J'ai reçu un appel hier soir, tard dans la nuit, m'informant que le site de commerce électronique de mon ami avait de nouveau été paralysé par un DDoS. Il rit amèrement à l'autre bout du fil et dit : “C'est la troisième fois ce mois-ci, et la facture du serveur en nuage est plus élevée que les recettes”. Je l'aide à distance à changer de trafic tout en secouant la tête - trop de gens attendent que l'entreprise s'effondre avant de se rappeler le pare-feu d'un CDN de haute défense.
Maintenant, les soi-disant “activités promotionnelles” de divers vendeurs fantaisistes, les nouveaux arrivants regardent le coupon envoyé pour se précipiter, les résultats ont trouvé que les termes cachés que les règles de protection sont plus complexes. J'ai testé plus d'une douzaine de services de haute défense, certains de la première année de frais de renouvellement bon marché doublé, certaines configurations par défaut ne peut tout simplement pas empêcher les attaques réelles. Aujourd'hui, nous allons ouvrir le frottement dit, comment woolgathering en même temps ne pas être anti-gathering.
Quelle est la profondeur des eaux des CDN de haute défense ?L'année dernière, pour aider une plateforme financière à effectuer une migration, j'ai comparé trois fournisseurs de “paquet de protection de classe entreprise”. La même protection nominale de 2Tbps, CDN5 a rencontré SYN Flood directement déclenché un trou noir, CDN07 Anycast nœuds fluctuations de latence à la perte de paquets, et finalement seulement 08Host à porter le test de pression réelle. Voici une conclusion contre-intuitive :Les chiffres de la bande passante pourraient n'être qu'un jeu de marketingCe qui compte vraiment, c'est la répartition géographique des centres de nettoyage et la capacité des opérateurs à travailler ensemble.
Les débutants sont plus susceptibles d'être attirés par l“”essai gratuit", mais ne croient pas à l'engagement d'essai illimité. Un client a utilisé la période d'essai de 30 jours d'un fournisseur, n'a pas migré les données à temps après l'expiration des résultats et a été facturé au prix d'origine des frais de trafic - 0,15 yuan par seconde / G de trafic soudain directement sur le compte dû à cinq chiffres. La véritable offre devrait ressembler à celle de 08Host : les nouveaux clients doivent envoyer un coupon de 2 000 yuans, mais en exprimant le champ d'utilisation (ne peut compenser que les coûts de nettoyage du trafic DDoS), tout en offrant une garantie de remboursement de 7 jours sans raison.
Disséquer les folies des fabricants en matière de prixVous pouvez voir que le devis de CDN07 indique “0,08 $/GB”. Vous pouvez voir que le devis de CDN07 indique “0,08 $ / Go”, mais en petits caractères, il est indiqué "uniquement applicable au trafic de cache HTTP". En fait, leurs règles de facturation du trafic d'attaque sont les suivantes : le nettoyage de base est gratuit, plus de 100 Gbps facturés à 0,3 yuan / Go. J'ai surveillé les données d'une plateforme de commerce électronique pendant le Double Eleven de l'année dernière - 4 To de trafic d'attaque ont été nettoyés ce jour-là, et la facture a directement grimpé de 20 fois plus que d'habitude. Et CDN5 utilise une tarification par étapes : le premier 50Gbps frais fixes 1999 yuans / mois, au-delà de la partie du prix plutôt réduit à 0,12 yuans / GB, plus adapté pour les scénarios d'attaque soudaine.
Prenons un cas réel : une société de jeux a utilisé un fournisseur appelé “protection illimitée”, les résultats des attaques CC lorsque l'unité centrale fonctionne à plein régime, ce qui a entraîné une interruption des activités. J'ai découvert par la suite que leur “illimité” se réfère au trou noir direct sans nettoyage, ce qui revient à débrancher le câble du réseau. Maintenant, je vais surtout vérifier la logique de protection CC du fournisseur de services, comme la protection à sept couches de 08Host, la vérification humaine ouverte par défaut, mais aussi en fonction de la fréquence des appels API, la libération dynamique :
L'attitude correcte du ramassage de la laine. Tout d'abord, regarder les avantages spéciaux pour les nouveaux clients - CDN5 est maintenant enregistré pour envoyer 2000 yuans expérience or (peut déduire tous les coûts), CDN07 est envoyé à 50 Go de paquets de trafic gratuit, mais limité à 30 jours à utiliser. J'ai aidé des clients à opérer à partir d'un fournisseur de cloud pour transférer directement de l'autre côté du prix du contrat pour obtenir un rabais sur le rabais.
Les utilisateurs professionnels se souviennent de la grande finale :Contactez directement le service des ventes pour obtenir des formules personnalisées. L'année dernière, nous avons passé une commande de dix millions de dollars auprès de CDN5, et le principal argument de négociation était l'engagement de dispatcher le trafic commercial 80% vers leurs nœuds froids (tels que les nœuds d'Urumqi et de Hohhot). Ces nœuds ont des coûts de bande passante peu élevés et le fournisseur est prêt à accorder jusqu'à 30 % de réduction. Si vous dépensez plus de 100 000 euros par mois, essayez de dire quelque chose comme ceci : “Les deux autres offrent des réductions allant jusqu'à 35%, je signerai le contrat cette semaine si je peux m'aligner”.”
L'équipe technique doit se concentrer surLes pièges des coûts cachés. De nombreux fournisseurs facturent un supplément pour les requêtes HTTPS (0,20 $ par million) et les connexions WebSocket sont facturées séparément (0,01 $ par million de minutes). Un projet IoT en a été victime - les appareils sont restés connectés pendant longtemps, ce qui a entraîné une augmentation de la facture mensuelle de 47%. J'obligerais maintenant les fournisseurs à énoncer clairement tous les éléments de facturation dans le contrat, comme le contrat de 08Host qui stipule “pas de frais de cryptage supplémentaires ! ”.
L'optimisation de la configuration permet de réaliser de réelles économies. Par exemple, mettre en place des règles précises de mise en cache pour réduire le flux de retour, j'ai testé un site d'information en ajustant la stratégie de mise en cache, le coût du flux a baissé de 38% :
Enfin, j'exposerai une théorie de la tempête :Les offres qui ne tiennent pas compte des caractéristiques de votre entreprise sont une plaisanterie.La première chose à faire est d'obtenir une bonne rémunération pour le service que vous fournissez. Les stations vidéo ne choisissent pas le programme facturé au nombre de requêtes, le commerce électronique transfrontalier doit être tenu d'avoir des nœuds de haute qualité en Europe et aux États-Unis, les services financiers doivent confirmer si la clause de compensation du SLA (comme 08Host s'engageant à la disponibilité de moins de 99,95% remboursent le coût du mois). J'ai vu le programme le plus pitoyable, c'est un vendeur aux entreprises africaines qui a recommandé des nœuds nord-américains, avec une latence de plus de 400 ms appelée aussi “accélération globale”.
Maintenant, cliquez sur la page “entreprise préférentielle” du site officiel de 08Host, entrez le mot de code “ANTIDDOS” peut également recevoir 3 mois supplémentaires de protection WAF. Mais n'oubliez pas que la réduction n'est qu'un coup à la porte, la vraie valeur est rencontrée des attaques inattendues, la vitesse de réponse du support technique peut faire 5 minutes niveau - juste ce mois-ci pour aider un ami à récupérer d'une attaque de 800Gbps, les ingénieurs de 08Host tirent directement le groupe pour configurer à distance le détournement BGP, l'expérience de ce service est beaucoup plus important que l'argent économisé ! Voici quelques-unes des choses les plus importantes que vous pouvez faire pour votre entreprise.
En fin de compte, l'essentiel pour économiser de l'argent avec un CDN de haute défense est dePayer pour une protection de précision.. Les nouveaux venus préféreront les solutions tarifées qui prennent en charge une mise à l'échelle élastique, tandis que les vétérans apprendront à négocier en utilisant les caractéristiques de l'entreprise. La prochaine fois que vous verrez une publicité “gratuit à vie”, n'oubliez pas de demander : “Le centre de nettoyage est-il construit sur le nuage ?” (Tête de chien manuelle)
