Récemment, plusieurs amis jouant aux échecs et aux cartes à l'étranger se sont plaints que le serveur était frappé chaque jour par un DDoS au point qu'ils ne pouvaient plus s'occuper d'eux-mêmes, et les joueurs étrangers étaient tellement coincés qu'ils maudissaient directement leur mère. Il y a un ami encore pire, qui vient de lancer un nouveau jeu en Asie du Sud-Est et qui, le même jour, a été paralysé, ce qui a entraîné la perte d'un démarrage direct à six chiffres. Faire des échecs de nos jours, il n'y a pas de poche CDN de haute défense fiable, c'est tout simplement courir à poil ah.
La sélection des nœuds outre-mer est en fait un travail technique, il ne suffit pas de trouver un fournisseur de CDN pour résoudre le problème. J'ai constaté que de nombreux fournisseurs prétendaient avoir une “couverture mondiale”, mais que les nœuds d'Asie du Sud-Est étaient tous détournés de Hong Kong, que les nœuds d'Europe et des États-Unis ne se déplaçaient pas pour sauter le réseau dorsal de l'Amérique du Nord. Le temps de latence du joueur ne bouge pas de plus de 300 ms, la carte ne peut pas être jouée, mais aussi jouer un marteau ? Ce qui est encore plus pitoyable, c'est que la “défense élevée” de certains CDN n'est qu'un piège, car ils sont confrontés à des attaques réelles qui remontent directement à la source, ce qui équivaut à l'adresse IP de la source exposée à l'attaquant.
Commençons par l'Asie du Sud-Est. Les Philippines, le Vietnam, la Thaïlande, ces endroits, les opérateurs locaux sont aussi complexes qu'un trou de discus, si les fournisseurs de CDN n'ont pas de point POP local, les minutes de latence vous apprendront à faire les gens. L'année dernière, j'ai testé un certain CDN appelé “Southeast Asia Optimisation”, le suivi de l'itinéraire réel a révélé que le paquet était en fait détourné de Singapour vers le Japon, puis de nouveau vers la Thaïlande, le délai est monté en flèche jusqu'à 220ms. Directement un “jeu pourri” désinstallé.
L'Europe et les États-Unis sont les régions les plus touchées. Afin de réduire les coûts, certains fabricants ne lancent que deux nœuds à Francfort et dans la Silicon Valley, et osent ensuite dire qu'ils couvrent l'Europe et les États-Unis. Même Francfort a une latence de 80 ms pour les acteurs de l'Europe de l'Est, sans parler de l'Espagne et de l'Italie. Si l'on veut vraiment couvrir l'Europe et les États-Unis, il faut au moins déployer quatre ou cinq nœuds centraux en Europe de l'Est (Varsovie, par exemple), en Europe de l'Ouest (Amsterdam), à l'ouest des États-Unis (Los Angeles) et à l'est des États-Unis (New York), ainsi que des nœuds périphériques pour l'ordonnancement.
Les attaques CC et les inondations UDP sont la norme, et certaines attaques peuvent durer des semaines. J'ai vu une fois l'attaque la plus impitoyable : une plateforme d'échecs a été victime d'une attaque mixte de 700 Gbps, la protection ordinaire de l'informatique en nuage s'est directement mise à genoux. Plus tard, elle est passée à un fournisseur spécialisé dans la haute sécurité pour les échecs, et s'est appuyée sur l'identification des empreintes digitales et l'analyse comportementale pour venir à bout de l'attaque.
Ne croyez pas la publicité mensongère de la “protection illimitée”. La capacité réelle de protection dépend de la capacité et de la stratégie de planification du centre de nettoyage. Par exemple, CDN5, ses centres de nettoyage à Singapour et à Los Angeles ont été testés pour pouvoir transporter 1,2 Tbps de trafic, et il existe des bibliothèques d'empreintes digitales spécifiques pour les protocoles d'échecs. La dernière fois que nous avons aidé des clients à migrer, le trafic d'attaque de 300G est monté en flèche jusqu'à 800G, mais n'a pas pénétré.
C'est dans l'optimisation de la configuration que l'on voit la véritable puissance. Beaucoup d'ODM ne savent que paramétrer les CDN et n'ajustent même pas leurs politiques de mise en cache :
Les performances de CDN07 en Asie du Sud-Est, récemment testées, sont surprenantes. En Indonésie et aux Philippines, ils sont directement connectés à l'opérateur local Peer, la latence du nœud de Jakarta n'est que de 38 ms et celle du nœud de Manille n'est que de 42 ms. Le plus important est que leur réseau Anycast peut changer de route en quelques secondes en cas d'attaque, et les joueurs ne peuvent absolument pas le sentir. Le taux de désabonnement d'un client a chuté de 17% après la migration.
Les routes européennes et américaines de 08Host méritent d'être mentionnées séparément. Ils ont utilisé l'opérateur local de Turfiberia en Europe de l'Est (je suppose que peu de gens ont entendu parler de ce nom), mais la latence entre le nœud de Varsovie et Moscou n'est que de 55 ms. Le nœud Ouest des États-Unis est connecté à la double ligne HE et Cogent, la pointe du soir n'est pas bombardée. Cependant, il est important de noter que leur stratégie de protection doit être réglée manuellement, la configuration par défaut ne peut pas résister aux attaques CC spécifiques aux échecs.
L'exploitation des prix est la norme dans le secteur. Certains fournisseurs considèrent que le prix unitaire est bon marché, mais ils facturent des frais supplémentaires pour le nettoyage du trafic, les requêtes HTTPS et même les appels API. Calculé par Gbps, le coût de la protection peut être plus de trois fois supérieur à la différence. Il est préférable de rechercher l'utilisation de la facturation intégrée comme CDN5, la protection + le trafic prix forfaitaire, les économies mensuelles mesurées de 30% coût.
Certaines petites usines, pour éviter les ennuis, laissent l'enregistrement A du client pointer vers l'IP de haute défense, mais le serveur source est toujours exposé dans le réseau public. J'ai vu le cas le plus scandaleux, l'attaquant a directement contourné le CDN pour atteindre la station source suspendue. L'approche correcte consiste à permettre aux fournisseurs d'offrir des segments IP exclusifs, la station source n'autorisant que ces segments IP à retourner à la source :
Si vous ne savez pas comment configurer un pare-feu, vous devriez rechercher un service hébergé auprès du fournisseur. CDN07 fournit un ensemble complet de configurations, et les techniciens vous aideront à ajuster les règles du pare-feu directement et à distance. Certes, cela coûte un peu plus cher, mais il vaut mieux s'inquiéter que d'être paralysé par la perte d'une journée de travail.
De nos jours, jouer aux échecs à l'étranger revient à danser dans un champ de mines, en se défendant à la fois contre les pirates et contre ses pairs. La dernière fois, un client a rencontré un concurrent pervers, spécialisé dans le lancement d'attaques lentes pendant l'événement, gardant chaque connexion pendant plusieurs heures mais n'envoyant pas de paquets, consommant délibérément le nombre de connexions au serveur. Par la suite, la fonction d'analyse de la pile protocolaire de 08Host a été utilisée pour identifier ce type d'attaque déguisée en connexion normale.
Les débutants sont les plus susceptibles de se planter sur la configuration de SSL. N'oubliez pas d'activer TLS 1.3 pour l'ensemble du site, et accordez une attention particulière à la compatibilité de la chaîne de certificats pour les applications d'échecs. Une fois que le client a utilisé un certificat manquant middleware, résultant dans certains vieux systèmes de téléphonie mobile en Indonésie ne peut pas handshake, la perte blanche d'un grand nombre d'utilisateurs. Maintenant, je suis obligé d'utiliser SSL Labs pour tester l'évaluation à A+ :
N'économisez jamais d'argent sur les alertes de surveillance. Nous recommandons d'utiliser Prometheus+Grafana pour effectuer une surveillance multidimensionnelle, en se concentrant sur la surveillance du taux de retransmission TCP et du temps d'attente du premier paquet. Il est arrivé que le réseau du nœud de Tokyo fluctue et que le temps de première transmission passe de 80 ms à 200 ms, ce qui a permis de détecter le problème. Si vous attendez que les joueurs se plaignent et que vous traitiez ensuite le problème, la nourriture sera froide.
Pour être honnête, cette ligne d'eau est trop profonde, de nombreux fabricants du “nombre de nœuds” sont de fausses étiquettes. La vraie fiabilité ou leur propre mesure :
Après le test, vous saurez quels fournisseurs se vantent. La dernière fois que j'ai mesuré une prétendue “30 nœuds en Asie du Sud-Est”, l'utilisation réelle peut se faire sur 7 nœuds, les autres étant tous des nœuds virtuels ou des redirections NAT.
Si le budget est suffisant, il est recommandé d'utiliser une solution multi-cloud. CDN5 se concentre sur les routes asiatiques, 08Host couvre l'Europe et les États-Unis, et CDN07 assure la protection des sauvegardes. Bien que le coût soit élevé, mais vraiment stable, une plate-forme d'échecs bien connue avec cet ensemble d'architecture pour supporter la vague de novembre dernier de 900G grande attaque.
Finalement, il a dit une chose solide : ne soyez pas avide et bon marché avec ces petites usines inconnues. Un client a choisi un nouveau fournisseur pour économiser les coûts de 20%, les résultats ont été percés, même le téléphone du service clientèle n'est pas joignable. Plus tard, j'ai appris que toute l'équipe technique était composée de trois personnes, l'attaque est venue directement pour retirer la ligne du réseau. Dans ce domaine, la stabilité est 10 000 fois plus importante que les économies.
En bref, le choix d'un CDN de haute défense à l'étranger est comme l'équipement de correspondance, il n'y a pas de meilleur, seulement le plus approprié. L'essentiel est d'examiner la distribution réelle de l'activité et les caractéristiques de l'attaque. Il est recommandé d'utiliser un compte test pendant une semaine pour surveiller les données, puis de les combiner avec le coût de la prise de décision. Après tout, les joueurs ne vous donneront pas de seconde chance - le lag trois fois directement désinstallé, c'est tellement réaliste.
