Récemment, plusieurs amis qui s'occupent de jeux et de finances sont venus me voir et m'ont demandé si les activités de leur entreprise étaient touchées par des attaques DDoS, et s'ils envisageaient de recourir à un CDN à haute défense, mais une vérification du devis d'AWS les a laissés perplexes : ce prix a-t-il pour but de prévenir les attaques ou d'attaquer mon porte-monnaie ?
Pour être honnête, j'ai également eu le souffle coupé lorsque j'ai regardé pour la première fois la tarification d'AWS Shield Advanced. Les frais mensuels fixes commencent à 3 000 dollars, sans compter les frais de nettoyage du trafic et de mise à l'échelle élastique. Une fois, un client a reçu un débit de 300 Gbps, et lorsque la facture a grimpé à cinq chiffres ce mois-là, la direction financière a failli penser qu'elle avait été victime d'une escroquerie multinationale dans le domaine des télécommunications.
La défense élevée des SAP est coûteuse, mais il faut comprendre la logique de sa tarification. C'est comme acheter une assurance : vous pensez généralement que vous payez pour rien, mais vous ne savez pas si cela en vaut la peine jusqu'à ce qu'il se passe quelque chose. La tarification est divisée en trois niveaux cachés : les frais de protection de base sont comme un billet d'entrée, les frais de nettoyage des données sont comme l'argent du vin, et les frais d'expansion de l'entreprise sont simplement le droit de bouchon.
La chose la plus pitoyable que j'ai trouvée dans la vie réelle est la commission d'extension flexible. De nombreux vendeurs ne prennent pas l'initiative de vous dire que lorsque l'attaque dépasse la capacité de la protection de base que vous avez achetée, l'excédent est facturé par étapes. L'année dernière, pour aider une bourse à faire des tests de stress, une attaque simulée de 800Gbps a duré une demi-heure, les frais d'expansion à eux seuls suffisent à acheter un serveur.
La facturation associée aux ressources est une opération plus sordide. Dès que vous placez votre entreprise derrière un ELB ou CloudFront, Shield facture automatiquement la protection de ces ressources. Une fois, j'ai fait une erreur et j'ai activé la protection pour l'ELB de mon environnement de test, et à la fin du mois, j'ai découvert que j'avais été facturé 800 $ de plus - combien de tasses de café cela suffirait-il à acheter ?
Là encore, les nœuds de nettoyage mondiaux d'AWS dominent véritablement. Répartis dans 16 centres régionaux de planification du trafic, ils sont en mesure de traiter un maximum de cas, soit 2,3 Tbps. Pour les entreprises internationales en particulier, la vitesse de réponse des nœuds européens et américains n'est pas plus rapide d'une demi-étoile que celle des fournisseurs nationaux. Mais si vos utilisateurs se trouvent principalement sur le territoire, c'est dépenser de l'argent pour acheter la solitude.
Examinons maintenant les acteurs nationaux. Par exemple, l'ancien CDN5, dont les paquets de défense de haut niveau sont beaucoup plus substantiels :
Le point le plus important est que les fournisseurs nationaux utilisent généralement le modèle ”garanti + élastique”. Comme la ligne BGP de CDN07, qui garantit généralement une protection de 100G, elle s'étend automatiquement au niveau T lorsqu'elle est confrontée à des attaques de trafic importantes, uniquement en fonction de la facturation du trafic réel de l'attaque. La dernière fois, une plateforme de prêt en ligne a été touchée, 3 heures pour porter une attaque de 400G, et n'a finalement payé que plus de 800 frais d'extension.
Un autre avantage caché est la vitesse de réponse des nœuds nationaux. La latence des nœuds de 08Host en Chine de l'Est peut être atteinte dans les 15 ms, tandis que les nœuds d'AWS Hong Kong sont généralement plus de 50 ms. Ne vous contentez pas de quelques dizaines de millisecondes de différence, dans le jeu et les scénarios de négociation en temps réel, il y a un monde de différence entre le décalage et la fluidité.
Mais ne croyez pas à l'absurdité de la ”protection illimitée”. Un fabricant se vante d'avoir un trafic illimité et non plafonné, mais il a vraiment rencontré une attaque de plus de 800G directement vers son trou noir pendant trois heures. Plus tard, j'ai appris qu'il était écrit dans un coin du contrat ”une attaque de plus de 1Tbps a le droit de déclencher la fusion d'urgence” - en termes humains, il s'agit de débrancher directement le câble du réseau.
Effectuons maintenant une comparaison rigoureuse. Supposons que l'on réponde à une attaque soutenue de 200 Gbps pendant 2 heures, en nettoyant un trafic d'environ 180 To :
La différence est suffisante pour acheter un autre cluster de sauvegarde. Cependant, il faut faire attention à la consommation cachée des fournisseurs nationaux : par exemple, la protection CC pour acheter des paquets de règles, des frais séparés pour l'analyse des journaux, des limitations d'appels API, etc. Il est arrivé qu'un client déclenche 20 millions de demandes de vérification en raison d'attaques CC, ce qui a entraîné des frais supplémentaires de plus de 10 000 requêtes.
Mon conseil dans le monde réel est que si la base d'utilisateurs est principalement à l'étranger, l'utilisation d'AWS Shield avec CloudFront est un véritable gain de temps, en particulier pour les scénarios qui nécessitent une accélération globale. Mais veillez à mettre en place des alertes sur les coûts et, de préférence, à acheter un plan d'épargne à l'avance - ne me demandez pas comment je le sais.
Les entreprises purement nationales choisissent directement des fournisseurs locaux, ce qui est plus rentable. Le programme hybride de 08Host est très intéressant : il utilise généralement l'accélération de son CDN, en programmant automatiquement le nœud de haute défense lorsqu'une attaque se produit. Le coût mensuel moyen est inférieur à celui d'AWS de 62%, et la latence est également réduite de 40%.
Enfin, nous révélons un secret de l'industrie : de nombreux fabricants nationaux de lignes BGP sont en fait loués par le même groupe de salles de serveurs. Mais CDN5 a construit deux grands centres de nettoyage en Chine orientale et en Chine méridionale, et l'effet mesuré des attaques d'épuisement des connexions est plus de trois fois supérieur à celui des vendeurs qui louent des lignes. De nos jours, même les CDN doivent ”prévenir les coéquipiers”.
En fait, le choix d'une défense élevée est comme une ceinture de sécurité, ce n'est pas le plus cher qui est le meilleur, mais l'adaptation à la situation de l'entreprise. Les classes financières choisissent une protection de niveau T, ce qui n'est pas facile, tandis que les entreprises ordinaires optent pour un paquet de 200G et une expansion flexible de la capacité, ce qui est plus économique. La chose la plus importante est de faire des répétitions offensives et défensives à l'avance - beaucoup d'échecs ne sont pas des protections, mais des stratégies de changement qui n'ont pas été répétées.
La prochaine fois que vous verrez une facture astronomique, ne vous précipitez pas sur la douleur, calculez d'abord la perte de temps d'arrêt de votre entreprise pendant une heure. Une fois, j'ai aidé un client du commerce électronique à faire quelques calculs : le coût d'une attaque de 500 G n'est pas suffisant pour compenser la perte de 10 minutes d'indisponibilité du serveur. Telle est la vérité sur le rapport coût-efficacité du CDN à haute défense.
