Ces derniers temps, les clients posent toujours la m\u00eame question : le Baidu cloud high-defence CDN n'est finalement pas fiable ? Pour \u00eatre honn\u00eate, si cette question m'avait \u00e9t\u00e9 pos\u00e9e il y a six mois, j'aurais peut-\u00eatre d\u00fb feuilleter les documents. Mais le mois dernier, les activit\u00e9s de commerce \u00e9lectronique de notre entreprise ont \u00e9t\u00e9 touch\u00e9es par trois vagues de DDoS, le pic maximal a atteint 800 Gbps, il suffit de prendre Baidu cloud high defence pour faire un test de combat - les r\u00e9sultats sont un peu int\u00e9ressants.<\/p>\n
Commen\u00e7ons par la conclusion : ce n'est pas un produit miracle, mais il r\u00e9sout les probl\u00e8mes dans des sc\u00e9narios sp\u00e9cifiques. Si vous \u00eates tortur\u00e9 par des attaques CC et que vous devez vous lever au milieu de la nuit pour red\u00e9marrer le serveur, ou si vous ne savez pas quel service de haute d\u00e9fense choisir, cet examen du test r\u00e9el devrait pouvoir vous donner quelques r\u00e9f\u00e9rences.<\/p>\n
Tout d'abord, un CDN de haute d\u00e9fense \u00e0 la fin pour \u00e9viter quoi ?<\/strong><\/p>\n De nombreuses personnes pensent que l'achat d'un CDN \u00e0 haute d\u00e9fense leur permettra d'\u00eatre tranquilles, mais c'est en fait une pure vue de l'esprit. J'ai vu le cas le plus scandaleux, celui d'une soci\u00e9t\u00e9 financi\u00e8re sur Internet, qui a achet\u00e9 la configuration la plus \u00e9lev\u00e9e de la haute d\u00e9fense, mais qui a quand m\u00eame \u00e9t\u00e9 p\u00e9n\u00e9tr\u00e9e - il s'est av\u00e9r\u00e9 plus tard que ce sont leurs propres programmeurs qui ont expos\u00e9 le port de la base de donn\u00e9es dans le r\u00e9seau public. Soyons donc clairs : le CDN \u00e0 haute d\u00e9fense sert principalement \u00e0 pr\u00e9venir les attaques de la couche application (telles que les attaques CC, HTTP Flood) et les attaques de la couche r\u00e9seau (telles que SYN Flood, UDP reflection), mais il ne peut pas emp\u00eacher la vuln\u00e9rabilit\u00e9 de la logique d'entreprise et l'explosion des mots de passe faibles.<\/p>\n La capacit\u00e9 de nettoyage du trafic de haute s\u00e9curit\u00e9 du nuage Baidu est officiellement de 2Tbps, j'ai test\u00e9 environ 800Gbps d'attaques mixtes (SYN Flood + HTTP slow attack), le n\u0153ud n'est pas tomb\u00e9 en panne. Toutefois, il convient de noter que le processus de nettoyage aura un d\u00e9lai de 5 \u00e0 10 secondes de gigue, pour les transactions en temps r\u00e9el, il faut pr\u00e9voir un bon m\u00e9canisme de relance.<\/p>\n Deuxi\u00e8mement, la cha\u00eene de configuration comporte plus de nids-de-poule que pr\u00e9vu<\/strong><\/p>\n Ne croyez pas les vendeurs qui vous disent \u201dun acc\u00e8s par cl\u00e9\u201d. En pratique, il existe trois modes de r\u00e9solution des noms de domaine au moment de la configuration : CNAME, NS et A record. Je recommande vivement d'utiliser NS pour prendre en charge l'ensemble de la r\u00e9solution, bien qu'il faille quelques heures pour que la modification de l'enregistrement NS prenne effet, mais la pr\u00e9cision de la programmation ult\u00e9rieure est plus \u00e9lev\u00e9e. Auparavant, lorsque j'utilisais l'acc\u00e8s CNAME, je rencontrais le probl\u00e8me du cache de r\u00e9solution, et les utilisateurs d'une certaine r\u00e9gion \u00e9taient toujours renvoy\u00e9s vers l'IP source pendant deux jours cons\u00e9cutifs.<\/p>\n La configuration de la mise en cache est \u00e9galement une source d'inqui\u00e9tude. Les r\u00e8gles de mise en cache des ressources statiques par d\u00e9faut sont extr\u00eamement d\u00e9favorables aux sites dynamiques :<\/p>\n Troisi\u00e8mement, la strat\u00e9gie de prix est un peu myst\u00e9rieuse<\/strong><\/p>\n Baidu Cloud High Defence utilise un mod\u00e8le de double facturation pour la bande passante + le nombre de requ\u00eates. Le forfait de base commence \u00e0 20 000 par mois (protection de 100 Gbps + flux de 5 To), et le nombre de requ\u00eates est factur\u00e9 \u00e0 0,15 yuan par tranche de 10 000 requ\u00eates apr\u00e8s d\u00e9passement. Lors d'une de nos promotions, il y a eu soudainement 2 millions de requ\u00eates suppl\u00e9mentaires, et la facture a directement explos\u00e9 de 30 000 - on a d\u00e9couvert plus tard que le crawler fr\u00f4lait la page de d\u00e9tail du produit.<\/p>\n Comparaison de plusieurs autres : CDN5 utilisant un nombre illimit\u00e9 de requ\u00eates mais le prix unitaire de la bande passante est plus \u00e9lev\u00e9 (1Gbps \/ mois = 8000 yuans), CDN07 fournit une protection fixe de 300Gbps mais ne supporte pas l'expansion \u00e9lastique. 08Host s'est r\u00e9cemment engag\u00e9 dans les activit\u00e9s du paiement annuel de 60% de r\u00e9duction, mais le nombre de n\u0153uds n'est que la moiti\u00e9 de celui de Baidu. Pour \u00eatre honn\u00eate, il n'y a pas de solution parfaite, il n'y a que des solutions adapt\u00e9es ou non.<\/p>\n IV. donn\u00e9es sur l'effet de la protection r\u00e9elle<\/strong><\/p>\n Publier une comparaison des donn\u00e9es lorsque notre entreprise a \u00e9t\u00e9 attaqu\u00e9e :<\/p>\n Une chose \u00e0 noter est que leurs seuils par d\u00e9faut pour la protection CC sont du c\u00f4t\u00e9 conservateur. Je recommande d'ajuster les r\u00e8gles d\u00e8s l'ouverture d'un compte :<\/p>\n V. Qualit\u00e9 in\u00e9gale des n\u0153uds<\/strong><\/p>\n Baidu Cloud poss\u00e8de plus de 2000 n\u0153uds en Chine, mais la qualit\u00e9 des n\u0153uds dans les villes de troisi\u00e8me rang est nettement inf\u00e9rieure \u00e0 celle d'Aliyun. Gr\u00e2ce \u00e0 la surveillance continue de 17Monitor, nous avons constat\u00e9 que le taux de retransmission TCP de Foshan, Guiyang et d'autres n\u0153uds atteignait parfois 3% (le taux normal devrait \u00eatre inf\u00e9rieur \u00e0 0,5%). Par la suite, gr\u00e2ce \u00e0 la strat\u00e9gie de planification visant \u00e0 limiter les affaires importantes dans les n\u0153uds des 10 villes les plus importantes, le d\u00e9lai s'est imm\u00e9diatement stabilis\u00e9 dans les 30 ms.<\/p>\n Les n\u0153uds d'outre-mer sont encore plus dangereux ! Les n\u0153uds de Hong Kong prennent la ligne PCCW du soir, le taux de perte de paquets de pointe est incroyable, la latence des n\u0153uds des \u00c9tats-Unis est fondamentalement sup\u00e9rieure \u00e0 200 ms. Si vous souhaitez faire du commerce international, il est recommand\u00e9 d'utiliser Baidu cloud anti-attack + CDN5 pour combiner les programmes d'acc\u00e9l\u00e9ration.<\/p>\n VI. vitesse de r\u00e9ponse de l'assistance technique<\/strong><\/p>\n C'est l\u00e0 que j'ai le plus envie de me plaindre. Les probl\u00e8mes ordinaires sont trait\u00e9s en moyenne en 4 heures, les attaques urgentes n\u00e9cessitent un appel pour les exhorter. Contrairement \u00e0 CDN07 qui fournit des experts techniques sur place 7 \u00d7 24 heures, 08Host va m\u00eame jusqu'\u00e0 tirer les secondes WeChat de l'entreprise pour tirer la r\u00e9ponse du groupe. Cependant, Baidu Cloud propose un service cach\u00e9 : les clients qui consomment plus de 100 000 yuans par mois peuvent \u00eatre \u00e9quip\u00e9s d'un architecte exclusif, et nous avons par la suite r\u00e9duit le temps de r\u00e9ponse \u00e0 20 minutes par ce biais.<\/p>\n Sept, ne jamais ignorer la protection de la source de retour<\/strong><\/p>\n J'ai vu trop d'entreprises se contenter d'utiliser une d\u00e9fense \u00e9lev\u00e9e pour prot\u00e9ger le trafic d'entr\u00e9e, mais oublier de prot\u00e9ger les n\u0153uds non-CDN jusqu'\u00e0 la source. Il y a eu un cas tragique : l'attaquant a obtenu l'adresse IP r\u00e9elle par le biais du balayage de l'ensemble du r\u00e9seau et a p\u00e9n\u00e9tr\u00e9 directement dans la station source. Veillez \u00e0 \u00e9tablir une liste blanche dans le pare-feu du serveur :<\/p>\n VIII. quelles sont les entreprises appropri\u00e9es ?<\/strong><\/p>\n Apr\u00e8s trois mois de tests, je pense que Baidu cloud high defence convient le mieux \u00e0 ces deux types de sc\u00e9narios : 1) les principaux utilisateurs professionnels sont concentr\u00e9s dans les moyennes et grandes entreprises nationales, en particulier dans les secteurs de l'\u00e9ducation, du gouvernement et de la finance qui ont besoin d'enregistrer ; 2) les clients qui ont d\u00e9j\u00e0 utilis\u00e9 d'autres produits Baidu cloud (tels que BCC, BOS), l'interop\u00e9rabilit\u00e9 intranet peut permettre d'\u00e9conomiser beaucoup d'argent sur le co\u00fbt du trafic. S'il s'agit de commerce \u00e9lectronique transfrontalier ou de la poursuite d'activit\u00e9s de jeux \u00e0 latence extr\u00eame, il est recommand\u00e9 d'envisager d'autres solutions.<\/p>\n Enfin, la v\u00e9rit\u00e9 : il n'y a pas de solution qui puisse 100% emp\u00eacher les attaques. Plus tard, nous avons mis en place une reprise apr\u00e8s sinistre multi-CDN - Baidu cloud high defence comme protection principale, CDN5 pour effectuer une sauvegarde intelligente, le co\u00fbt mensuel a augment\u00e9 de 40%, mais il n'y a pas eu de temps d'arr\u00eat pour l'ensemble de la station. La s\u00e9curit\u00e9 est une chose telle que l'on pense g\u00e9n\u00e9ralement que l'investissement est une perte d'argent, mais en r\u00e9alit\u00e9, quelque chose se produit pour savoir qu'il s'agit d'un argent qui sauve la vie.<\/p>\n (\u00c0 la demande du vendeur, nous avons cach\u00e9 certaines des donn\u00e9es de test, mais les conclusions essentielles r\u00e9sistent \u00e0 l'examen. (Si vous souhaitez voir les graphiques sp\u00e9cifiques de suivi du trafic, vous pouvez envoyer un message priv\u00e9 pour \u00e9changer - n'oubliez pas d'indiquer l'intention, r\u00e9cemment le crawler d'ajouter trop de microblogging).<\/p>","protected":false},"excerpt":{"rendered":" Ces derniers temps, les clients posent toujours la m\u00eame question : le Baidu cloud high-defence CDN n'est finalement pas fiable ? Pour \u00eatre honn\u00eate, si cette question m'avait \u00e9t\u00e9 pos\u00e9e il y a six mois, j'aurais peut-\u00eatre d\u00fb feuilleter les documents. Mais le mois dernier, le commerce \u00e9lectronique de notre entreprise a \u00e9t\u00e9 frapp\u00e9 par trois vagues de DDoS, le pic maximal a atteint 800 Gbps, il suffit de prendre Baidu cloud high defense pour faire un test de combat - les r\u00e9sultats sont bien, un peu int\u00e9ressant. Premi\u00e8re conclusion : il ne s'agit pas d'un produit miracle, mais il peut r\u00e9ellement r\u00e9soudre des probl\u00e8mes dans des sc\u00e9narios sp\u00e9cifiques. Si vous \u00eates tortur\u00e9 par des attaques CC au milieu de la nuit pour vous lever et red\u00e9marrer le serveur, ou si vous \u00eates emp\u00eatr\u00e9 dans le choix des services de haute d\u00e9fense, ce test devrait pouvoir vous donner quelques r\u00e9f\u00e9rences. Tout d'abord, qu'est-ce que le CDN \u00e0 haute d\u00e9fense doit finalement \u00e9viter ? Beaucoup de gens pensent que l'achat d'un CDN \u00e0 haute d\u00e9fense leur permettra d'\u00eatre tranquilles, mais en fait, ils en veulent plus. J'ai vu le cas le plus scandaleux, celui d'une soci\u00e9t\u00e9 financi\u00e8re sur Internet<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-993","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=993"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/993\/revisions"}],"predecessor-version":[{"id":1132,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/993\/revisions\/1132"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=993"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}