0x00，BGP高安全服务要求1，服务要求描述。任何服务都可以支付高安全知识产权费用吗？中国的网上象棋和纸牌游戏从1998年的联合游戏、2003年的QQ游戏、2008年的德州扑克游戏、2009年的钓鱼游戏和2016年的休闲游戏发展成为外行人的网上象棋和纸牌游戏模式。游戏行业开始血腥蔓延，到2017年6月至7月，全国有数百家大小棋牌公司。商业模式:四个熟人可以通过手机打麻将。游戏公司收取牌桌费，并通过总生成法将客户吸引到象棋和纸牌游戏组。假设麻将游戏持续10分钟以上，牌桌费为6元，离线渠道可以给4元来吸引顾客。病毒传播后，该省顶级棋牌公司的日营业额约为1万或几十万英镑。这样，当竞争对手看到如此巨大的收入时，他们不能坐视不管。他们正在一个接一个地发展象棋和纸牌游戏。然而，在一个省里打麻将的人只有这么多。自然，相互攻击时有发生。如果您的应用程序服务器无法访问它，每个人都会去其他应用程序玩。2.解决方案选择。为什么使用BGP高防御？游戏公司有钱支付反数字游戏的费用，所以对数字游戏防御的需求已经增加。传统的反3D解决方案能满足需求吗？答案是否定的，因为国际象棋和纸牌游戏的实时性要求很高，这将严重影响高延迟条件下的用户体验。因此，在运营商不能满足服务要求之前，绝对良好的线路、传统的单线高保护和切换延迟是必要的。为什么使用三线BGP进行高防御？传统的BGP高安全性机房是由自建的BGP机房资源组成的，这个IDC只对腾讯开放，价格昂贵。众所周知，BGP路由优先于公共云IAAS服务。将它们用于高安全性太浪费了(BGP路由至少比普通单线贵3倍)。此外，这种BGP路由通常只有大约100克，并且没有太多带宽。这种对象棋和纸牌的攻击一般在200克到300克左右，当时我和雷蕾谈过了。他们在商业高峰期的攻击量平均为500到700克。在BGP机房存储如此大的带宽是无法忍受的。CDN和三线BGP高安全性合资企业如果我们直接和运营商谈这个机房只是一个高安全性的机房，其实这是非常欠缺的，因为高安全性流量很大，攻击时间不确定，那么如果我们用CDN网络中的一个节点来做一个高安全性的机房，CDN使用出口带宽，高安全性使用入口带宽。这样，带宽利用率将大大提高。根据进出方向1: 5的比例，80G的CDN流量可以被400G的入口流量所替代。如果平均8元/Mbps。月使用，CDN的运营成本为160万。如果你使用它，它是免费的。当然，您需要关注该省的几个节点。一般来说，CDN节点是根据20G规划的。0x01，BGP高防御体系结构根据以上论点，我们有三线式BGP高防御，那么我们下一步应该做什么？众所周知，高安全性交换是由cname完成的。事实上，如果你在游戏终端安装了安全sdk，切换将完全摆脱cname，你可以使用WebDNS进行切换。这是ariyun的游戏盾模式。游戏盾牌的介绍可以参考我以前的文章。本节主要讨论我们的第三线BGP高级防御是如何工作的。第一，高安全性系统架构第二，转发模块、模块角色转发模块在整个高安全性系统中起着至关重要的作用，将用户的真实IP隐藏在转发系统的后面，通过cname模式协同用户将现有的服务系统切换到高安全性机房，同时将清理后的正常流量转发到真实的用户服务系统。功能描述转发系统分为4层转发和7层转发。对于象棋和纸牌应用服务数据，使用4层转发。对于升级和其他系统，使用7层转发(通常是挂在CDN上的网址下载地址)。原则4层转发高安全性机房一般会分配几个C段高安全性IP终端，用于转发模块。我们假设它是IP1现实1是用户服务源站的IP地址图上帝[客户端3360TCP :04] a-|正常访问| b [| B[IP1:TCP:2004 4.启动BGP高安全性。在固网域名系统的帮助下，当联通用户根据不同的线路对相应的联通高安全性机房进行分析时，电信和移动也是如此。5.不使用时切换到源IP。返回贵宾分配是否成功。三、清洗系统模块一般清洗模块要配合检测模块使用，我们首先检查模块使用NTA标志，清洗模块使用广告标志。检查模块负责:对进入高安全性机房的每个高安全性IP对的流量进行计数。传统的检测方法，如绿联的NTA，主要是用网络流量配合交换机，准确性差。建议使用大数据方法来计算其流量(火花流计算各种数据包的数量、聚合计算和检测)。一旦流量超过通知核心交换，丢弃所有目标IP流量。清理模块负责清理用户购买的黑洞阈值内的攻击流量。对于4层分布式拒绝服务攻击流量，例如，当Syn Flood PPS达到8000时，开始清理，这需要流量学习技术。PPS是动态设置的。清洁模块由集群组成。单台机器的处理能力可达40G，小袋20G。一般来说，高安全性机房需要400克，机柜可以处理。对于第7层的攻击流量，测量nginx服务器的大小。一台服务器的http处理能力约为80，000 QPS，四个4层转发LVS和八个7层转发引擎。两个机柜。如果https处理能力约为7000~8000QPS，一般会增加SSL加速卡。提高了单台服务器处理能力。一个集群处理大约600，000 QPS的7层流量和大约400克的4层清洗能力。业务流程1、子线路分析2、流量检测和释放黑洞路由=经过4层流量清洗后的相应包上限3。4、通过lvs引擎做4/7层转发抄送清洗。5.清理后将清理数据转发给用户源站。四、对台湾的控制，功能主要是完成用户购买高保护包，自动分配高保护知识产权，建立域名系统支线分析。同时，应收集攻击流程图、连接号码和攻击警报，并向用户显示。五、调度系统中，网络状况感知主要是通过CDN拨号系统，了解目标用户的网络状况，通过延时和丢包率统计，作为调度系统的决策手段，延时一般不超过100毫秒，丢包率一般不超过5%，BGP线路一般在2%左右。监控精度取决于CDN拨号点和反馈数据的精度。背景可以通过tsdb存储。调度通常是手动完成的，调度功能是:@1。调度算法。根据网络状况感知模块的决定，调度被降级/升级(取决于机房的延迟和丢包率来定义上升和下降)。@2。调度管理:调度应该首先指定您的调度对象、哪个用户和调度哪个行。或者整个机房的日程安排。如果整个机房因特殊原因无法使用，则需要将该机房的所有用户派遣到其他可用的机房。如果我们有一个单线机房，我们可以在BGP机房的单线上调度到相应的@3机房。资产管理:管理我们现有的高安全性机房，管理我们高安全性机房的高安全性知识产权资产。@4。超卖率统计:多高的证券想要赚钱必须达到3~5倍的超卖率。超额销售率=当前销售的总带宽/高安全性计算机房的现有带宽。6.监控系统。日常监控主要监控高安全性机房内所有设备的监控状态，如中央处理器、内存、磁盘、网络、进程和插座。性能监控需要了解第4层和第7层的性能。ip端口连接的Pps，http连接的cps。0x02。未来的BGP高安全性系统也在发展。运营商也对这个市场感兴趣，包括电信云银行。联通还在全国部署了相应的清洁服务。此外，运营商可以自己控制路由器，所有的IP选播也是可能的