R\u00e9cemment, plusieurs fr\u00e8res d'exploitation et de maintenance de soci\u00e9t\u00e9s de jeux m'ont trouv\u00e9 amer, disant que le serveur chaque jour par le DDoS frapp\u00e9 la vie ne peut pas prendre soin d'eux-m\u00eames, la carte de joueur \u00e0 maudire, le t\u00e9l\u00e9phone de service \u00e0 la client\u00e8le sont presque busted. Ils m'ont pos\u00e9 la premi\u00e8re question : \u201cVous utilisez un CDN \u00e0 haute d\u00e9fense, mais vous pouvez transporter combien de G. Vous ne pouvez pas p\u00e9n\u00e9trer dans le fond ? Cette question semble simple, mais en fait l'eau est assez profonde. Comme vous demandez \u00e0 une voiture de rouler \u00e0 quelle vitesse, le fabricant indique 300km\/h, mais la capacit\u00e9 r\u00e9elle de continuer, cela d\u00e9pend de l'\u00e9tat de la route, du conducteur et du r\u00e9servoir de carburant n'est pas la chose r\u00e9elle.<\/p>\n
L'industrie du jeu est aujourd'hui la plus durement touch\u00e9e par les DDoS, en particulier ceux qui ont un petit flux de d\u00e9placement et de fin de jeu, devenant tout simplement le \u201cdistributeur automatique de billets\u201d des pirates informatiques. J'ai vu la semaine la plus scandaleuse \u00eatre frapp\u00e9e plus d'une centaine de fois, le pic du trafic d'attaque a grimp\u00e9 \u00e0 plus de 800G, une vari\u00e9t\u00e9 de types d'attaques se succ\u00e9dant : UDP Flood, ICMP Flood, TCP SYN Flood, et des attaques CC sp\u00e9cifiquement pour la couche logique du jeu. Pour \u00eatre honn\u00eate, de nos jours, il n'y a pas de CDN fiable \u00e0 haute d\u00e9fense, le jeu n'ose tout simplement pas ouvrir le service.<\/p>\n
Tout d'abord, une conclusion : sur le march\u00e9 des fournisseurs de services de haute d\u00e9fense, le pic de d\u00e9fense va de 100G \u00e0 1T, mais il y a beaucoup de choses \u00e0 faire ici. Certains fournisseurs \u00e9tiquet\u00e9s \u201cd\u00e9fense de niveau T\u201d, la r\u00e9alit\u00e9 peut \u00eatre un pool partag\u00e9, vraiment rencontr\u00e9 des attaques \u00e0 grande \u00e9chelle directement \u00e0 vous de jeter un trou noir ; certains des ressources ind\u00e9pendantes r\u00e9els, mais le prix peut \u00eatre cher pour vous la douleur de la viande. J'en ai test\u00e9 plusieurs, qui se r\u00e9sument en une phrase : ne vous contentez pas de regarder les chiffres, vous devez regarder les performances r\u00e9elles.<\/p>\n
Par exemple, CDN5, la norme officielle est de 500G de pointe de d\u00e9fense, mais le test de pression r\u00e9el a r\u00e9v\u00e9l\u00e9 que leur planification de r\u00e9seau Anycast est vraiment puissant, l'ann\u00e9e derni\u00e8re, un jeu secondaire a \u00e9t\u00e9 jou\u00e9 700G + attaques mixtes, en fait difficile \u00e0 porter vers le bas pas de temps d'arr\u00eat. Plus tard, j'ai appris qu'ils avaient un m\u00e9canisme \u201cd'expansion dynamique\u201d, le trafic soudain d\u00e9passant la valeur contractuelle sera automatiquement d\u00e9clench\u00e9, bien qu'apr\u00e8s coup il faille compenser la diff\u00e9rence, mais c'est mieux que le crash du serveur. Cependant, la configuration de sa famille doit jeter leur propre, la strat\u00e9gie par d\u00e9faut est plus conservateur, vous devez ajuster manuellement le seuil de nettoyage.<\/p>\n
Un autre CDN07 est plus agressif, marqu\u00e9 directement \u201c1T guaranteed defence\u201d, mais l'utilisation r\u00e9elle a r\u00e9v\u00e9l\u00e9 que leur protection TCP est un peu faible, en particulier pour le jeu de la longue connexion SYN Flood, doit \u00eatre optimis\u00e9 avec la pile de protocole auto-d\u00e9velopp\u00e9e pour fonctionner. L'avantage est qu'il y a beaucoup de n\u0153uds globaux, l'effet anti-D \u00e0 l'\u00e9tranger est bon, adapt\u00e9 aux jeux de service internationaux. En ce qui concerne le prix, je peux seulement dire que c'est un peu cher, les patrons doivent couvrir leur portefeuille pour commander.<\/p>\n
Il existe \u00e9galement un flux technique biais\u00e9 de 08Host, la norme de d\u00e9fense de pointe 400G, mais la pr\u00e9cision de nettoyage mesur\u00e9e est ridiculement \u00e9lev\u00e9e. Cette famille sait utiliser des algorithmes d'apprentissage automatique pour identifier les paquets anormaux dans le protocole de jeu, tels que les fausses demandes de connexion pour le moteur Unity, et peut \u00e9liminer avec pr\u00e9cision le trafic malveillant sans affecter les joueurs normaux. L'inconv\u00e9nient est que le nombre de n\u0153uds est faible et que la fluctuation de la latence int\u00e9rieure est l\u00e9g\u00e8rement importante, ce qui convient aux jeux au tour par tour avec des exigences \u00e9lev\u00e9es en mati\u00e8re de pr\u00e9cision.<\/p>\n
En fait, le pic de d\u00e9fense n'est qu'un seuil, le v\u00e9ritable test \u00e9tant la capacit\u00e9 de nettoyage et la strat\u00e9gie de programmation. J'ai vu trop d'entreprises se contenter de regarder le nombre G de cas \u00e0 perdre - un fournisseur s'engageant \u00e0 assurer une d\u00e9fense de 300G, les r\u00e9sultats des attaques CC de 200G ont directement p\u00e9n\u00e9tr\u00e9, parce que les r\u00e8gles de nettoyage ne sont pas optimis\u00e9es pour le protocole de jeu. Plus tard, on a d\u00e9couvert que l'attaquant avait compl\u00e8tement simul\u00e9 les demandes de connexion et d'op\u00e9ration du joueur r\u00e9el, et que les r\u00e8gles traditionnelles bas\u00e9es sur la fr\u00e9quence IP \u00e9taient tout simplement inefficaces.<\/p>\n
C'est l\u00e0 que l'analyse approfondie des protocoles et les mod\u00e8les comportementaux doivent \u00eatre propos\u00e9s. Par exemple, pour se prot\u00e9ger contre les services de connexion aux jeux, nous devons enfouir des r\u00e8gles personnalis\u00e9es dans la configuration du CDN :<\/p>\n
Il ne suffit pas d'\u00eatre technique, il faut aussi comprendre le circuit c\u00e9r\u00e9bral de l'attaquant. L'ann\u00e9e derni\u00e8re, un jeu comp\u00e9titif a \u00e9t\u00e9 la cible d'une attaque par retransmission TCP, l'attaquant a sp\u00e9cifiquement forg\u00e9 des paquets RST pour interrompre la connexion du joueur. Les CDN conventionnels ne peuvent tout simplement pas l'emp\u00eacher, et c'est finalement \u00e0 la p\u00e9riph\u00e9rie du n\u0153ud qu'il faut faire la v\u00e9rification du num\u00e9ro de s\u00e9quence TCP pour r\u00e9soudre le probl\u00e8me. Ce type de routine sale, aucun fournisseur de bataille ne peut tout simplement pas y penser.<\/p>\n
Par cons\u00e9quent, lors du choix d'un CDN \u00e0 haute d\u00e9fense, je recommande g\u00e9n\u00e9ralement aux clients de se poser les questions suivantes : le pic de d\u00e9fense est-il une ressource ind\u00e9pendante ou un pool partag\u00e9 ? Quel est le m\u00e9canisme de traitement du super pic ? Existe-t-il un cas de protection dans l'industrie du jeu ? Quel est le d\u00e9lai de nettoyage en millisecondes ? Prend-il en charge la politique personnalis\u00e9e du protocole TCP ? Ce sont toutes des le\u00e7ons tir\u00e9es du sang et des larmes.<\/p>\n
En termes de prix, la protection de base de 100G commence probablement \u00e0 20 000 \u00e0 30 000 par mois, et le budget est augment\u00e9 de 10 000 \u00e0 20 000 pour chaque 100G suppl\u00e9mentaire. Mais si vous souhaitez personnaliser la protection du protocole de jeu, le prix est directement doubl\u00e9. Certains fournisseurs s'engagent \u00e9galement dans le \u201cmod\u00e8le d'assurance\u201d, l'offre de base est bon march\u00e9, mais la facturation du trafic est tr\u00e8s importante et peut accidentellement atteindre des chiffres astronomiques. Ne croyez pas \u00e0 l'absurdit\u00e9 de la \u201cd\u00e9fense illimit\u00e9e\u201d, il n'y a pas de Thunderbolt dans ce domaine, seulement de la logique commerciale.<\/p>\n
Enfin, la v\u00e9rit\u00e9 : la d\u00e9fense de pointe est en fait un concept dynamique. Les vrais fournisseurs professionnels ne se contenteront pas d'attendre b\u00eatement que le trafic se pr\u00e9cipite et soit difficile \u00e0 transporter, mais utiliseront le r\u00e9seau Anycast pour propager le trafic d'attaque vers le centre de nettoyage mondial. \u00c0 l'instar de l'architecture CDN5, les n\u0153uds asiatiques touch\u00e9s planifient automatiquement le trafic vers les n\u0153uds europ\u00e9ens pour le nettoyer, puis, par le biais du tunnel interne, vers la source, l'utilisateur est presque imperceptible. Cette capacit\u00e9 de planification globale est bien plus importante que le simple empilement de mat\u00e9riel.<\/p>\n
En r\u00e9sum\u00e9, le jeu de CDN \u00e0 haute d\u00e9fense est un projet syst\u00e9matique, qui ne se limite pas \u00e0 l'achat d'un num\u00e9ro sur la grande tranquillit\u00e9 d'esprit. Il faut combiner le type de jeu, la r\u00e9partition des joueurs, les caract\u00e9ristiques du protocole pour choisir le type de jeu. Il est pr\u00e9f\u00e9rable de s'engager dans un test de pression en direct, de voir par soi-m\u00eame comment l'alarme de la console se d\u00e9clenche, comment la planification du trafic, la vitesse de r\u00e9ponse du service client\u00e8le. Apr\u00e8s tout, il n'y a pas de panac\u00e9e dans ce monde, il suffit de porter la bonne armure.<\/p>\n
(Je me suis soudain souvenu qu'il restait un trou \u00e0 combler : le pic de d\u00e9fense de nombreux fournisseurs n'inclut pas les attaques CC, vous devez acheter un package WAF suppl\u00e9mentaire. La prochaine fois que quelqu'un vous citera un chiffre, n'oubliez pas de poser une question compl\u00e9mentaire : \u201cCe package n'inclut pas les attaques de la couche 7 ?\u201d (changement d'expression garanti).<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, plusieurs fr\u00e8res d'exploitation et de maintenance de soci\u00e9t\u00e9s de jeux m'ont trouv\u00e9 amer, disant que le serveur chaque jour par le DDoS frapp\u00e9 la vie ne peut pas prendre soin d'eux-m\u00eames, la carte de joueur \u00e0 maudire, le t\u00e9l\u00e9phone de service \u00e0 la client\u00e8le sont presque busted. Ils m'ont pos\u00e9 la premi\u00e8re question : \u201cVous utilisez un CDN \u00e0 haute d\u00e9fense, mais vous pouvez transporter combien de G. Vous ne pouvez pas p\u00e9n\u00e9trer dans le fond ? Cette question semble simple, mais en fait l'eau est assez profonde. Comme si vous demandiez \u00e0 une voiture \u00e0 quelle vitesse elle peut rouler, le fabricant indique 300 km\/h, mais la r\u00e9alit\u00e9 n'est pas la m\u00eame, car elle d\u00e9pend de l'\u00e9tat de la route, du conducteur et du r\u00e9servoir d'essence. L'industrie du jeu est maintenant la plus touch\u00e9e par les DDoS, en particulier ceux qui ont un peu de flux de voyage de main et le jeu final, tout simplement devenir le \u201dATM\u201c du pirate informatique. J'ai vu la semaine la plus scandaleuse \u00eatre frapp\u00e9e plus d'une centaine de fois, le pic du trafic d'attaque a grimp\u00e9 \u00e0 plus de 800G, une vari\u00e9t\u00e9 de types d'attaques se succ\u00e9dant : UDP Flo<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-909","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=909"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/909\/revisions"}],"predecessor-version":[{"id":1216,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/909\/revisions\/1216"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=909"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}