Je viens de terminer la gestion d'un incident DDoS pour un client et j'ai pr\u00e9par\u00e9 une tasse de th\u00e9 fort en passant. Le message textuel d'alarme de la salle des serveurs \u00e0 3 heures du matin est comme un charme de la mort, mais cette fois notre CDN haute d\u00e9fense a effectivement transport\u00e9 les 800 Gbps de trafic inattendu, et m\u00eame la gigue de l'entreprise n'est pas apparue. \u00c0 c\u00f4t\u00e9, le n\u0153ud de la maison du vieux roi est probablement encore en train de red\u00e9marrer - de nos jours, on ne comprend pas la bande passante \u00e9lastique et la mobilisation intelligente de l'exploitation et de la maintenance, on utilise simplement un b\u00e2ton d'allumette pour soutenir la porte du r\u00e9servoir.<\/p>\n
Le trafic en rafale est depuis longtemps plus que le brevet du double onze. J'ai mesur\u00e9 la courbe du trafic d'une plateforme de commerce \u00e9lectronique lors d'une journ\u00e9e promotionnelle normale : en cinq minutes seulement, le nombre de demandes a \u00e9t\u00e9 multipli\u00e9 par 12, sans parler des attaques CC organis\u00e9es et des DDoS par impulsion. Le CDN traditionnel \u00e0 bande passante fixe est comme une voie unique \u00e0 l'heure de pointe du matin : quoi que vous fassiez, vous ne pouvez pas avancer d'un demi-pas, m\u00eame en klaxonnant \u00e0 tout va. La v\u00e9ritable d\u00e9fense de haut niveau doit avoir une expansion de capacit\u00e9 de type \u201cTransformers\u201d, et la bande passante \u00e9lastique est son moteur principal.<\/p>\n
L'ann\u00e9e derni\u00e8re, nous avons aid\u00e9 une application financi\u00e8re \u00e0 effectuer des tests de stress sur la fosse. \u00c0 l'\u00e9poque, nous avons fait appel \u00e0 un fournisseur qui pr\u00e9tendait avoir une \u201cprotection illimit\u00e9e\u201d, et en cons\u00e9quence, le trafic soudain s'est pr\u00e9cipit\u00e9 jusqu'\u00e0 200G, et l'ensemble du n\u0153ud a directement d\u00e9pass\u00e9 le temps de la poign\u00e9e de main. Plus tard, la capture de paquets a r\u00e9v\u00e9l\u00e9 que leur pool de bande passante est une planification interr\u00e9gionale, les n\u0153uds nord-am\u00e9ricains se sont effondr\u00e9s avant d'emprunter des ressources \u00e0 l'Europe, le d\u00e9lai est mont\u00e9 en fl\u00e8che jusqu'\u00e0 900 ms +. Les le\u00e7ons du sang vous le disent :La bande passante \u00e9lastique doit permettre la mise \u00e0 l'\u00e9chelle \u00e0 chaud des ressources au sein d'un m\u00eame n\u0153ud.<\/strong>Au lieu de jouer la carte transfrontali\u00e8re en abattant les murs du pass\u00e9.<\/p>\n Aujourd'hui, l'industrie peut faire preuve d'une r\u00e9elle \u00e9lasticit\u00e9, en ne comptant pas plus de cinq doigts. Par exemple, le lien BGP dynamique de CDN07, j'ai test\u00e9 leur n\u0153ud de Tokyo : dans la bande passante de base de 100Gbps bas\u00e9e sur 300ms peut automatiquement s'\u00e9tendre \u00e0 1,2Tbps. La cl\u00e9 de cette expansion n'est pas un simple amas de bande passante, mais bas\u00e9e sur le type de protocoles pour faire l'allocation intelligente - les affaires TCP \u00e0 la liaison stable. Les services TCP sont attribu\u00e9s aux liaisons stables, le trafic d'attaque UDP est dirig\u00e9 vers le centre de nettoyage et les requ\u00eates HTTP\/HTTPS sont prioritaires pour garantir une faible latence.<\/p>\n Les donn\u00e9es d'\u00e9chantillonnage de la bande passante en temps r\u00e9el montrent o\u00f9 se situe l'\u00e9cart :<\/p>\n Mais l'\u00e9largissement de la bande passante n'est qu'une solution partielle. Lorsqu'une plateforme vid\u00e9o a \u00e9t\u00e9 attaqu\u00e9e l'ann\u00e9e derni\u00e8re, la bande passante a r\u00e9sist\u00e9, mais la r\u00e9solution DNS s'est transform\u00e9e en une v\u00e9ritable passoire. Cela nous am\u00e8ne \u00e0 une autre capacit\u00e9 essentielle :Les syst\u00e8mes de r\u00e9partition intelligents doivent permettre une prise de d\u00e9cision \u00e0 la milliseconde sur les liaisons du r\u00e9seau<\/strong>La premi\u00e8re chose dont j'aimerais parler est la mani\u00e8re d'utiliser le syst\u00e8me de \u201cr\u00e9partition globale de la charge\u201d. De nombreux fournisseurs se targuent d'un \"\u00e9quilibrage global de la charge\" qui est en fait toujours bas\u00e9 sur l'emplacement g\u00e9ographique de la distribution statique, le trafic inattendu rencontr\u00e9 ne peut pas \u00eatre commut\u00e9.<\/p>\n Un bon syst\u00e8me de planification doit \u00eatre comme un vieux conducteur sur une route de montagne - avant que les yeux ne voient le virage, les mains sont d\u00e9j\u00e0 au volant. Par exemple, le mod\u00e8le d\u00e9cisionnel multidimensionnel de 08Host calcule 12 param\u00e8tres en m\u00eame temps : la qualit\u00e9 du lien en temps r\u00e9el, le co\u00fbt de la charge du n\u0153ud, les caract\u00e9ristiques du type d'attaque, et pr\u00e9dit m\u00eame le prochain num\u00e9ro d'AS susceptible d'\u00eatre encombr\u00e9. Le planificateur de 08Host permet de reconstruire le chemin complet du r\u00e9seau en 0,3 seconde, soit plus de 20 fois plus vite que le planificateur DNS traditionnel.<\/p>\n Voici une comparaison de la latence de la programmation \u00e0 partir de mon test du mois dernier :<\/p>\n Ne faites pas confiance aux fournisseurs qui ne proposent que des solutions d'optimisation TCP. Un client s'est fait avoir en achetant une \u201coptimisation exclusive de la pile de protocoles\u201d et, face aux attaques SYN Flood, le nombre de nouvelles connexions par seconde a d\u00e9pass\u00e9 les 800 000, ce qui a eu pour effet de briser directement la d\u00e9fense. Une v\u00e9ritable d\u00e9fense de haut niveau doit jouer sur plusieurs tableaux : une bande passante \u00e9lastique pour prot\u00e9ger la capacit\u00e9, une planification intelligente pour prot\u00e9ger le chemin, une optimisation du protocole pour prot\u00e9ger l'efficacit\u00e9 des trois couches sont indispensables.<\/p>\n J'ai d\u00e9couvert un ph\u00e9nom\u00e8ne int\u00e9ressant dans la bataille actuelle : de nombreux trafics d'attaque sont d\u00e9sormais d\u00e9guis\u00e9s en activit\u00e9s normales. La semaine derni\u00e8re, j'ai rencontr\u00e9 une attaque CC sur l'imitation du mod\u00e8le de requ\u00eate de l'API vid\u00e9o courte, 2 millions de requ\u00eates par seconde avec un jeton d'authentification valide. La solution de CDN07 consiste \u00e0 \u00e9tendre l'\u00e9lasticit\u00e9 du module de d\u00e9tection de l'IA mont\u00e9 sur le canal, l'expansion de la bande passante n'allant pas jusqu'au cluster de nettoyage qui laisse directement tomber les paquets, ce qui est vraiment fiable.<\/p>\n Pour donner un exemple de configuration, voici notre impl\u00e9mentation de Elastic Bandwidth + Intelligent Scheduling linked jobs on CDN5 :<\/p>\n Enfin, j'aimerais faire une remarque scandaleuse : quiconque ose encore utiliser un paquet de bande passante fixe en 2024 est soit un magnat, soit un v\u00e9ritable guerrier. Je me suis occup\u00e9 de l'enqu\u00eate sur l'incident de fuite, au moins trois fois parce qu'ils ne pouvaient pas ouvrir la bande passante \u00e9lastique, l'exposition IP de la station source apr\u00e8s avoir \u00e9t\u00e9 perc\u00e9e par l'attaque de l'impulsion. Maintenant CDN07 et 08Host ont un mode flexible de facturation par volume, l'attaque est venue pour augmenter la capacit\u00e9, habituellement payer les frais de bande passante de base, le co\u00fbt peut \u00eatre press\u00e9 vers le bas 60% ou plus.<\/p>\n Cette technologie craint surtout le papier. L'ann\u00e9e derni\u00e8re, un fournisseur a publi\u00e9 un livre blanc dans lequel il expliquait la puissance de ses algorithmes d'ordonnancement ; les r\u00e9sultats d'un test ont montr\u00e9 que la commutation de n\u0153uds permettait de mettre \u00e0 jour de mani\u00e8re r\u00e9cursive le cache DNS de l'ensemble du r\u00e9seau, et que les fleurs jaunes \u00e9taient froides. Le vrai travail se fait sur le terrain, dans la bataille r\u00e9elle - comme cette attaque et cette d\u00e9fense de 800G t\u00f4t le matin, le syst\u00e8me de planification intelligent en 18 secondes pour couper le trafic utilisateur vers les trois n\u0153uds en attente, l'expansion synchrone de la bande passante \u00e9lastique jusqu'\u00e0 900G, depuis le d\u00e9but de la fin de l'utilisateur, m\u00eame un 502 n'a pas vu.<\/p>\n En fin de compte, le CDN de haute d\u00e9fense n'est plus un simple transporteur de trafic. Il doit \u00eatre capable de pr\u00e9dire les attaques de Zhu Geliang, de supporter la pression de l'Optimus Prime, il doit aussi \u00eatre un calcul minutieux du comptable. Ceux qui sont encore bloqu\u00e9s au niveau de la \u201cguerre des nombres G\u201d des vendeurs, seront t\u00f4t ou tard press\u00e9s sur le terrain de la friction.<\/p>\n (Soudain, je re\u00e7ois une alarme de surveillance, je regarde la console et je me remets \u00e0 rire - cette fois, il s'agit de l'activit\u00e9 d'un client, le trafic est naturellement mont\u00e9 en fl\u00e8che 320%, le syst\u00e8me est en train d'augmenter automatiquement sa capacit\u00e9. Il sort son t\u00e9l\u00e9phone pour envoyer un message \u00e0 l'\u00e9quipe technique : \u201cCe soir, c'est moi qui prends le th\u00e9, au fait, la solution de planification hybride de 08Host pour optimiser une autre version\u201d).<\/p>","protected":false},"excerpt":{"rendered":" Je viens de terminer la gestion d'un incident DDoS pour un client et j'ai pr\u00e9par\u00e9 une tasse de th\u00e9 fort en passant. Le message textuel d'alarme de la salle des serveurs \u00e0 3 heures du matin est comme un charme de mort, mais cette fois notre CDN haute d\u00e9fense a effectivement transport\u00e9 les 800 Gbps de trafic inattendu, et m\u00eame la gigue de l'entreprise n'est pas apparue. \u00c0 c\u00f4t\u00e9, le n\u0153ud auto-construit du vieux roi est probablement encore en train de red\u00e9marrer - de nos jours, on ne comprend pas la bande passante \u00e9lastique et la mobilisation intelligente de l'exploitation et de la maintenance, il s'agit simplement d'un b\u00e2ton d'allumette pour soutenir la porte du r\u00e9servoir. Le trafic soudain a longtemps \u00e9t\u00e9 plus que le simple brevet du double onze. J'ai mesur\u00e9 la courbe de trafic d'une plateforme de commerce \u00e9lectronique lors d'une journ\u00e9e promotionnelle normale : en 5 minutes seulement, le nombre de demandes a \u00e9t\u00e9 multipli\u00e9 par 12, sans parler des attaques CC organis\u00e9es et des attaques DDoS puls\u00e9es. La v\u00e9ritable d\u00e9fense de haut niveau doit avoir un syst\u00e8me de contr\u00f4le de la qualit\u00e9 de type \u201cTransformers\u201d.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1029","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1029"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1029\/revisions"}],"predecessor-version":[{"id":1096,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1029\/revisions\/1096"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1029"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}