La nuit derni\u00e8re, \u00e0 3 heures du matin, le groupe de combat a soudainement explos\u00e9. \"Le serveur est \u00e0 nouveau bloqu\u00e9 sur PPT ! \"Quelqu'un fait un DDoS malveillant sur le serveur, c'est \u00e7a ? Je ne peux m\u00eame pas me connecter !\" J'ai regard\u00e9 l'\u00e9cran rempli de plaintes, j'ai bu une gorg\u00e9e de caf\u00e9, j'ai copi\u00e9 le clavier et j'ai commenc\u00e9 \u00e0 v\u00e9rifier les journaux - bien s\u00fbr, il s'agissait d'une attaque de type trafic, le pic a grimp\u00e9 \u00e0 300 Gbps, et les n\u0153uds CDN ordinaires ont \u00e9t\u00e9 directement transperc\u00e9s. Qui n'a pas v\u00e9cu ce genre de sc\u00e8ne plusieurs fois dans l'industrie du jeu ? Mais \u00e0 chaque fois que j'y suis confront\u00e9, ma pression sanguine est \u00e0 son comble.<\/p>\n
L'industrie du jeu et les sites web ordinaires ne sont pas les m\u00eames, une latence \u00e9lev\u00e9e de 50 ms permet aux joueurs de maudire la rue, le serveur s'arr\u00eate dix minutes apr\u00e8s l'inflammation directe de la communaut\u00e9. Sans parler des pirates qui s'en prennent aux jeux populaires, plusieurs gigaoctets par seconde de trafic ind\u00e9sirable se pr\u00e9cipitent, ce qui ne peut emp\u00eacher le service de s'arr\u00eater et de perdre de l'argent. J'ai vu trop d'\u00e9quipes utiliser la \"protection gratuite\" de fournisseurs de cloud ordinaires pour pas cher, pour d\u00e9couvrir que la bande passante n'est m\u00eame pas suffisante pour se remplir les dents lorsqu'elles sont vraiment touch\u00e9es.<\/p>\n
Pourquoi les CDN ordinaires ne peuvent-ils pas mener des attaques de jeu ? Premi\u00e8rement, le m\u00e9canisme de mise en cache n'est tout simplement pas adapt\u00e9. Les donn\u00e9es de jeu sont des interactions en temps r\u00e9el, les requ\u00eates dynamiques repr\u00e9sentent plus de 90%, le cache CDN est solitaire ; deuxi\u00e8mement, la capacit\u00e9 de nettoyage est un faux standard. De nombreux fournisseurs \u00e9crivent une \"protection de niveau T\" qui est en fait un cluster partag\u00e9, un coup de la r\u00e9gion enti\u00e8re ensemble avec la carte ; troisi\u00e8mement, la qualit\u00e9 du n\u0153ud varie. Les joueurs pensent qu'ils utilisent l'Internet par satellite.<\/p>\n
Un CDN vraiment professionnel pour les jeux \u00e0 haute d\u00e9fense doit r\u00e9pondre \u00e0 trois indicateurs difficiles en m\u00eame temps :latence ultra-faible<\/strong>\u3001Nettoyage de pr\u00e9cision<\/strong>\u3001Soutien \u00e0 l'informatique de pointe<\/strong>. La latence doit \u00eatre contr\u00f4l\u00e9e dans les 30 ms, le nettoyage doit \u00eatre capable de reconna\u00eetre les caract\u00e9ristiques du protocole de jeu (comme les paquets d'\u00e9change du moteur UE4), et il doit \u00e9galement prendre en charge les op\u00e9rations de logique de bord pour g\u00e9rer une partie de la logique du jeu. De nos jours, m\u00eame les CDN doivent \"pr\u00e9venir les co\u00e9quipiers\" - certaines attaques sont m\u00eame des services de chantage achet\u00e9s par des pairs.<\/p>\n J'ai test\u00e9 une douzaine de fournisseurs de services sur le march\u00e9, et j'en ai choisi trois que je peux vraiment jouer \u00e0 dire. Tout d'abord, un test purement autofinanc\u00e9 sans publicit\u00e9, certains fournisseurs m'ont envoy\u00e9 un compte de test que j'ai refus\u00e9, je me suis simplement fix\u00e9 un objectif.<\/p>\n Routes d'acc\u00e9l\u00e9ration du jeu mondial du CDN5<\/strong>C'est le plus stable que j'ai utilis\u00e9 cette ann\u00e9e. Ils font sp\u00e9cifiquement l'optimisation du protocole de jeu, l'algorithme d'acc\u00e9l\u00e9ration TCP est un peu une chose, le d\u00e9lai du n\u0153ud asiatique est fondamentalement press\u00e9 dans les 20ms. La capacit\u00e9 de l'anti-D \u00e0 mener \u00e0 bien le test r\u00e9el 480Gbps attaques mixtes, la cl\u00e9 est de ne pas perdre de paquets. L'exemple de configuration n'est en fait pas compliqu\u00e9 :<\/p>\n N'oubliez pas de mettre le sous-domaine du jeu CNAME dans la r\u00e9solution DNS vers le domaine prot\u00e9g\u00e9 qu'ils fournissent, le trafic passe par le centre de nettoyage avant de retourner \u00e0 la source. Je recommande d'activer leur fonction \"Intelligent Protocol Analysis\", qui identifie automatiquement les caract\u00e9ristiques du trafic des moteurs Unity et Unreal, avec un taux de faux positifs bien inf\u00e9rieur \u00e0 celui des bases de r\u00e8gles traditionnelles.<\/p>\n R\u00e9seau de jeux Anycast de CDN07<\/strong>Il est particuli\u00e8rement adapt\u00e9 aux projets de distribution \u00e0 l'\u00e9tranger. Ils utilisent BGP Anycast pour diffuser la m\u00eame IP \u00e0 plus de 60 n\u0153uds dans le monde, et les joueurs se connectent automatiquement au n\u0153ud le plus proche. Le plus grand avantage est que le trafic d'attaque est dilu\u00e9 au n\u0153ud le plus proche et ne sera pas facilement p\u00e9n\u00e9tr\u00e9 comme le serait une protection \u00e0 point unique. Toutefois, il est important de noter que l'acc\u00e9l\u00e9ration TCP doit \u00eatre activ\u00e9e moyennant un co\u00fbt suppl\u00e9mentaire et que la configuration par d\u00e9faut n'est optimis\u00e9e que pour l'UDP.<\/p>\n J'ai d\u00e9lib\u00e9r\u00e9ment choisi l'heure de pointe du soir pour effectuer le Speedtest, la latence du lien entre Tokyo et Los Angeles peut en fait \u00eatre supprim\u00e9e \u00e0 environ 110 ms, alors que la ligne g\u00e9n\u00e9rale est de plus de 180 ms. La strat\u00e9gie de d\u00e9fense est tr\u00e8s agressive, directement sur l'attaque pr\u00e9sum\u00e9e, l'interception de la couche de liaison IP, l'inondation SYN de 700Gbps mesur\u00e9e sans fluctuations. Mais il y a un petit b\u00e9mol : la restriction du flux de l'API de leur console est tr\u00e8s stricte, n'oubliez pas de tester \u00e0 nouveau le m\u00e9canisme lors du d\u00e9ploiement de l'automatisation.<\/p>\n Niche domestique mais bonne08Host<\/strong>La premi\u00e8re chose que je voudrais dire, c'est que je ne suis pas s\u00fbr de pouvoir le faire. Le prix n'est que la moiti\u00e9 de celui des grands fabricants, mais la d\u00e9fense peut r\u00e9ellement transporter 300 Gbps. J'ai d\u00e9mantel\u00e9 leur logique de nettoyage du trafic, en utilisant en fait des puces FPGA pour faire correspondre les r\u00e8gles, plus rapidement que le nettoyage logiciel avec un retard de 3 fois. L'inconv\u00e9nient est que le nombre de n\u0153uds est faible, seuls les utilisateurs nationaux et d'Asie du Sud-Est, d'Europe et des \u00c9tats-Unis doivent trouver un autre programme.<\/p>\n N'oubliez pas d'activer le mode \"Game Shield\" lors de la configuration, il s'agit d'une fonctionnalit\u00e9 essentielle :<\/p>\n Ne croyez pas la propagande mensong\u00e8re de la \"protection illimit\u00e9e\". L'ann\u00e9e derni\u00e8re, un fournisseur s'est vant\u00e9 d'une protection de 1Tbps, mais nous avons test\u00e9 400Gbps et l'avons p\u00e9n\u00e9tr\u00e9, et la r\u00e9ponse au bon de travail \u00e9tait en fait \"Nous recommandons de passer \u00e0 la version personnalis\u00e9e pour l'entreprise\". Aujourd'hui, je vois ce genre de slogan fermer directement la page.<\/p>\n Les effets de la d\u00e9fense dans le monde r\u00e9el sont \u00e0 voirPr\u00e9cision du nettoyage<\/strong>\u548cratio du d\u00e9bit de retour<\/strong>. Certains fournisseurs dirigent tout le trafic d'attaque vers le centre de nettoyage, mais manquent encore beaucoup de paquets inutiles lorsqu'ils retournent \u00e0 la source. Ma m\u00e9thode de test habituelle est la suivante : utiliser hping3 pour simuler 100 000pps d'ACK Flood, tout en ex\u00e9cutant iperf3 pour mesurer la latence du trafic normal. Un bon CDN devrait faire en sorte que les fluctuations de latence iperf3 soient inf\u00e9rieures \u00e0 5%, une mauvaise latence s'accompagnant de la mort de la carte.<\/p>\n Il y a encore un petit d\u00e9tail :panneau de surveillance<\/strong>Vous devez \u00eatre en mesure de voir le type d'attaque en temps r\u00e9el. Lorsque j'ai \u00e9t\u00e9 confront\u00e9 \u00e0 une attaque par amplification de r\u00e9flexion, la console d'un fournisseur n'affichait qu'une \"anomalie de trafic\", et je me suis fi\u00e9 \u00e0 ma propre capture de paquets pour d\u00e9couvrir qu'il s'agissait d'une r\u00e9flexion NTP. Plus tard, je suis pass\u00e9 \u00e0 un fournisseur capable d'afficher les vecteurs d'attaque et, d'un seul coup d'\u0153il, j'ai pu voir que \"60% est une r\u00e9flexion de Memcached\" - c'est le genre d'informations que l'O&M souhaite obtenir.<\/p>\n Si le budget est limit\u00e9, il est recommand\u00e9 d'utiliser une solution hybride : utiliser un CDN bon march\u00e9 pour les ressources statiques, et prendre une ligne de d\u00e9fense \u00e9lev\u00e9e pour la communication principale du jeu. Une fois, une \u00e9quipe a plac\u00e9 le site web officiel et l'API du jeu sous le m\u00eame nom de domaine, ce qui a eu pour r\u00e9sultat de faire tomber le site web officiel et m\u00eame le login du jeu - le CDN ne peut pas \u00eatre tenu pour responsable.<\/p>\n Un dernier commentaire tyrannique : l'affaire des CDN \u00e0 haute d\u00e9fense.Mieux vaut une redondance qu'un coup de chance.<\/strong>J'ai vu trop d'\u00e9quipes penser \"nous sommes petits et personne ne peut nous battre\". J'ai vu trop d'\u00e9quipes penser \"Notre jeu est petit, personne ne peut nous battre\", puis se faire battre et pleurer le jour du lancement. De nos jours, les ma\u00eetres chanteurs ont des scripts de surveillance qui recherchent automatiquement les lancements de nouveaux jeux, donc si vous n'avez pas mis en place la bonne protection, vous ne ferez qu'envoyer les gens se faire voir. Il est dix fois moins co\u00fbteux d'effectuer des tests de r\u00e9sistance \u00e0 l'avance et de simuler les performances de l'entreprise sous l'impact d'un trafic de 200 Gbps que de rem\u00e9dier \u00e0 la situation apr\u00e8s coup.<\/p>\n Cas r\u00e9el : L'ann\u00e9e derni\u00e8re, un jeu secondaire a utilis\u00e9 une combinaison de programmes - CDN5 pour g\u00e9rer le trafic asiatique, CDN07 pour couvrir l'Europe et les \u00c9tats-Unis, et 08Host comme ligne de secours. La ligne a subi un DDoS pendant une semaine, le plus haut niveau atteignant 800 Gbps, mais les joueurs ne l'ont pas per\u00e7u. Le responsable de l'exploitation et de la maintenance m'a dit plus tard que l'argent suppl\u00e9mentaire d\u00e9pens\u00e9 n'est rien compar\u00e9 \u00e0 la perte de la suspension du service.<\/p>\n En fin de compte, choisir un CDN \u00e0 haute d\u00e9fense est comme acheter une assurance - on a g\u00e9n\u00e9ralement l'impression de gaspiller de l'argent, mais quand quelque chose arrive, c'est une paille qui sauve la vie. Indicateurs cl\u00e9s pour voir la puissance de d\u00e9fense : les donn\u00e9es de d\u00e9lai pour les tests de tiers (tels que PingTools pour mesurer les n\u0153uds globaux), la capacit\u00e9 de d\u00e9fense pour voir le rapport de test de pression r\u00e9el, ne pas croire \u00e0 la rh\u00e9torique marketing du site Web officiel. N'oubliez pas que le CDN qui vous permet de dormir sur vos deux oreilles est un bon CDN.<\/p>","protected":false},"excerpt":{"rendered":" La nuit derni\u00e8re, \u00e0 3 heures du matin, le groupe de combat a soudainement explos\u00e9. \"Le serveur est \u00e0 nouveau bloqu\u00e9 sur PPT ! \"Quelqu'un fait un DDoS malveillant, c'est \u00e7a ? Je ne peux m\u00eame pas me connecter !\" J'ai regard\u00e9 l'\u00e9cran rempli de plaintes, j'ai bu une gorg\u00e9e de caf\u00e9, j'ai copi\u00e9 le clavier et j'ai commenc\u00e9 \u00e0 v\u00e9rifier les journaux - bien s\u00fbr, il s'agissait d'une attaque de type trafic, le pic a grimp\u00e9 jusqu'\u00e0 300 Gbps, et les n\u0153uds CDN ordinaires ont \u00e9t\u00e9 directement transperc\u00e9s. Qui n'a pas v\u00e9cu ce genre de sc\u00e8ne plusieurs fois dans l'industrie du jeu ? Mais chaque fois que j'y suis confront\u00e9, ma pression sanguine est \u00e0 son comble. L'industrie du jeu et les sites web ordinaires ne sont pas les m\u00eames, la latence \u00e9lev\u00e9e de 50 ms permet aux joueurs de maudire la rue, le temps d'arr\u00eat du serveur de dix minutes de la communaut\u00e9 directement sur l'inflammation. Sans parler des pirates qui choisissent des jeux populaires pour commencer, plusieurs gigaoctets de trafic de d\u00e9chets par seconde se pr\u00e9cipitent, ne peuvent pas emp\u00eacher le service d'attendre de s'arr\u00eater et de perdre de l'argent. J'ai vu trop d'\u00e9quipes utiliser la \"protection gratuite\" des fournisseurs de cloud ordinaires pour pas cher, et ce n'est que lorsqu'elles sont vraiment touch\u00e9es qu'elles sont touch\u00e9es par la \"protection gratuite\" des fournisseurs de cloud.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-926","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=926"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/926\/revisions"}],"predecessor-version":[{"id":1199,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/926\/revisions\/1199"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=926"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}