BGP高防業(yè)務(wù)需求

1、業(yè)務(wù)需求描述

·有業(yè)務(wù)能付得起高昂的高防IP費(fèi)用么？

中國(guó)線上棋牌類游戲從98年的聯(lián)眾游戲、2003年的QQ游戲，到2008年德州撲克、2009年的捕魚，在到2016年的閑徠游戲，開拓了俗人線上棋牌游戲的模式。游戲行業(yè)掀起了腥風(fēng)血雨的蔓延，到2017年6~7月期間全國(guó)大大小小的棋牌公司有上百家。

業(yè)務(wù)模式：熟人4個(gè)人可以通過(guò)手機(jī)打麻將，游戲公司收取的是桌臺(tái)費(fèi)，通過(guò)總代的方式拉攏客源進(jìn)入棋牌游戲群里，假設(shè)一場(chǎng)麻將10幾分鐘，收取6塊錢桌臺(tái)費(fèi)，那么線下渠道拉客源可以給到4塊，通過(guò)病毒式的傳播后，省內(nèi)Top棋牌類公司一天的營(yíng)業(yè)額大約在10幾或者幾十萬(wàn)不等。這樣競(jìng)爭(zhēng)對(duì)手看到這么暴力的營(yíng)收都坐不住了，紛紛研發(fā)棋牌游戲，但是一個(gè)省玩麻將的就這么些人，自然的相互攻擊的現(xiàn)象時(shí)有發(fā)生，如果你的App服務(wù)器訪問(wèn)不了，大家都上其他家App玩了。

2、解決方案選擇

·為什么要使用BGP高防？

游戲公司有錢支付抗D的費(fèi)用，那么DDoS防御的需求就發(fā)展起來(lái)了。那么傳統(tǒng)的抗D解決方案能滿足需求么？答案是不行的，因?yàn)槠迮朴螒虻膶?shí)時(shí)要求非常高，在高延時(shí)的情況下，會(huì)嚴(yán)重影響用戶體驗(yàn)。所以需要，絕對(duì)好的線路，傳統(tǒng)的單線高防，在運(yùn)營(yíng)商之前切換延時(shí)無(wú)法滿足業(yè)務(wù)需求。

·為啥用3線BGP高防？

傳統(tǒng)的BGP高防機(jī)房，都是使用自建BGP機(jī)房資源做，這種IDC也只有騰訊會(huì)有，而且費(fèi)用昂貴。大家都知道BGP線路都是優(yōu)先給公有云IAAS服務(wù)的，拿來(lái)做高防太浪費(fèi)了（BGP線路是普通單線的至少3倍以上價(jià)格），而且這種BGP線路，一般都也只有100G左右，不會(huì)有更大的帶寬。這種針對(duì)棋牌類的攻擊一般都在200G~300G左右，當(dāng)時(shí)和閑徠聊過(guò)，他們業(yè)務(wù)高峰的時(shí)候攻擊量是平均500G~700G。這么大的帶寬存BGP機(jī)房是無(wú)法承受的。

·CDN與三線BGP高防聯(lián)營(yíng)

如果直接和運(yùn)營(yíng)商談這個(gè)機(jī)房只做高防機(jī)房，其實(shí)這是非常虧的，因?yàn)楦叻赖牧髁亢艽�，攻擊時(shí)間也不確定，那么，如果我們使用CDN網(wǎng)絡(luò)中的其中一個(gè)節(jié)點(diǎn)做高防機(jī)房，CDN使用出口帶寬，高防使用入口帶寬。這樣帶寬利用率會(huì)上升很多。如果按照出入向1：5的比例，80G CDN流量可以換400G入口流量。如果按照平均8元/Mbps.月, CDN的運(yùn)營(yíng)費(fèi)用：160萬(wàn)。如果你量用到了，其實(shí)高防是免費(fèi)用的。當(dāng)然，你要集中這個(gè)省的幾個(gè)節(jié)點(diǎn)，一般一個(gè)CDN節(jié)點(diǎn)按照20G規(guī)劃。

BGP高防架構(gòu)

有了以上論證，我們有了三線BGP高防，那么，下一步要做什么呢？大家都知道高防切換是使用cname的方式做切換。其實(shí)如果你在游戲終端安裝一個(gè)安全sdk，切換這就完全擺脫cname的方式，可以使用WebDNS切換。也就是阿里云的游戲盾模式。游戲盾相關(guān)的介紹可以參考我以前的文章。本節(jié)主要是講我們?nèi)�線BGP高防如何工作。

一、高防系統(tǒng)架構(gòu)

二、轉(zhuǎn)發(fā)模塊

·模塊作用

轉(zhuǎn)發(fā)模塊在整個(gè)高防系統(tǒng)中起到至關(guān)重要的作用，把用戶的真實(shí)IP隱藏到轉(zhuǎn)發(fā)系統(tǒng)后面，配合用戶通過(guò)cname方式切換現(xiàn)有業(yè)務(wù)系統(tǒng)到高防機(jī)房，同時(shí)把清洗后的正常流量轉(zhuǎn)發(fā)給真正的用戶業(yè)務(wù)系統(tǒng)。

·功能描述

轉(zhuǎn)發(fā)系統(tǒng)分為4層轉(zhuǎn)發(fā)和7層轉(zhuǎn)發(fā)，針對(duì)棋牌類App業(yè)務(wù)數(shù)據(jù)使用4層轉(zhuǎn)發(fā)，升級(jí)等系統(tǒng)使用7層轉(zhuǎn)發(fā)（一般都是掛在CDN上的一個(gè)url下載地址）

·原理

4層轉(zhuǎn)發(fā)

高防機(jī)房一般會(huì)分配幾個(gè)C段高防IP端，這些IP就是給轉(zhuǎn)發(fā)模塊用的，我們假定它為IP1

realIP1是用戶業(yè)務(wù)源站IP地址

graph LR
A[clientIP:TCP:2004] 
A--> |正常訪問(wèn)| B[IP1:TCP:2004]
    B--> |4層轉(zhuǎn)發(fā)| C[realIP1:TCP:10000]
    C--> |4層轉(zhuǎn)發(fā)| D[用戶業(yè)務(wù)源站]

7層轉(zhuǎn)發(fā)

graph LR
A[clientIP:TCP:80] 
A--> |正常訪問(wèn)| B[IP1:TCP:80]
    B--> |4層轉(zhuǎn)發(fā)| C[realIP1:TCP:80]
    C--> |7層轉(zhuǎn)發(fā)| D[用戶業(yè)務(wù)源站]

·業(yè)務(wù)流程

1、用戶在控制臺(tái)創(chuàng)建高防IP，系統(tǒng)會(huì)在剩余的高防IP列表中隨機(jī)選一個(gè)IP地址。

2、然后通知lvs系統(tǒng)建立pool，通過(guò)pool建立虛擬IP，然后建立對(duì)應(yīng)member IP（回源IP）

3、設(shè)置完以上參數(shù)，需要等待用戶把我們產(chǎn)生的隨機(jī)域名設(shè)置到他們生產(chǎn)網(wǎng)站別名。

4、啟動(dòng)BGP高防，借助CDN的DNS系統(tǒng)，當(dāng)聯(lián)通用戶，根據(jù)不同線路解析到對(duì)應(yīng)的聯(lián)通高防機(jī)房，電信、移動(dòng)也一樣。

5、不使用的時(shí)候可以切換到回源IP上。

返回VIP是否分配成功。

三、清洗系統(tǒng)

·模塊組成

一般清洗模塊要配合檢測(cè)模塊配合使用，我們先把檢查模塊使用NTA標(biāo)識(shí)，清洗模塊使用ADS標(biāo)識(shí)。

檢查模塊負(fù)責(zé)：需要統(tǒng)計(jì)各個(gè)高防IP對(duì)進(jìn)入高防機(jī)房的流量，傳統(tǒng)檢測(cè)手段，例如綠盟的NTA使用netflow和交換機(jī)配合，主要是準(zhǔn)確性差一些。建議還是使用大數(shù)據(jù)方式計(jì)算其流量（spark streaming 統(tǒng)計(jì)各種包的數(shù)量，聚合計(jì)算檢測(cè)），一旦出現(xiàn)流量超出通知核心交換丟棄目的IP所有流量。

清洗模塊負(fù)責(zé)：需要在用戶購(gòu)買的黑洞閾值內(nèi)對(duì)攻擊流量做清洗。針對(duì)4層DDoS攻擊流量，比如：Syn Flood PPS達(dá)到8000的時(shí)候，啟動(dòng)清洗，這就需要流量學(xué)習(xí)的技術(shù)。動(dòng)態(tài)設(shè)定PPS。清洗模塊是由集群組成，單臺(tái)處理能力能達(dá)到40G，小包20G能力，一般一個(gè)高防機(jī)房需要400G，一個(gè)機(jī)架柜搞定。針對(duì)7層的攻擊流量，要測(cè)量一下 nginx服務(wù)器大小，一臺(tái)服務(wù)器http處理能力大約8萬(wàn)QPS，4臺(tái)4層轉(zhuǎn)發(fā)lvs+8臺(tái)7層轉(zhuǎn)發(fā)nginx。兩個(gè)機(jī)架柜。如果是https處理能力大約在7000~8000QPS，一般加SSL加速卡。提升其單臺(tái)服務(wù)器處理能力。一個(gè)集群處理7層流量大約60萬(wàn)QPS，4層清洗能力大約400G。

·業(yè)務(wù)流程

1、分線路解析

2、流量檢測(cè)發(fā)布黑洞路由=>對(duì)應(yīng)套餐上限

3、經(jīng)過(guò)4層流量清洗。

4、經(jīng)過(guò)lvs+nginx做4/7層轉(zhuǎn)發(fā)CC清洗。

5、清洗完成后把干凈數(shù)據(jù)轉(zhuǎn)發(fā)給用戶源站。

四、管控中臺(tái)

·功能

主要是完成用戶購(gòu)買高防套餐，對(duì)高防IP的自動(dòng)分配，設(shè)置DNS分線路解析。

同時(shí)要采集攻擊流量圖，連接數(shù)，攻擊告警，顯示給用戶。

五、調(diào)度系統(tǒng)

·網(wǎng)絡(luò)狀況感知

主要是通過(guò)CDN撥測(cè)系統(tǒng)，了解目標(biāo)用戶的網(wǎng)絡(luò)狀況，通過(guò)延時(shí)和丟包率統(tǒng)計(jì)上來(lái)，作為調(diào)度系統(tǒng)決策手段，一般延時(shí)不能大于100ms，丟包率一般不要大于5%，BGP線路一般都是2%左右。監(jiān)控準(zhǔn)確性取決于CDN撥測(cè)點(diǎn)數(shù)和反饋數(shù)據(jù)準(zhǔn)確性。后臺(tái)可以通過(guò)tsdb存儲(chǔ)。

·調(diào)度

一般通過(guò)手工調(diào)度，調(diào)度功能有：

@1、調(diào)度算法，根據(jù)網(wǎng)絡(luò)狀況感知模塊決定，降級(jí)/升級(jí)調(diào)度（取決于機(jī)房的延時(shí)和丟包率定義升降），

@2、調(diào)度管理：調(diào)度首先要明確你的調(diào)度對(duì)象，針對(duì)哪個(gè)用戶，哪個(gè)線路進(jìn)行調(diào)度。還是整個(gè)機(jī)房調(diào)度。如果整個(gè)機(jī)房由于特殊的原因無(wú)法使用，需要把這個(gè)機(jī)房所有用戶調(diào)度到其他可用機(jī)房，如果我們有單線機(jī)房，我們可以在BGP機(jī)房單個(gè)線路調(diào)度到相應(yīng)的機(jī)房

@3、資產(chǎn)管理：管理我們現(xiàn)有的高防機(jī)房，管理我們高防機(jī)房中有高防IP資產(chǎn)。

@4、超賣率統(tǒng)計(jì)：高防如何想賺錢必須達(dá)到3~5倍的超賣率。超賣率=當(dāng)前銷售的總帶寬/高防機(jī)房現(xiàn)有帶寬。

六、監(jiān)控系統(tǒng)

·日常監(jiān)控

主要監(jiān)控高防機(jī)房所有的設(shè)備監(jiān)控狀態(tài)，例如：CPU、memory、DISK、network、process、socket。

·性能監(jiān)控

需要了解4、7層性能。ip_port連接的pps，http連接的cps。

未來(lái)發(fā)展

BGP高防體系也在不斷的演變，運(yùn)營(yíng)商也看上了這塊市場(chǎng)，包括電信云堤，聯(lián)通也在全國(guó)部署了相應(yīng)的清洗服務(wù)。再加上運(yùn)營(yíng)商可以自己控制路由器，所有IP anycast也是有可能實(shí)現(xiàn)的。

天下數(shù)據(jù)提供美國(guó)高防服務(wù)器、香港高防服務(wù)器、韓國(guó)高防服務(wù)器等；其中佛山高防服務(wù)器提供集群420G，單IP最大可加至240G的秒解防御，無(wú)限秒解不封機(jī)。該高防機(jī)房很好的解決各種CC、流量等DDOS攻擊，另還有DDos高防IP為您的業(yè)務(wù)保駕護(hù)航。詳詢?cè)诰�客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002719.html