Điểm:5

Định giá mạng hoạt động chính xác như thế nào trong nền tảng đám mây? Và tôi nên làm thế nào để tránh các cuộc tấn công định giá chuyên dụng?

lá cờ tr

Tôi còn khá mới đối với cơ sở hạ tầng nền tảng đám mây. Để thảo luận đơn giản, giả sử hai nền tảng duy nhất mà tôi đang thảo luận là AWS và Google Cloud.

Bây giờ, giả sử tôi có một máy chủ HTTP chủ yếu xử lý phản hồi HTTP thông qua API mở cho một trò chơi trực tuyến. Giả sử kích thước phản hồi trung bình là 10KB và sẽ có khoảng một triệu phản hồi được gửi mỗi ngày.

Theo hiểu biết của tôi, giá hàng tháng phụ thuộc vào lượng dữ liệu được truyền tính theo GB. Bây giờ vấn đề của tôi là nếu ai đó viết một tập lệnh liên tục nhận được phản hồi từ máy chủ của tôi thì giá sẽ tăng cao ngất ngưởng.

Tôi chắc chắn rằng bất kỳ máy chủ tốt nào cũng tránh được vấn đề này nhưng tôi không chắc vấn đề này được tránh chính xác như thế nào. Dựa trên quan sát của tôi, nhiều máy chủ API trò chơi trực tuyến lớn ngoài đời thực không tối ưu hóa kích thước phản hồi của chúng khi nó chỉ là một vài KB. Phải có một số loại "thanh toán cố định hàng tháng hoặc thanh toán dựa trên lượng dữ liệu được truyền mỗi giây" điều xảy ra không phụ thuộc vào lượng dữ liệu được truyền.

Tuy nhiên, tôi chỉ đơn giản là không thể tìm thấy bất kỳ tài liệu tham khảo nào trên các trang web nền tảng cho các tùy chọn như vậy.

Bất kỳ trợ giúp sẽ được đánh giá cao.

lá cờ gb
“Thanh toán dựa trên lượng dữ liệu được truyền mỗi giây” được gọi là “thanh toán phần trăm 95” và đó là cách bán chuyển tiếp IP bán buôn. Tuy nhiên, không có nhà cung cấp đám mây lớn nào có giá công khai cho nó. Giá cả là lý do chính khiến mọi người vẫn thuê tủ tại cơ sở cho thuê chỗ đặt máy chủ thay vì sử dụng dịch vụ đám mây. Tuy nhiên, hầu hết các nhà cung cấp dịch vụ đám mây chỉ tính phí dữ liệu gửi đi nên kẻ tấn công không thể chỉ gửi các gói ngẫu nhiên. Nếu bạn có một nhà tiên tri ma thuật cho bạn biết gói tin nào đến là xấu, bạn có thể chọn không phản hồi chúng. Việc triển khai thực tế có vô số sự đánh đổi.
Điểm:7
lá cờ us

Các dịch vụ đám mây mang lại những lợi ích tuyệt vời cho các dự án được xây dựng đặc biệt để sử dụng chúng. Nếu chúng ta đang nói về ứng dụng/lưu trữ web, thì các mô hình định giá trên đám mây phù hợp với các doanh nghiệp có thu nhập chính từ người dùng, những người sử dụng ứng dụng/trang web nói trên.

Trừ khi đó là nguồn thu nhập chính của bạn (trong trường hợp đó, bạn nên dễ dàng chuyển đổi giữa lưu lượng truy cập web thô và lợi nhuận), thì dịch vụ lưu trữ đám mây có thể không phù hợp với bạn chút nào.

Hãy nhớ rằng nếu ứng dụng của bạn không được xây dựng cho cơ sở hạ tầng đám mây (như máy chủ trò chơi đã nói), thì bạn sẽ không có bất kỳ lợi ích nào đối với dịch vụ lưu trữ VPS/Dịch vụ lưu trữ chuyên dụng, trừ khi bạn dành một chút thời gian để thực hiện công việc dành cho nhà phát triển. Devops làm việc tương tự là cần thiết để ngăn chặn hiệu quả cuộc tấn công vào băng thông của bạn mà bạn đã mô tả.

Vì kiểu tấn công đó đã có tên - bạn có thể tìm thấy một số lời khuyên ít nhiều khả thi bằng cách tìm kiếm "Từ chối ví"

cr001 avatar
lá cờ tr
Cảm ơn bạn đã trả lời. Nếu tôi cho rằng nguồn thu nhập chính thực sự là người dùng, thì liệu cuộc tấn công "Từ chối ví" như vậy có làm cho chi phí của tôi cao hơn nhiều so với thu nhập không? Nếu đúng như vậy, thu nhập sẽ cần là bao nhiêu để làm cho một cuộc tấn công như vậy không hiệu quả về tỷ lệ thu nhập?
Anubioz avatar
lá cờ us
Chà, thông thường các ứng dụng được tạo ra theo cách đó, sẽ rất khó để làm cạn kiệt chúng chỉ bằng lưu lượng truy cập. Cách dễ nhất để ngăn chặn sự lạm dụng đó là các yêu cầu giới hạn tốc độ với thứ gì đó như nginx. Và đối với những người thực sự đếm từng xu, có những công ty tuyên bố chỉ cung cấp những phương tiện đó để kiểm soát từng chút lưu lượng và chi phí của nó, trong khi vẫn sử dụng GCP. Không chắc liệu đó có phải là một phép lịch sự tốt khi chỉ ra một sản phẩm thương mại thực tế hay không, nhưng bạn nên tìm kiếm thứ gì đó như "Các lựa chọn thay thế ONTAP của Cloud Volumes" để hiểu những gì các công ty đó cung cấp
cr001 avatar
lá cờ tr
"rằng bạn sẽ khá khó khăn nếu chỉ làm cạn kiệt chúng chỉ bằng lưu lượng truy cập" Bạn có thể giải thích thêm một chút về ý nghĩa của "sự cạn kiệt" không? Điều đó có nghĩa là tài chính? Nếu đúng, điều đó có nghĩa là việc tiếp tục nhận được phản hồi 10KB/giây từ một mạng gia đình trong một tháng sẽ chỉ ảnh hưởng tối thiểu đến tổng giá của máy chủ?
Anubioz avatar
lá cờ us
10 kb/giây sẽ là 24 GB/tháng, trong trường hợp xấu nhất, bạn sẽ phải trả khoảng 6,25 đô la. Và vì điện toán đám mây hoàn toàn trái ngược với thứ có thể giúp bạn tiết kiệm tiền, nên bạn hoàn toàn nên chuẩn bị sẵn sàng để dễ dàng thanh toán số tiền đó. Không có cách nào bạn có thể tiết kiệm tiền bằng cách sử dụng điện toán đám mây (trừ khi bạn đang chạy một số ứng dụng thích hợp như f.e. irc bot (trong trường hợp đó, nó thực sự có thể gần như miễn phí để chạy trên gcp). bất kỳ trường hợp sử dụng nào khác chắc chắn sẽ tốn ít chi phí hơn với một phiên bản vps duy nhất)
John Hanley avatar
lá cờ cn
Đám mây đã thực sự làm cho nhiều thứ rẻ hơn. Vào thời **cũ** (năm 2000), một T-1 duy nhất là 1.500 đô la mỗi tháng. Chúng tôi không thể tưởng tượng được tốc độ và giá cả mà chúng tôi có ngày nay. Chi phí thô của điện toán đám mây là một thành phần của tổng chi phí. Thông thường, chi phí nhân sự cho một đơn đặt hàng cao hơn các nguồn lực mà họ quản lý. Khi triển khai một hệ thống, phân tích chi phí được thực hiện, phân tích rủi ro được thực hiện, v.v. Vì bạn lo lắng về chi phí kết nối mạng, hãy đọc sách và học cách tự bảo vệ mạng 101.
Điểm:3
lá cờ mx

Về phía máy chủ, các cách để tránh điều này là:

  • Yêu cầu xác thực cho các yêu cầu. IOW, làm cho nó như vậy mà bạn có thể theo dõi Ai đang thực hiện các cuộc tấn công như vậy và biến các cuộc tấn công đó thành hành vi phạm tội có thể bị cấm. Sau đó, khóa đúng cách việc tạo tài khoản của bạn để không dễ dàng nhận được thông tin đăng nhập mới sau khi bạn bị cấm.
  • Thực hiện giới hạn tỷ lệ. Thông thường, điều này được thực hiện theo nhiều giai đoạn, thường giới hạn tốc độ cho mỗi tài khoản được xác thực (vì vậy bất kỳ người dùng nào cũng có giới hạn tốc độ), cho mỗi điểm cuối API (vì vậy, các điểm cuối đắt tiền về mặt tính toán không được gọi thường xuyên không thể dễ dàng bị lạm dụng cho các cuộc tấn công DoS) và có thể là tổng thể trên mỗi IP. Bạn nên làm điều này vì những lý do khác (đáng chú ý nhất là bảo vệ chống lại các cuộc tấn công DoS thông minh và khả năng tấn công dựa trên thời gian đối với logic của trò chơi).
  • Sử dụng nén tốt trong giao thức. Đối với kích thước phản hồi đã nêu của bạn, Brotli có thể đáng để xem xét (hoặc có thể linh hoạt hoặc LZ4), nó phải đủ nhanh để đáp ứng nhu cầu về hiệu suất của bạn nhưng vẫn loại bỏ một vài kB khỏi kích thước phản hồi và tại thời điểm xử lý hàng triệu yêu cầu mỗi tháng, đó là một lượng dữ liệu được lưu không cần thiết.

Đối với việc giảm thiểu nó ở những nơi khác, điều đó không dễ thực hiện. Các nhà cung cấp đám mây đầy đủ như những gì bạn đang nói đến thường cung cấp một số cấp miễn phí tối thiểu để cho phép các nhà phát triển dễ dàng thử nghiệm mà không tốn công sức. Tôi nghĩ đối với AWS, đó là 5GB mỗi tháng gửi đi (họ hoàn toàn không tính phí dữ liệu gửi đến). Điều đó gần như bạn có thể có trong một thiết lập đám mây đầy đủ như vậy để chặn việc sử dụng như bạn đang nói đến, bởi vì hầu hết người dùng sẽ được hưởng lợi từ việc có chính xác mức sử dụng được chia theo tỷ lệ thay vì mua theo chunksâ.

Tuy nhiên, nếu bạn thực sự muốn có một phần lớn, hãy xem AWS Lightsail. Ở đó, bạn mua một gói thỏa thuận nút ảo bao gồm một số lượng CPU cố định, lượng RAM cố định và bộ nhớ tích hợp cũng như giới hạn sử dụng mạng được chỉ định. Mức sử dụng mạng dưới mức giới hạn đó trong một chu kỳ thanh toán không tính phí, trong khi mức sử dụng mạng trên được tính theo tỷ lệ giống như trong thiết lập đám mây đầy đủ. Tôi không biết liệu GCP có tương đương hay không, nhưng hầu hết các nhà cung cấp VPS (chẳng hạn như Vultr, Linode hoặc Digital Ocean) đều hoạt động theo cùng một cách đối với các dịch vụ chính của họ và tôi thực sự khuyên bạn nên tìm kiếm ở đó nếu bạn đi theo con đường này. Giới hạn mạng trên những thứ này thường nằm trong phạm vi nhiều terabyte và tiêu chuẩn là chỉ hướng có mức sử dụng cao hơn mới được theo dõi để hạch toán.

Điểm:3
lá cờ cn

Không nhà cung cấp đám mây nào cung cấp băng thông XX với giá cố định. Giá cả dựa trên mức tiêu thụ.

Bạn chịu trách nhiệm kiểm soát quyền truy cập của khách hàng vào tài nguyên của mình.

Điều này có nghĩa là triển khai xác thực hoặc điều tiết hoặc các công nghệ khác nhưng bạn chọn cách thức và với sản phẩm nào.

Dịch vụ đám mây giống như việc xây dựng một ngôi nhà. Home Depot không cung cấp cho bạn số lượng đinh và gỗ không giới hạn. Bạn mua những gì bạn cần để xây dựng ngôi nhà của bạn. Sau đó, bạn mua nhiên liệu để sưởi ấm ngôi nhà của bạn.

Tôi đã làm việc trên đám mây kể từ ngày đầu tiên. Trước đó, các trung tâm dữ liệu riêng tư. Mối quan tâm của bạn là có thể, nhưng trong thế giới thực, điều đó không xảy ra đủ để ngăn hầu hết chúng ta triển khai trên đám mây. Để sử dụng băng thông của bạn, tôi cần sử dụng băng thông mạng hiện có của mình. Nếu một tin tặc muốn hạ gục bạn, họ có thể triển khai nhiều phương pháp đau đớn hơn với chi phí rẻ hơn rất nhiều và khó theo dõi vị trí của chúng hơn.

cr001 avatar
lá cờ tr
Cảm ơn bạn đã trả lời nhưng tôi vẫn chưa rõ ràng. Dựa trên sự hiểu biết của tôi, các mạng gia đình có thể được ký hợp đồng thông qua băng thông cố định mỗi tháng.Vì vậy, nếu mục đích của kẻ tấn công là làm cho "tổng lượng dữ liệu mỗi tháng" của máy chủ tăng lên, thì hắn có thể gửi dữ liệu không quá tập trung nhưng gửi liên tục trong hơn một tháng. Làm thế nào là điều này có thể tránh được? Đối với trường hợp xác thực, có những máy chủ cấu hình cao của công ty thực sự mà bản thân tôi thậm chí có thể nhận được phản hồi của máy chủ ngay bây giờ đối với một số API, vì vậy tôi không nghĩ đó là cách họ giải quyết vấn đề.
Anubioz avatar
lá cờ us
Phần lớn khách hàng tuyệt đối không cần loại giới hạn đó (vì họ sử dụng đám mây một cách chính xác vì nó có thể cung cấp tốc độ tải xuống NHIỀU HƠN & NHANH HƠN cho người dùng cuối). Những người vì lý do nào đó muốn giới hạn băng thông thay vì nhận vps lưu lượng không giới hạn (chắc chắn LÀ cách tốt hơn nhiều để họ đạt được mục tiêu của mình), có thể dễ dàng làm điều đó với phương tiện iptables/tee/htb trong trường hợp của họ
cr001 avatar
lá cờ tr
Cảm ơn bạn. Điều đó có nghĩa là ngay cả khi một người "hacker xấu" tiếp tục gửi tập lệnh nhận phản hồi (giả sử nhận dữ liệu 10KB mỗi giây) trong một tháng qua mạng gia đình, điều đó sẽ không ảnh hưởng nhiều đến tổng giá cho phần lớn khách hàng đó?
cr001 avatar
lá cờ tr
Một ví dụ về kịch bản như vậy mà tôi tìm thấy là https://github.com/thesadru/genshinstats cho một trò chơi thực tế lớn có tên là Genshin Impact. Tôi chỉ thắc mắc tại sao không có bất kỳ nhân viên nào của công ty đối thủ tấn công trò chơi này thông qua phương pháp mà tôi đã đề cập. Nó phải không hiệu quả trong khi API hoàn toàn có thể truy cập công khai (cần có cookie nhưng bất kỳ ai cũng có thể lấy được).
Anubioz avatar
lá cờ us
Có vẻ như bạn đã có định kiến ​​rằng điện toán đám mây là một dịch vụ mà chỉ một vài gã khổng lồ CNTT cung cấp, nhưng thực ra nếu bạn quan tâm đến lưu lượng truy cập nhiều như vậy nhưng vẫn muốn có CDN, bạn có thể dễ dàng (và ý tôi là một hoặc hai ngày làm việc) hãy sở hữu cho mình một kubernetes kluster riêng chạy trên VPS-es với lưu lượng truy cập không giới hạn trên toàn thế giới. Tất cả những gì bạn cần làm là đăng ký dịch vụ lưu trữ lưu lượng truy cập không giới hạn rẻ nhất ở mọi quốc gia bạn muốn và sau đó đưa ra một lệnh ansible/terraform duy nhất để chạy dịch vụ này. [Thông tin thêm](https://kubernetes.io/docs/setup/production-environment/tools/_print/)
cr001 avatar
lá cờ tr
Xin lỗi nếu tôi không nói rõ ràng. Bản thân tôi thực sự không quan tâm nhiều đến lưu lượng truy cập mà chỉ tò mò về lý do tại sao kiểu tấn công mà tôi đã đề cập không hoạt động đối với các máy chủ của công ty lớn. Hai tiền đề được cho là đúng và tôi tin là đúng là: (1) các công ty đó có nhiều sự cạnh tranh với các công ty khác (2) API máy chủ của họ được cung cấp công khai để nhận phản hồi HTTP.
Anubioz avatar
lá cờ us
Không, nếu bạn là một công ty lớn, bạn chắc chắn đã có thể có được trạng thái LIR và số AS của riêng mình cùng với một số đồng nghiệp trên khắp thế giới, điều này sẽ giúp bạn có được lưu lượng truy cập miễn phí. Nhưng vì ngày nay, bất kỳ ai cũng có thể chạy đám mây kubernetes riêng của mình, nên bất kỳ ai cũng có thể vô hiệu hóa chi phí lưu lượng của họ. Không có vấn đề gì với việc không trả tiền cho lưu lượng truy cập. Lý do tại sao mọi người trả tiền cho lưu lượng truy cập không phải vì họ không có lựa chọn nào khác, mà vì GCP/AWS có mạng nhanh và thực sự đáng tin cậy (trong phần lớn các trường hợp, mạng này nhanh hơn mạng bạn có thể nhận miễn phí)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.