Регистрация Войти
Рейтинг:5
cr001 avatar Server

Как работает сетевое ценообразование именно на облачных платформах? И как мне избежать целенаправленных ценовых атак?

флаг tr
cr001

Я новичок в инфраструктуре облачных платформ. Для простоты обсуждения предположим, что я обсуждаю только две платформы — AWS и Google Cloud.

Теперь предположим, что у меня есть HTTP-сервер, который в основном обрабатывает HTTP-ответ через открытый API для онлайн-игры. Допустим, средний размер ответа составляет 10 КБ, и в день будет отправлено около миллиона ответов.

Насколько я понимаю, месячная цена зависит от объема передаваемых данных в ГБ. Теперь моя проблема в том, что если кто-то напишет скрипт, который постоянно получает ответ от моего сервера, цена просто вырастет до небес.

Я уверен, что любой хороший сервер избегает этой проблемы, но я не уверен, как именно этой проблемы избежать. По моим наблюдениям, многие реальные серверы API крупных онлайн-игр не оптимизируют размер своего ответа, когда его размер составляет всего несколько КБ. Должен быть какой-то "фиксированный ежемесячный платеж или платеж в зависимости от объема передаваемых данных в секундуПроисходит то, что не зависит от количества переданных данных.

Однако я просто не мог найти ссылки на сайты платформы для таких опций.

Любая помощь будет оценена по достоинству.

947
0 + 0
vps
флаг gb
Navin
«Оплата на основе количества данных, передаваемых в секунду», называется «выставление счетов по 95 процентилям», и именно так продается оптовый IP-транзит. Однако ни у одного из крупных облачных провайдеров нет открытых цен на него. Ценообразование — основная причина, по которой люди по-прежнему арендуют шкафы в колокации вместо использования облачных сервисов. Кстати, большинство облачных провайдеров взимают плату только за исходящие данные, поэтому злоумышленник не может просто отправлять случайные пакеты. Если бы у вас был волшебный оракул, который сообщал вам, какие входящие пакеты плохие, вы могли бы не отвечать на них. Реальные реализации имеют множество компромиссов.
0
Ответить
Рейтинг:7
Anubioz avatar Server
флаг us
Anubioz

Облачные сервисы предоставляют потрясающие преимущества для проектов, специально созданных для их использования. Если мы говорим о хостинге приложений/веб-сайтов, то облачные модели ценообразования подходят предприятиям, которые получают основной доход от пользователей, использующих данное приложение/веб-сайт.

Если это не является вашим основным источником дохода (в этом случае вы должны легко конвертировать необработанный веб-трафик в прибыль), то облачный хостинг может вам совсем не подойти.

Имейте в виду, что если ваше приложение не было создано для облачной инфраструктуры (например, указанного игрового сервера), у вас не будет никаких преимуществ по сравнению с VPS/выделенным хостингом с одним экземпляром, если только вы не потратите некоторое время на работу с devops. Та же самая работа devops необходима для эффективного предотвращения атаки на вашу полосу пропускания, которую вы описали.

Так как такая атака уже получила название - вы можете найти несколько более-менее жизнеспособных советов, выполнив поиск "Отказ от кошелька"

0 + 0
cr001 avatar
флаг tr
cr001
Спасибо за ответ. Если я предполагаю, что основным источником дохода действительно является пользователь, значит ли это, что такая атака «Отказ в кошельке» не делает мои расходы намного выше, чем доход? Если это так, то какой должен быть доход, чтобы сделать такую ​​атаку неэффективной с точки зрения соотношения доходов?
0
Ответить
Anubioz avatar
флаг us
Anubioz
Ну, обычно приложения делаются так, что одним трафиком их исчерпать будет довольно сложно. Самый простой способ предотвратить такое злоупотребление — ограничить запросы с помощью чего-то вроде nginx. А для тех, кто действительно считает каждую копейку, есть компании, которые утверждают, что предоставляют именно эти средства для контроля каждого бита трафика и его затрат, при этом используя GCP. Не уверен, что будет хорошей любезностью указать на реальные коммерческие продукты, но вам следует поискать что-то вроде «Альтернативы Cloud Volumes ONTAP», чтобы понять, что предлагают эти компании.
0
Ответить
cr001 avatar
флаг tr
cr001
«что вам будет довольно сложно просто исчерпать их одним трафиком». Не могли бы вы немного подробнее рассказать о том, что означает «выхлоп»? Это значит финансово? Если это правда, означает ли это, что продолжение получения ответа 10 КБ / с от одной домашней сети в течение месяца окажет минимальное влияние на общую стоимость сервера?
0
Ответить
Anubioz avatar
флаг us
Anubioz
10 кбит/с — это 24 ГБ/месяц, что в худшем случае обойдется вам примерно в 6,25 доллара. А поскольку облачные вычисления — это, во что бы то ни стало, нечто противоположное тому, что может сэкономить вам деньги, вы должны быть абсолютно готовы легко заплатить эту сумму. Ни в коем случае вы никогда не сможете сэкономить деньги, используя облачные вычисления (если только вы не используете какие-то нишевые приложения, такие как, например, irc bot (в этом случае он действительно может быть почти бесплатным для запуска на gcp). любой другой вариант использования определенно будет стоить дешевле с одним экземпляром vps)
0
Ответить
John Hanley avatar
флаг cn
John Hanley
Облако на самом деле удешевило многие вещи. В **старые** дни (2000 год) один Т-1 стоил 1500 долларов в месяц. Мы и представить себе не могли, какие скорости и цены у нас сегодня. Необработанные затраты на облачные вычисления являются одним из компонентов общих затрат. Часто персонал стоит на заказ больше, чем ресурсы, которыми он управляет. При развертывании системы выполняется анализ затрат, выполняется анализ рисков и т. д. Поскольку вас беспокоят сетевые расходы, обратитесь к книгам и изучите сетевую самозащиту 101.
0
Ответить
Рейтинг:3
avatar Server
флаг mx
Austin Hemmelgarn

На стороне сервера способы избежать этого:

  • Требовать аутентификацию для запросов. IOW, сделай так, чтобы можно было отследить кто совершает такие атаки, и сделать такие атаки преступлением, наказуемым баном. Затем должным образом заблокируйте создание своей учетной записи, чтобы было непросто получить новые учетные данные после блокировки.
  • Реализовать ограничение скорости. Обычно это делается в несколько этапов, часто с ограничением скорости для каждой аутентифицированной учетной записи (поэтому у любого пользователя есть ограничение скорости), для каждой конечной точки API (поэтому вычислительно затратные конечные точки, которые не вызываются очень часто, не могут быть легко использованы для DoS-атаки) и, возможно, в целом по IP. Вы должны делать это по другим причинам (в первую очередь для защиты от умных DoS-атак и возможности атак на основе времени на игровую логику).
  • Используйте хорошее сжатие в протоколе. Для вашего заявленного размера ответа, вероятно, стоит обратить внимание на Brotli (или, возможно, на быстрый или LZ4), он должен быть достаточно быстрым, чтобы удовлетворить ваши потребности в производительности, но при этом сократить размер ответа на несколько килобайт, и в момент работы с миллионами запросов в месяц, это нетривиальный объем сохраненных данных.

Что касается смягчения его в другом месте, это не так просто сделать. Полные облачные провайдеры, о которых вы говорите, часто предоставляют минимальный «бесплатный уровень», позволяющий разработчикам легко экспериментировать, не тратя на это руки и ноги. Я думаю, что для AWS это 5 ГБ исходящих данных в месяц (они вообще не берут плату за входящие данные). Это самое близкое, что вы можете получить в такой полной облачной настройке, чтобы заблокировать использование, о котором вы говорите, потому что большинство пользователей выиграют от наличия точный использование пропорционально, в отличие от покупки «кусками».

Если вам действительно нужен большой кусок, обратите внимание на AWS Lightsail. Там вы покупаете пакет виртуального узла, который включает в себя определенное количество процессоров, фиксированный объем оперативной памяти и встроенного хранилища, а также указанный предел использования сети. Использование сети ниже этого предела в цикле выставления счетов ничего не стоит, в то время как выше распределяется пропорционально, как и при полной настройке облака. Я не знаю, есть ли у GCP эквивалент, но большинство провайдеров VPS (таких как Vultr, Linode или Digital Ocean) работают одинаково для своих основных предложений, и я бы посоветовал вместо этого искать там, если вы идете по этому пути. Сетевые ограничения для них обычно находятся в диапазоне нескольких терабайт, и нормой является то, что для учета отслеживается только направление с более высоким использованием.

0 + 0
Рейтинг:3
John Hanley avatar Server
флаг cn
John Hanley

Ни один из поставщиков облачных услуг не предлагает пропускную способность XX по фиксированной цене. Ценообразование основано на потреблении.

Вы несете ответственность за контроль доступа клиентов к вашим ресурсам.

Это означает развертывание аутентификации, регулирования или других технологий, но вы сами выбираете, как и с какими продуктами.

Облачные сервисы очень похожи на строительство дома. Home Depot не дает вам неограниченное количество гвоздей и пиломатериалов. Вы покупаете то, что вам нужно для строительства вашего дома. Затем вы покупаете топливо, чтобы обогреть свой дом.

Я работаю в облаке с нулевого дня. До этого частные дата-центры. Ваша обеспокоенность возможна, но в реальном мире этого недостаточно, чтобы помешать большинству из нас развернуться в облаке. Чтобы использовать вашу пропускную способность, мне нужно использовать доступную пропускную способность сети. Если хакер хочет вывести вас из строя, есть много более болезненных методов, которые они могут использовать, которые намного дешевле для них и которые труднее отследить, кто / где они находятся.

0 + 0
cr001 avatar
флаг tr
cr001
Спасибо за ответ, но мне все еще неясно. Насколько я понимаю, домашние сети можно заключать с фиксированной пропускной способностью в месяц.Таким образом, если целью злоумышленника является увеличение «общего объема данных в месяц» на сервере, он может отправлять не столь концентрированные данные, а отправлять последовательно в течение месяца. Как этого избежать? Что касается случая аутентификации, есть настоящие корпоративные высококлассные серверы, на которых я сам могу даже сейчас получить ответ сервера для некоторого API, поэтому я не думаю, что они решают проблему именно так.
1
Ответить
Anubioz avatar
флаг us
Anubioz
Абсолютному большинству клиентов такие ограничения не нужны (поскольку они используют облако именно потому, что оно может обеспечить БОЛЬШУЮ и БЫСТРУЮ скорость загрузки для конечных пользователей). Те, кто по какой-то причине хочет ограничить пропускную способность вместо того, чтобы получать неограниченный трафик vps (что, безусловно, является для них гораздо лучшим способом достижения своих целей), могут легко сделать это с помощью iptables/tee/htb в своем экземпляре самостоятельно.
1
Ответить
cr001 avatar
флаг tr
cr001
Спасибо. Означает ли это, что даже если один-единственный «плохой хакер» продолжит отправлять скрипт ответа на запрос (скажем, получить 10 КБ данных в секунду) в течение месяца через домашнюю сеть, это не сильно повлияет на общую стоимость для большинства клиентов?
0
Ответить
cr001 avatar
флаг tr
cr001
Один из примеров такого скрипта, который я нашел, — это https://github.com/thesadru/genshinstats для большой реальной игры под названием Genshin Impact. Мне просто интересно, почему персонал конкурирующей компании не атакует эту игру с помощью метода, который я упомянул. Это должно быть неэффективно, пока API полностью общедоступен (требуются файлы cookie, но их может получить каждый).
0
Ответить
Anubioz avatar
флаг us
Anubioz
Похоже, у вас сложилось предвзятое мнение, что облачные вычисления — это услуга, которую предоставляют лишь пара IT-гигантов, но на самом деле, если вам так важен трафик, но при этом хочется иметь CDN, вы можете легко (и я имею в виду в день или два работы) получите себе приватный кластер kubernetes, работающий на VPS-ах, с неограниченным трафиком по всему миру. Все, что вам нужно, это подписаться на самый дешевый хостинг с неограниченным трафиком в каждой стране, которую вы хотите, а затем выполнить одну команду ansible/terraform, чтобы запустить его. [Подробнее](https://kubernetes.io/docs/setup/production-environment/tools/_print/)
2
Ответить
cr001 avatar
флаг tr
cr001
Извините, если не ясно выразился. Я сам на самом деле не особо забочусь о трафике, но мне просто любопытно, почему атаки, которые я упомянул, не работают на серверах крупных компаний. Две предпосылки, которые предполагаются верными, и я считаю, что они верны: (1) у этих компаний много соперничества с другими компаниями (2) их серверные API общедоступны для получения ответов HTTP.
0
Ответить
Anubioz avatar
флаг us
Anubioz
Нет, если бы вы были крупной компанией, вы бы точно смогли получить статус LIR и свой AS-номер вместе с некоторыми пирами по всему миру, что сделало бы трафик для вас практически бесплатным. Но поскольку в настоящее время каждый может запустить свое частное облако Kubernetes, каждый может свести на нет свои расходы на трафик. Проблем с неоплатой трафика нет. Причина, по которой люди платят за трафик, не в том, что у них нет другого выбора, а в том, что у GCP/AWS действительно надежная и быстрая сеть (которая в абсолютном большинстве случаев быстрее, чем та, которую вы можете получить бесплатно).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.