Ces derniers temps, les clients posent toujours la même question : le Baidu cloud high-defence CDN n'est finalement pas fiable ? Pour être honnête, si cette question m'avait été posée il y a six mois, j'aurais peut-être dû feuilleter les documents. Mais le mois dernier, les activités de commerce électronique de notre entreprise ont été touchées par trois vagues de DDoS, le pic maximal a atteint 800 Gbps, il suffit de prendre Baidu cloud high defence pour faire un test de combat - les résultats sont un peu intéressants.
Commençons par la conclusion : ce n'est pas un produit miracle, mais il résout les problèmes dans des scénarios spécifiques. Si vous êtes torturé par des attaques CC et que vous devez vous lever au milieu de la nuit pour redémarrer le serveur, ou si vous ne savez pas quel service de haute défense choisir, cet examen du test réel devrait pouvoir vous donner quelques références.
Tout d'abord, un CDN de haute défense à la fin pour éviter quoi ?
De nombreuses personnes pensent que l'achat d'un CDN à haute défense leur permettra d'être tranquilles, mais c'est en fait une pure vue de l'esprit. J'ai vu le cas le plus scandaleux, celui d'une société financière sur Internet, qui a acheté la configuration la plus élevée de la haute défense, mais qui a quand même été pénétrée - il s'est avéré plus tard que ce sont leurs propres programmeurs qui ont exposé le port de la base de données dans le réseau public. Soyons donc clairs : le CDN à haute défense sert principalement à prévenir les attaques de la couche application (telles que les attaques CC, HTTP Flood) et les attaques de la couche réseau (telles que SYN Flood, UDP reflection), mais il ne peut pas empêcher la vulnérabilité de la logique d'entreprise et l'explosion des mots de passe faibles.
La capacité de nettoyage du trafic de haute sécurité du nuage Baidu est officiellement de 2Tbps, j'ai testé environ 800Gbps d'attaques mixtes (SYN Flood + HTTP slow attack), le nœud n'est pas tombé en panne. Toutefois, il convient de noter que le processus de nettoyage aura un délai de 5 à 10 secondes de gigue, pour les transactions en temps réel, il faut prévoir un bon mécanisme de relance.
Deuxièmement, la chaîne de configuration comporte plus de nids-de-poule que prévu
Ne croyez pas les vendeurs qui vous disent ”un accès par clé”. En pratique, il existe trois modes de résolution des noms de domaine au moment de la configuration : CNAME, NS et A record. Je recommande vivement d'utiliser NS pour prendre en charge l'ensemble de la résolution, bien qu'il faille quelques heures pour que la modification de l'enregistrement NS prenne effet, mais la précision de la programmation ultérieure est plus élevée. Auparavant, lorsque j'utilisais l'accès CNAME, je rencontrais le problème du cache de résolution, et les utilisateurs d'une certaine région étaient toujours renvoyés vers l'IP source pendant deux jours consécutifs.
La configuration de la mise en cache est également une source d'inquiétude. Les règles de mise en cache des ressources statiques par défaut sont extrêmement défavorables aux sites dynamiques :
Troisièmement, la stratégie de prix est un peu mystérieuse
Baidu Cloud High Defence utilise un modèle de double facturation pour la bande passante + le nombre de requêtes. Le forfait de base commence à 20 000 par mois (protection de 100 Gbps + flux de 5 To), et le nombre de requêtes est facturé à 0,15 yuan par tranche de 10 000 requêtes après dépassement. Lors d'une de nos promotions, il y a eu soudainement 2 millions de requêtes supplémentaires, et la facture a directement explosé de 30 000 - on a découvert plus tard que le crawler frôlait la page de détail du produit.
Comparaison de plusieurs autres : CDN5 utilisant un nombre illimité de requêtes mais le prix unitaire de la bande passante est plus élevé (1Gbps / mois = 8000 yuans), CDN07 fournit une protection fixe de 300Gbps mais ne supporte pas l'expansion élastique. 08Host s'est récemment engagé dans les activités du paiement annuel de 60% de réduction, mais le nombre de nœuds n'est que la moitié de celui de Baidu. Pour être honnête, il n'y a pas de solution parfaite, il n'y a que des solutions adaptées ou non.
IV. données sur l'effet de la protection réelle
Publier une comparaison des données lorsque notre entreprise a été attaquée :
Une chose à noter est que leurs seuils par défaut pour la protection CC sont du côté conservateur. Je recommande d'ajuster les règles dès l'ouverture d'un compte :
V. Qualité inégale des nœuds
Baidu Cloud possède plus de 2000 nœuds en Chine, mais la qualité des nœuds dans les villes de troisième rang est nettement inférieure à celle d'Aliyun. Grâce à la surveillance continue de 17Monitor, nous avons constaté que le taux de retransmission TCP de Foshan, Guiyang et d'autres nœuds atteignait parfois 3% (le taux normal devrait être inférieur à 0,5%). Par la suite, grâce à la stratégie de planification visant à limiter les affaires importantes dans les nœuds des 10 villes les plus importantes, le délai s'est immédiatement stabilisé dans les 30 ms.
Les nœuds d'outre-mer sont encore plus dangereux ! Les nœuds de Hong Kong prennent la ligne PCCW du soir, le taux de perte de paquets de pointe est incroyable, la latence des nœuds des États-Unis est fondamentalement supérieure à 200 ms. Si vous souhaitez faire du commerce international, il est recommandé d'utiliser Baidu cloud anti-attack + CDN5 pour combiner les programmes d'accélération.
VI. vitesse de réponse de l'assistance technique
C'est sur ce point que j'ai le plus envie de me plaindre. Les problèmes ordinaires sont traités en moyenne en 4 heures, les attaques urgentes nécessitent un appel pour se précipiter. Contrairement à CDN07 qui fournit des experts techniques sur place 7 × 24 heures, 08Host va même jusqu'à tirer les secondes WeChat de l'entreprise pour tirer la réponse du groupe. Cependant, Baidu Cloud propose un service caché : les clients qui consomment plus de 100 000 yuans par mois peuvent être équipés d'un architecte exclusif, et nous avons par la suite réduit le temps de réponse à 20 minutes par ce biais.
Sept, ne jamais ignorer la protection de la source de retour
J'ai vu trop d'entreprises se contenter d'utiliser une défense élevée pour protéger le trafic d'entrée, mais oublier de protéger les nœuds non-CDN jusqu'à la source. Il y a eu un cas tragique : l'attaquant a obtenu l'adresse IP réelle par le biais du balayage de l'ensemble du réseau et a pénétré directement dans la station source. Veillez à établir une liste blanche dans le pare-feu du serveur :
VIII. quelles sont les entreprises appropriées ?
Après trois mois de tests, je pense que Baidu cloud high defence convient le mieux à ces deux types de scénarios : 1) les principaux utilisateurs professionnels sont concentrés dans les moyennes et grandes entreprises nationales, en particulier dans les secteurs de l'éducation, du gouvernement et de la finance qui ont besoin d'enregistrer ; 2) les clients qui ont déjà utilisé d'autres produits Baidu cloud (tels que BCC, BOS), l'interopérabilité intranet peut permettre d'économiser beaucoup d'argent sur le coût du trafic. S'il s'agit de commerce électronique transfrontalier ou de la poursuite d'activités de jeux à latence extrême, il est recommandé d'envisager d'autres solutions.
Enfin, la vérité : il n'y a pas de solution qui puisse 100% empêcher les attaques. Plus tard, nous avons mis en place une reprise après sinistre multi-CDN - Baidu cloud high defence comme protection principale, CDN5 pour effectuer une sauvegarde intelligente, le coût mensuel a augmenté de 40%, mais il n'y a pas eu de temps d'arrêt pour l'ensemble de la station. La sécurité est une chose telle que l'on pense généralement que l'investissement est une perte d'argent, mais en réalité, quelque chose se produit pour savoir qu'il s'agit d'un argent qui sauve la vie.
(À la demande du vendeur, nous avons caché certaines des données de test, mais les conclusions essentielles résistent à l'examen. (Si vous souhaitez voir les graphiques spécifiques de suivi du trafic, vous pouvez envoyer un message privé pour échanger - n'oubliez pas d'indiquer l'intention, récemment le crawler d'ajouter trop de microblogging).
