その夜、サーバーの監視アラームが死の願望のように鳴り響き、私は高騰トラフィック曲線の画面を見つめ、心臓がドキドキ:終了し、DDoSに走った。3時間後、サイトがかろうじて復元されたが、注文データは、上司の多数を失い、黒の顔は、インクを滴り落ちることができます。この問題は、私は完全に理解することができ、高防御サーバーを選択し、本当に安いとトラブルを保存図することはできません - 一度植え、コストが重いです。
だから、我々は今日、釣りのドライは言った虚偽を再生しないでください:高防御サービスプロバイダの束から目眩ましする方法、信頼性の高い “ハード無精ひげ ”をふるいにかける。私は小さな10年のためにクロールと戦いのこの行にされている、何人かの人々がより多くのサーバーを見ているよりもピットを踏んで、次の経験は、あなたが準右翼に耳を傾ける。
市場の現状について話そう。今、IDCはあえて高防御に従事していると言い、キャベツのような販売で数百Gの防御をマークしている。しかし、ここには多くの水がある。私はいくつかの企業がいわゆる “高防衛 ”は、実際には、通常のサーバーには、クラウドのファイアウォールのルールを設定することです本当に持続的な攻撃に遭遇し、すぐに元の形状を示すことがわかった。より多くの絶望的な、売られ過ぎの帯域幅があり、通常は冷静に見える、全体のIPセグメントが麻痺しているヒットは、隣人の攻撃はあなたを暗示することができます。
ディフェンス能力は生命線であり、重要な鍵を握っている。Tレベルのクリーニング・センターがあります」というセールストークに耳を傾けるだけでなく、次のことを明確に問う必要がある:防御はローカルのハードウェア・ファイアウォールなのか、クラウド・クリーニングなのか?クリーニングノードはどこに配置されているのか?攻撃のレスポンス・タイムは?私は通常、最新の攻撃防御レポートを提出するよう求めるか、テストIPを要求し、自分の手で見てみることにしている。昨年、私はかなり有名なサービスプロバイダをテストし、広告が空高く吹き飛ばされ、私のスクリプトの結果は、圧力、膝の上に10G未満のトラフィック - カスタマーサービスはまた、ハード “テストが標準化されていない ”と述べたので、私は直接黒を引っ張るように怒っている。
また、テスト方法についても言えることがある。基本的なHTTPフラッドに加え、CCアタックやスローアタックが一般的になっている。ここでは、CCリクエストをシミュレートする簡単なPythonスクリプトを紹介する。
このスクリプトはあくまで自分のサーバーをテストするためのもので、他のサーバーをいじるために使ってはいけない。昔、あるサービス・プロバイダーをテストするために同じような方法を使ったことがある。その結果、彼らのファイアウォールが直接私のIPを引き抜き、カスタマーサービスがストレステストをしているかどうか尋ねるために電話をかけてきた。クリーニング・センターが数分以内にそれを特定し、軽減することができれば、その家の技術基盤は悪くないはずだ。
回線品質はユーザー体験に直接影響する。防御力の高いサーバーは、トラフィックのクリーニングによる迂回路があるため、遅延が大きくなることがよくあります。特に中国でのビジネスの場合は、BGP回線とCN2直結ノードに注目することをお勧めします。Smokepingのような長期監視用のツールを使って、レイテンシーとパケットロス率を記録してください。このデータは最も信頼できるものです。
昨年、私は5〜6を比較し、テストの週を実行し、香港ノードの “CDN07 ”は、防衛文が美しいだけでなく、回線もバッチ安定しているだけでなく、高防御を選択するゲーム会社を助けた40ミリ秒未満の平均遅延は、パケット損失率はほぼゼロです。彼らのクリーニング戦略は、いくつかのベンダーとは異なり、非常にインテリジェントな、ワンサイズ-フィット-オール、通常のトラフィックを殺す。もちろん、これはあなたがそれを選択しなければならないと言うことではありませんが、このバランスを見つける必要があります:防衛は冷酷であり、行はPPTに固執することはできません。
アフターサービス、私は血まみれの損失を被った。一度早朝に攻撃され、サービスプロバイダを呼び出すと、側は技術を回すために半日吃音ので、クリーニングが有効になり、黄色い花が寒いです。だから今、私はテクニカルサポートチャネルを見て最初の商人を選択:電話、オンラインカスタマーサービス、受注システムがありますか?応答時間のコミットメントは何ですか?それは、専用の顧客サービスラインを提供することをお勧めします、それはより多くのお金を費やす価値がある。それらの “24/7自動保護 ”ナンセンスを信じてはいけません。本当に複雑な攻撃に遭遇した場合、手動分析に頼ることもある。
私の現在のパートナーは、10分以内に受注が戻ってくる必要があり、エンジニアが直接私のビジネスロジックを理解することができ、クリーニングのルールを調整する - この経験は、どのような広告が有用であるよりも。私はまた、より法外な、いくつかの中小企業の受注は一日をドラッグして見てきましたし、最終的に “推奨アップグレードパッケージ”、純粋なフーリガンを投棄した。
価格面では、高いディフェンス・サービスはあらゆるペニーを払う価値がある。金額に見合った価値を計算する必要がある。例えば、基本的な防御力は低価格だが、過負荷後のクリーニング料金が恐ろしく高い業者もあれば、クリーニングを無制限にパックする業者もある。私は契約書に隠された条項、特に「ピーク攻撃への対応」や「トラフィック超過料金の請求」の詳細をすべて拾い出す癖がある。一度だけ罠にはまりそうになったことがある。契約書には「50G未満の攻撃に対する防御は無料」と書いてあるのだが、小さな活字には「UDPフラッドのみを含む」と書いてあり、他のタイプの攻撃は別途請求されるのだ!この言葉遊び、擁護のしようがない。
契約といえば、SLA(サービス・レベル・アグリーメント)を一読しなければならない。守備範囲は明確に書かれているか?清掃時間はどのくらい約束されているか?障害が発生した場合の補償は?99.9%の可用性保証」と書いておきながら、DDoS攻撃期間を除外している事業者を見たことがあるが、これはロクなものではない?つまり、白か黒か、がキーワードです。私の現在の習慣は、法律関係の友人に手伝ってもらって、契約書をスキャンすることです。
もうひとつのヒントは、サービス・プロバイダーの顧客事例と業界の評判を見ることだ。
彼は金融、ゲームやその他の高リスクの業界を提供することができます場合は、強さは一般的にあまりにも悪くはない。私は最近、ゲーム保護の “08Host ”は非常に罰金、UDPフラッド防御の最適化、百Gレベルの攻撃の数を運ぶために、顧客からのフィードバック、および戦争と同じくらい速い顧客サービスの応答、真夜中の3時に人々を見つけるためにターゲットを絞ったことに気づいた。しかし、またはその古いことわざ:あなたのビジネスに合ったものが最善です。ただブランドの後光を見てはいけない、実際のパフォーマンスは厳しい真実である。
DDoS対策サーバー普段は使わないが、事故が起きたら命を救うために頼らなければならない。そのため、設定がずさんであることは許されません。私は基本的なNginxの保護の構成例を共有し、高い防御サービスと組み合わせることで、アプリケーション層の攻撃の多くを運ぶことができます。
この構成をテストしたところ、ほとんどのCCやスロー攻撃をブロックすることができたが、それは高防御力のバックエンドが強力な場合に限られる。クリーニングセンターが機能しなければ、ソフトウェア構成だけでは焼け石に水だ。したがって、サービス・プロバイダーを選ぶ際には、私はいつもこう尋ねることにしている:カスタムWAFルールを提供できるか?クリーニングノードはグローバルに分散されていない?データ比較ダウン、いくつかの商人アジアのノードが強く、欧州と米国は股を引っ張るために、いくつかのグローバルにバランスが取れている。たとえば、08Hostは、私は彼らのエニーキャストネットワーク、クリーニングの近くに攻撃トラフィックをテストし、遅延制御は、国際ビジネスに適した良いです。
最後に一言。高い防御力を誇るサーバーは永久的なものではありません。攻撃方法は日々変化するため、サービス・プロバイダーと定期的に連絡を取り合い、戦略を調整する必要がある。ちなみに私自身の習慣は、四半期ごとにストレステストを行い、アップグレード可能な新しいプログラムがあるかどうかを確認することだ。昨年、ゼロデイ攻撃が発生しましたが、私はサービス・プロバイダーと協力して、率先してルールのアップデートを押し進め、攻撃が来るのを待たずに防ぐことができました。
防御力の高いサーバーを選ぶことは、結局のところ、システマティックなプロジェクトである。防御力のハード面からサービスのソフト面まで、回線の品質から料金条件まで、各リンクはしっかりと張られていなければならない。初期段階でのトラブルは多く、後期段階でのトラブルは少ない。私はこれらの暴言が落とし穴を避けるために役立つことを願っています。あなたが特定のシナリオがわからない場合は、口うるさくいつでも私に来ることを歓迎します。結局のところ、長い間ミキシングのこの行では、達成感の最大の感覚は、他の人が少ない回り道を参照してくださいすることです。