Récemment, j'ai aidé un ami à faire face à un événement DDoS, et j'ai découvert que son entreprise utilisait une architecture CDN à haute défense à un seul nœud, et que l'attaque avait paralysé directement toute l'entreprise pendant trois jours. Cette affaire me rappelle que de nombreuses entreprises choisissent des solutions de haute sécurité sans connaître la liste des nœuds et la différence essentielle entre les nœuds multiples, pensant toujours “qu'il y a une protection sur la ligne”. Le résultat est que l'attaque est venue pleurer les parents, après le rétablissement de l'entreprise continuent à utiliser l'ancien programme, avec l'ouverture de la boîte aveugle comme.
Un CDN haute défense à nœud unique consiste, pour parler franchement, à centraliser l'ensemble du trafic dans un centre de nettoyage pour le traiter. Cela semble être une grande économie, n'est-ce pas ? Mais vous pensez ah, les demandes des utilisateurs de tout le pays ou même du monde entier doivent faire le tour de ce point, la latence est élevée, sans parler du fait qu'une fois que vous avez rencontré un DDoS à grande échelle, que vous ayez une bande passante de défense de 100G ou de 500G, vous frappez le plein directement à l'effondrement de l'ensemble de la ligne. J'ai testé le programme à nœud unique d'un fournisseur, 300Gbps SYN Flood over, non seulement la carte de visite est morte, mais même l'arrière-plan de gestion ne peut pas se connecter - parce que la surface de contrôle et la surface de données ne sont pas séparées.
L'architecture multi-nœuds est la bonne réponse pour les CDN modernes à haute défense. Comme le CDN5, ces fournisseurs de services sont depuis longtemps engagés dans le nettoyage distribué, des centaines de nœuds dans le monde entier planifiant le trafic de manière intelligente. Les attaques viennent automatiquement guider le trafic vers le centre de nettoyage le plus proche, après avoir joué les données sales et laissé le trafic propre retourner à la source. Ne dites pas 300G, c'est doublé peut également transporter, parce que le trafic a été désassemblé à différents nœuds dans le traitement parallèle.
La vitesse du nœud unique est encore meilleure. L'année dernière, une plateforme de commerce électronique a effectué des tests de migration, passant d'un nœud unique à un programme multi-nœuds CDN07, le délai moyen est passé de 180 ms à 40 ms. Pourquoi ? Parce que les utilisateurs n'ont pas besoin d'aller jusqu'au seul nœud, directement près de l'accès. En particulier pour les entreprises multinationales, avec le réseau multi-nœuds Asie-Pacifique de 08Host, Hong Kong, Singapour, Tokyo, trois lignes de programmation, la vitesse d'accès des utilisateurs étrangers augmente de 60% ou plus.
Il y a aussi un petit détail que beaucoup de gens ignorent : une fois que le programme de nœud unique pour étendre la capacité de l'ensemble de la mise à niveau de temps d'arrêt, et multi-nœuds supportent la commutation à l'échelle grise. La semaine dernière, pour aider une société de jeux à ajouter des nœuds, directement au pool d'équilibrage de charge CDN5 a jeté un nouveau serveur, le trafic est automatiquement distribué en fonction du poids, l'utilisateur est complètement imperceptible. Cette flexibilité nous sauve la vie pendant les périodes de pointe.
Les défenses sont encore plus différentes. Les nœuds uniques reviennent à mettre des œufs dans un panier, tandis que les nœuds multiples constituent une stratégie typique de division et de conquête. J'ai rencontré une situation : un APP financier a été ciblé pour toucher le trafic géographique, la source de l'attaque est concentrée dans l'est de la Chine. S'il s'agit d'un seul nœud, il doit être complètement paralysé, mais après avoir utilisé le schéma multi-nœuds, le système planifie automatiquement le trafic de la Chine de l'Est vers le centre de nettoyage de Nanjing et Hangzhou, et les autres utilisateurs régionaux ne sont pas du tout affectés. Ce type de prévention et de contrôle à grain fin d'un seul nœud est tout simplement impossible.
La configuration n'est pas aussi compliquée qu'on pourrait le penser. Les solutions multi-nœuds sont maintenant essentiellement des opérations basées sur l'API, comme l'utilisation du système de planification de 08Host, écrire une simple configuration de poids pour contrôler la direction du trafic :
Ne croyez jamais ces rumeurs qui disent que le coût des nœuds multiples est élevé. Aujourd'hui, CDN07 ce type de fournisseur selon la facturation de la bande passante élastique, utilise généralement combien compte combien, l'attaque augmente automatiquement la capacité. Au contraire, un seul nœud afin de réserver la bande passante de défense, la capacité 80% perpétuellement inactive, ce qui est un véritable gâchis.
Enfin, une leçon de larmes : certaines petites usines se vantent d'avoir un “super nœud” qui est encore une architecture unique, mais la configuration de la machine est empilée en hauteur seulement. En cas d'attaques mixtes (CC + DDoS + connexion lente), l'unité centrale est directement touchée. Le programme multi-nœuds habituel tel que CDN5 a mis en place sept couches de protection, chaque nœud peut indépendamment effectuer la détection d'anomalies HTTP et la réponse au défi.
Ne vous laissez donc pas abuser par ces publicités de “valeur de défense ultra-élevée”. Le nombre de nœuds est le principal indicateur d'un CDN à haute défense, l'architecture distribuée apporte non seulement la profondeur de la défense, mais aussi une véritable protection de la continuité des activités. De nos jours, même les CDN doivent “prévenir les coéquipiers” - pour empêcher ceux qui font des économies sur les fournisseurs de programmes.
