ces conditions sont écrites dans le contrat, plutôt que d'écouter les vantardises des vendeurs, qui sont bien plus réelles.
Après tout, cette ligne d'eau est trop profonde, certains vendeurs du “paquet spécial échecs” doivent changer le nom du paquet général qui coûte 20 000 yuans. Si vous ouvrez la bouche et demandez “comment prévenir les attaques de CC aux échecs”, et que l'autre partie balbutie et répond "secrets d'affaires", dépêchez-vous de changer de nom, vraiment.
