R\u00e9cemment, j'ai aid\u00e9 quelques applications sociales \u00e0 migrer \u00e0 l'\u00e9tranger, et la premi\u00e8re chose que le client me dit toujours est : \u201cPouvez-vous faire en sorte que les utilisateurs d'Asie du Sud-Est arr\u00eatent de jurer ? La deuxi\u00e8me phrase est : \u201dNous avons encore \u00e9t\u00e9 p\u00e9n\u00e9tr\u00e9s la nuit derni\u00e8re, y a-t-il quelque chose que nous puissions faire ?\u201c<\/p>\n
Ces jours-ci, pour faire des applications sociales, n'ont pas \u00e9t\u00e9 DDoS \u00e9cran de balayage sont g\u00ean\u00e9s de dire qu'ils sont engag\u00e9s dans l'Internet. Le mois dernier, une plateforme sociale audio-vid\u00e9o vient d'\u00eatre lanc\u00e9e, trois jours de suite elle a subi trois fois plus de 500G d'attaques de trafic, les utilisateurs nord-am\u00e9ricains sont entr\u00e9s directement dans la carte PPT - le patron du parti A m'a t\u00e9l\u00e9phon\u00e9 \u00e0 4 heures du matin : \u201cFr\u00e8re, plus d'argent peut \u00eatre r\u00e9solu ?\u201d.\u201d<\/p>\n
L'acc\u00e9l\u00e9ration outre-mer et la d\u00e9fense \u00e9lev\u00e9e sont \u00e0 l'origine une combinaison d'amour l'un pour l'autre. Si vous voulez une vitesse rapide, vous devez \u00e9tendre le n\u0153ud jusqu'\u00e0 la porte de l'utilisateur ; si vous voulez pr\u00e9venir les attaques, vous devez vous concentrer sur le nettoyage de tout le trafic. Mais lorsque vous placez le trafic de l'utilisateur nord-am\u00e9ricain autour de Tokyo pour le nettoyer, puis que vous le ramenez \u00e0 Los Angeles, le d\u00e9lai est suffisant pour pr\u00e9parer une tasse de caf\u00e9 - l'utilisateur a d\u00e9sinstall\u00e9 l'application.<\/p>\n
J'ai test\u00e9 le \u201cGlobal Intelligent Scheduling\u201d vant\u00e9 par une grande entreprise et, en cons\u00e9quence, la demande de l'utilisateur australien a \u00e9t\u00e9 transmise au n\u0153ud indien et la latence a grimp\u00e9 \u00e0 380 ms. L\u201c\u201doptimisation dynamique du chemin\" vant\u00e9e par le document technique est en fait l'ordonnancement du co\u00fbt le plus bas en fonction de la table de routage BGP. Le document technique vante l'\"optimisation dynamique du chemin\", qui est en fait l'ordonnancement du co\u00fbt le plus bas selon la table de routage BGP, et n'a rien \u00e0 voir avec l'exp\u00e9rience de l'utilisateur.<\/p>\n
Une solution vraiment fiable doit r\u00e9pondre \u00e0 trois questions simultan\u00e9ment : performance d'acc\u00e9l\u00e9ration, capacit\u00e9 de d\u00e9fense et contr\u00f4le des co\u00fbts. Sans l'un d'entre eux, tout cela n'est qu'une plaisanterie.<\/p>\n
Commen\u00e7ons par l'acc\u00e9l\u00e9ration. Les caract\u00e9ristiques du trafic des applications sociales sont trop \u00e9videntes : connexions en rafale, longues connexions, exigences de temps r\u00e9el perverties. Le sch\u00e9ma de mise en cache HTTP pur ne peut tout simplement pas porter, il faut commencer par la couche de protocole.<\/p>\n
La solution d'optimisation que nous avons mise en place pour une plateforme de diffusion en direct en Asie du Sud-Est a n\u00e9cessit\u00e9 le d\u00e9ploiement du protocole QUIC sur les n\u0153uds de p\u00e9riph\u00e9rie. En Inde notamment, l'environnement r\u00e9seau est comparable \u00e0 celui des pays o\u00f9 se d\u00e9roulent les loteries. La poign\u00e9e de main 0-RTT du protocole QUIC est beaucoup plus fiable que la poign\u00e9e de main TCP trois fois.<\/p>\n
L'exemple de configuration n'est pas vraiment compliqu\u00e9 (bien s\u00fbr, d'autres param\u00e8tres doivent \u00eatre r\u00e9gl\u00e9s pour le d\u00e9ploiement r\u00e9el) :<\/p>\n
Mais ne croyez pas \u00e0 l'absurdit\u00e9 du \u201cQUIC peut acc\u00e9l\u00e9rer\u201d. J'en ai test\u00e9 un qui pr\u00e9tendait \u00eatre globalement acc\u00e9l\u00e9r\u00e9, et les performances QUIC \u00e9taient pires que celles de TCP - il s'est av\u00e9r\u00e9 que la version de leur noyau \u00e9tait trop ancienne, et qu'ils ne s'\u00e9taient m\u00eame pas adapt\u00e9s \u00e0 BBR.<\/p>\n
Plus l'\u00e9l\u00e9ment de d\u00e9fense. Les applications sociales sont les plus effray\u00e9es par les attaques CC, qui ressemblent \u00e0 des requ\u00eates normales mais qui n'aiment pas du tout l'interface. La connexion de l'utilisateur, la liste d'amis, le push de messages, ces API sont cass\u00e9es en quelques minutes.<\/p>\n
L'ann\u00e9e derni\u00e8re, j'ai aid\u00e9 un logiciel de rencontre \u00e9tranger \u00e0 se prot\u00e9ger, et l'autre ing\u00e9nieur a jur\u00e9 qu'il avait utilis\u00e9 un \u201cWAF intelligent\u201d. En cons\u00e9quence, j'ai pris un outil pour simuler le comportement normal d'un utilisateur et j'ai contourn\u00e9 leur base de r\u00e8gles en dix minutes - parce que leur m\u00e9canisme de d\u00e9fi JS n'avait pas \u00e9t\u00e9 mis \u00e0 jour depuis trois ans, et que les robots d'indexation \u00e9taient capables de l'identifier directement.<\/p>\n
Aujourd'hui, une d\u00e9fense CC efficace doit \u00eatre combin\u00e9e \u00e0 une analyse comportementale. Par exemple, la d\u00e9tection de la trajectoire de la souris, la fr\u00e9quence des \u00e9v\u00e9nements tactiles et m\u00eame l'\u00e9tat d'alimentation de l'appareil (je n'ai vraiment pas vu de crawler mobile qui simule des changements d'alimentation).<\/p>\n
Il s'agit de la r\u00e8gle de d\u00e9fi dynamique que nous utilisons actuellement sur la plateforme CDN07 :<\/p>\n
Il est int\u00e9ressant de noter que certaines sources d'attaque imitent d\u00e9sormais le comportement humain. Un bot captur\u00e9 la semaine derni\u00e8re balayait l'\u00e9cran au hasard, mais ne parvenait pas \u00e0 imiter l'inclinaison gyroscopique d'un t\u00e9l\u00e9phone - qui, dans son esprit, naviguerait sur une application sociale avec son t\u00e9l\u00e9phone en position verticale ?<\/p>\n
La couverture des n\u0153uds est le v\u00e9ritable test de la force des fournisseurs de CDN. De nombreux fournisseurs annoncent une \u201ccouverture mondiale\u201d, mais en r\u00e9alit\u00e9, les n\u0153uds d'Europe et des \u00c9tats-Unis s'empilent, tandis que l'Am\u00e9rique latine et l'Afrique d\u00e9pendent de deux n\u0153uds pour leur prise en charge. Les utilisateurs sud-africains, en particulier, sont souvent achemin\u00e9s vers l'Europe et reviennent ensuite.<\/p>\n
Nous avons compar\u00e9 les performances r\u00e9elles des trois fabricants :<\/p>\n
Les n\u0153uds nord-am\u00e9ricains de CDN5 sont tr\u00e8s puissants, mais l'Asie du Sud-Est loue essentiellement de la bande passante \u00e0 des fournisseurs locaux de second rang, et le taux de perte de paquets le soir peut atteindre 15%.<\/p>\n
La couverture europ\u00e9enne de CDN07 est perversement dense, avec des pop points m\u00eame dans les petits pays d'Europe de l'Est, mais les routes sud-am\u00e9ricaines passent souvent par des tunnels bon march\u00e9 avec trop de fluctuations de latence.<\/p>\n
08Host est un acteur int\u00e9ressant, sp\u00e9cialis\u00e9 dans l'exploitation en profondeur des march\u00e9s \u00e9mergents. En Indon\u00e9sie, il a construit lui-m\u00eame sa propre salle de serveurs, la pression de latence pour les utilisateurs de Jakarta est de 20 ms, mais le n\u0153ud nord-am\u00e9ricain au lieu du n\u0153ud g\u00e9n\u00e9ral.<\/p>\n
La pratique la plus fiable est donc la planification mixte. Les ressources statiques vont au CDN5, le trafic API avec la protection CDN07, la vid\u00e9o en direct sur la ligne d\u00e9di\u00e9e de 08Host - bien que la complexit\u00e9 de la gestion soit \u00e9lev\u00e9e, le co\u00fbt peut \u00eatre r\u00e9duit de 30% ou plus, et la performance peut \u00e9galement \u00eatre am\u00e9lior\u00e9e.<\/p>\n
Une derni\u00e8re remarque sur les pi\u00e8ges li\u00e9s aux co\u00fbts. De nombreux vendeurs proposent une \u201cprotection illimit\u00e9e\u201d qui n'est qu'un jeu de mots. Un client a achet\u00e9 un forfait anti-DDoS illimit\u00e9, mais les r\u00e9sultats ont \u00e9t\u00e9 bross\u00e9s 700G a \u00e9t\u00e9 dit que \u201cau-del\u00e0 de l'\u00e9chelle de l'entreprise\u201d - le contrat original cach\u00e9 dans le plafond invisible de 300G par jour.<\/p>\n
Nos contrats l'exigent d\u00e9sormais explicitement :<\/p>\n
- Le plafond de protection est-il bas\u00e9 sur le montant maximal ou sur le montant total ?<\/p>\n
- si des n\u0153uds de nettoyage sont d\u00e9ploy\u00e9s \u00e0 proximit\u00e9 (sinon, il y a des pics de latence)<\/p>\n
- La dimension statistique de la protection CC est-elle le nombre de demandes ou le nombre de connexions simultan\u00e9es ?<\/p>\n
- si les n\u0153uds \u00e9trangers prennent en charge les certificats locaux (certains pays exigent un protocole SSL local pour l'atterrissage des donn\u00e9es)<\/p>\n
Pour \u00eatre honn\u00eate, cette ligne de d\u00e9marcation est trop profonde. Certains fournisseurs vendent des n\u0153uds au Vietnam comme \u00e0 Singapour (routage autour de Hong Kong), d'autres vendent un \u201croutage intelligent\u201d qui consiste en fait \u00e0 trouver un n\u0153ud avec la latence la plus faible, ind\u00e9pendamment des capacit\u00e9s d\u00e9fensives. R\u00e9cemment, j'ai \u00e9galement rencontr\u00e9 un cas \u00e9trange : un CDN du n\u0153ud japonais a \u00e9t\u00e9 mis hors service, coupant automatiquement le trafic vers le n\u0153ud am\u00e9ricain - les utilisateurs japonais subissent directement un retard de 400 ms, cette programmation intelligente pourrait tout aussi bien \u00eatre renomm\u00e9e programmation retard\u00e9e.<\/p>\n
Une solution r\u00e9ellement efficace doit \u00eatre adapt\u00e9e \u00e0 la forme de l'entreprise. Les applications sociales doivent faire la distinction entre les diff\u00e9rents types d'entreprises :<\/p>\n
Les utilisateurs empruntent des itin\u00e9raires \u00e0 large bande passante pour le t\u00e9l\u00e9chargement de vid\u00e9os<\/p>\n
Lignes \u00e0 faible latence pour l'envoi de messages<\/p>\n
Donner la priorit\u00e9 aux demandes d'amis pour assurer la stabilit\u00e9<\/p>\n
Enfin, une suggestion solide : ne croyez pas les donn\u00e9es de d\u00e9monstration du vendeur, effectuez vous-m\u00eame des tests r\u00e9els. Utilisez la plateforme mondiale de tests en nuage pour simuler le comportement des utilisateurs dans le monde entier et effectuez des tests pendant trois jours cons\u00e9cutifs aux heures de pointe du soir. Un jour, un fournisseur m'a montr\u00e9 que la latence de son n\u0153ud de Singapour \u00e9tait de 50 ms, mais le test r\u00e9el a r\u00e9v\u00e9l\u00e9 que la mesure du retard par rapport \u00e0 la salle des serveurs plut\u00f4t que par rapport \u00e0 l'\u00e9quipement de l'utilisateur - la latence moyenne de l'utilisateur r\u00e9el par rapport au n\u0153ud est de 170 ms, le pic pouvant aller jusqu'\u00e0 300 ms.<\/p>\n
Nous exigeons d\u00e9sormais des fournisseurs qu'ils ouvrent leurs interfaces de surveillance en temps r\u00e9el et qu'ils \u00e9crivent leurs propres scripts pour compter l'exp\u00e9rience r\u00e9elle de l'utilisateur partout. En Inde et au Br\u00e9sil en particulier, o\u00f9 les r\u00e9seaux sont complexes, il est important d'examiner les donn\u00e9es relatives \u00e0 la latence au 95e percentile plut\u00f4t que la moyenne.<\/p>\n
Il n'existe pas de solution unique pour l'acc\u00e9l\u00e9ration outre-mer, mais seulement un processus d'optimisation continu. R\u00e9cemment, nous avons exp\u00e9riment\u00e9 des solutions d'informatique p\u00e9riph\u00e9rique, en pla\u00e7ant une partie de la logique directement dans les n\u0153uds CDN pour l'ex\u00e9cuter - par exemple, des op\u00e9rations l\u00e9g\u00e8res telles que l'envoi de messages, dans le n\u0153ud local pour retourner directement apr\u00e8s le traitement, et m\u00eame revenir \u00e0 la source sont sauvegard\u00e9es. Le d\u00e9lai d'interaction avec l'utilisateur canadien a \u00e9t\u00e9 test\u00e9 et est pass\u00e9 de 220 ms \u00e0 80 ms ; l'effet est beaucoup plus \u00e9vident qu'une simple acc\u00e9l\u00e9ration.<\/p>\n
En fin de compte, les solutions techniques sont destin\u00e9es aux services aux entreprises. Une fois qu'un client a d\u00fb passer par le r\u00e9seau anycast mondial le plus cher, il a d\u00e9couvert que les principaux utilisateurs en Asie du Sud-Est - en \u00e9conomisant le budget 80% avec des fournisseurs locaux, l'exp\u00e9rience est meilleure. La technologie est le domaine o\u00f9 il est le plus facile de tomber dans le pi\u00e8ge de la \u201crecherche de la perfection\u201d, et parfois la solution la plus pratique est la plus rapide et la plus furieuse.<\/p>\n
(Apr\u00e8s avoir \u00e9crit et regard\u00e9 le nombre de mots, il a en fait grimp\u00e9 \u00e0 2500. Ce qui pr\u00e9c\u00e8de est purement une histoire de sang et de larmes r\u00e9els, comme le m\u00eame, que vous avez march\u00e9 sur la fosse. Bienvenue dans l'\u00e9change de trolls entre pairs, mais ne me demandez pas le nom d'un client en particulier - pour faire face, il faut garder le secret).<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, j'ai aid\u00e9 quelques applications sociales \u00e0 migrer \u00e0 l'\u00e9tranger, et la premi\u00e8re chose que le client me dit toujours est : \u201cPouvez-vous faire en sorte que les utilisateurs d'Asie du Sud-Est arr\u00eatent de jurer ? La deuxi\u00e8me phrase est : \u201dNous avons encore \u00e9t\u00e9 touch\u00e9s la nuit derni\u00e8re, y a-t-il quelque chose que nous puissions faire ?\u201c Aujourd'hui, si vous faites des applications sociales, vous n'\u00eates pas g\u00ean\u00e9 de dire que vous \u00eates dans l'industrie de l'Internet si vous n'avez jamais \u00e9t\u00e9 touch\u00e9 par un DDoS. Le mois dernier, une plateforme sociale audio-vid\u00e9o vient de s'enflammer. En l'espace de trois jours, elle a subi trois attaques cons\u00e9cutives de plus de 500 G de trafic, les utilisateurs nord-am\u00e9ricains se sont retrouv\u00e9s directement sur la carte PPT. L'acc\u00e9l\u00e9ration outre-mer et la d\u00e9fense \u00e9lev\u00e9e sont \u00e0 l'origine une combinaison d'amour l'un pour l'autre. Si vous voulez de la vitesse, vous devez \u00e9tendre le n\u0153ud jusqu'\u00e0 la porte de l'utilisateur ; si vous voulez pr\u00e9venir les attaques, vous devez vous concentrer sur le nettoyage de tout le trafic. Mais lorsque vous prenez le trafic des utilisateurs nord-am\u00e9ricains autour de Tokyo pour le nettoyer et que vous le ramenez ensuite \u00e0 Los Angeles, le d\u00e9lai est suffisant pour faire une tasse de caf\u00e9...<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1023","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1023"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1023\/revisions"}],"predecessor-version":[{"id":1102,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1023\/revisions\/1102"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1023"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}