过去几周，由于大规模攻击，传统DNS和DDoS缓解服务出现了几次引人注目的中断。可以理解，Cloudflare的客户询问我们如何应对类似的攻击。尽管包括Cloudflare在内的任何服务都有其局限性，但我们的架构很好，可以抵御这些最近的攻击，并继续扩展以阻止不可避免的更大的攻击。我们每天都要多次减轻新闻中的僵尸网络。根据公开发布的攻击数据，以及与我们私下共享的数据，我们成功地缓解了类似规模和类型的攻击，而没有造成客户停机。我认为现在是讨论Cloudflare的体系结构与大多数传统DNS和DDoS缓解服务有何不同的好时机，以及它如何帮助我们的客户在面对这些数量极高的攻击时保持在线。类比：数据库如何扩展在深入研究我们的体系结构之前，值得花一点时间考虑另一个更容易理解的类似技术问题：扩展数据库。从20世纪80年代中期关系数据库开始兴起，到21世纪初，公司一直认为通过购买更大的硬件来扩展数据库。游戏是：买一个你能负担得起的最大的数据库服务器，开始用数据填充它，然后希望一个你能负担得起的更新、更大的服务器在你用完空间之前发布。硬件公司用越来越多的异国情调的数据库专用硬件来应对。了解IBM z13大型机（来源：IBM）在某种程度上，一个框的边界不能包含一些组织想要存储的所有数据。谷歌就是一个著名的例子。在公司刚刚起步的时候，他们没有足够的资源购买最大的数据库服务器。即使他们这样做了，最大的服务器也不能存储他们想要索引的所有内容—这实际上就是所有内容。因此，谷歌没有走传统路线，而是编写了一个软件，让许多廉价的商品服务器像一个大型数据库一样协同工作。随着时间的推移，随着Google开发出更多的服务，该软件能够有效地在Google网络中的所有机器上分配负载，从而最大限度地利用网络、计算和存储。而且，随着谷歌需求的增长，他们只是增加了更多的商品服务器——允许他们线性地扩展资源以满足他们的需求。旧版DNS和DDoS抵御与传统DNS和DDoS缓解服务抵御攻击的方式进行比较。传统上，阻止攻击的方法是购买或构建一个大盒子，然后用它过滤传入的流量。如果你深入研究大多数传统DDoS缓解服务供应商的技术细节，你会发现思科、Arbor Networks和Radware等公司的硬件聚集在一起，形成所谓的"净化中心"CC BY-SA 3.0污水处理图片就像在旧的数据库世界中，有一些技巧可以让这些庞然大物的缓解箱（某种程度上）协同工作，但它们都很笨拙。通常情况下，单个盒子可以吸收的数据包数量的物理限制成为服务提供商可以减轻的总容量的有效限制。而且，在非常大的DDoS攻击中，大部分攻击流量永远不会到达净化中心，因为只有少数几个位置，上游isp成为了瓶颈。设备的费用意味着广泛地分配擦洗硬件是不划算的。如果你是一个域名服务提供商，你到底多久会受到攻击？您如何证明在每个数据中心投资昂贵的缓解硬件是合理的？即使您是一个传统的DDoS供应商，通常只有在客户受到攻击时才提供服务，因此容量远远超过您以前见过的最大攻击的一定范围是没有意义的。这似乎是合理的，任何超过这一点的投资都是浪费，但事实证明，这一结论最终会对传统模式造成致命的影响。未来不是装在盒子里的从Cloudflare一开始，我们看到我们的基础设施更像Google对其数据库的看法。在我们早期，传统的DDoS抵御硬件供应商试图说服我们使用他们的技术。我们甚至考虑自己建造巨型盒子，用它们来清理交通。这似乎是一个迷人的技术挑战，但我们意识到它永远不会是一个可伸缩的模型。相反，我们从一个非常简单的架构开始。Cloudflare的第一个机架只有三个组件：路由器、交换机和服务器。今天，我们已经使它们变得更加简单，通常完全丢弃路由器，并使用能够处理足够多路由表的交换机，在数据中心服务的地理区域上路由数据包。我们没有使用可能成为攻击瓶颈的负载平衡器或专用缓解硬件，而是编写了使用BGP（因特网的基本路由协议）在地理位置上以及网络中的每个数据中心内分配负载的软件。对我们的模型至关重要：每个机架中的每台服务器都能够响应每种类型的请求。我们的软件根据特定时间特定客户的需求动态分配负载。这意味着我们会自动在成千上万的服务器上进行攻击。石墨烯：一种比最好的钢材坚固100倍的简单建筑（图片来源：维基百科）这也意味着我们可以继续在我们的网络上进行经济有效的投资。如果法兰克福需要增加10%的容量，我们可以为它多装10%的服务器，而不必做出购买或建造另一个巨型巨型洗涤器的分步决策™ 盒子。由于每个数据中心的每台服务器中的每个核心都可以帮助减轻攻击，这意味着随着每个新数据中心的上线，我们在阻止靠近源的攻击方面越来越出色。换句话说，大规模分布式僵尸网络的解决方案是大规模分布式网络。这实际上就是互联网的工作原理：分散力量，而不是集中力量在几个擦洗的地方。我们如何使DDoS缓解基本上是免费的资源的有效利用不仅与资本支出有关，而且与经营支出有关。因为我们使用相同的设备和网络来提供Cloudflare的所有功能，所以我们很少有任何与阻止攻击相关的额外带宽成本。请稍等一下，因为要了解这一点，您需要了解一下我们是如何购买带宽的。我们从中转提供商处支付带宽，每月按入口和出口中较大者的95%计费。入口只是网络，代表了被发送到我们网络的流量。出口是指从我们的网络发出的流量。除了作为DDoS抵御服务，Cloudflare还提供其他功能，包括缓存。缓存的本质是，从缓存中传出的流量应该始终大于传入的流量。在我们的例子中，在正常情况下，我们的出口（流量输出）比入口（流量输入）多很多倍。大型DDoS攻击会增加我们的入口，但不会影响我们的出口。然而，即使在非常大的攻击中，入口超过出口的情况也极为罕见。因为我们只需支付更大的入口和出口，而且出口总是比入口高很多，我们实际上拥有大量的零成本带宽来吸收攻击。随着我们服务使用量的增加，阻止攻击的能力也相应增加。人们想知道，无论攻击规模有多大，我们如何以固定费用提供DDoS缓解；答案是，攻击不会增加我们最大的单位成本。而且，尽管传统提供商表示，他们提供的免费DDoS缓解服务将花费数百万美元，但我们能够通过"伽利略计划"免费保护政治和艺术上重要的网站免受巨大攻击，而不会让银行破产。赢得军备竞赛Cloudflare是唯一一家从一开始就设计用于抵御大规模DDoS攻击的DNS提供商。正如DDoS攻击本质上是分布式的一样，Cloudflare的DDoS抵御系统分布在我们庞大的全球网络中。毫无疑问，我们正与攻击者进行军备竞赛。然而，我们在技术和经济上都处于有利地位，可以赢得这场比赛。与大多数传统提供商相比，攻击者有一个优势：提供商的成本很高，因为他们必须购买昂贵的盒子和带宽，而攻击者的成本很低，因为他们使用黑客设备。这就是为什么我们的秘密酱是软件，它将我们的负载分散在我们的大规模分布式商品硬件网络上。通过保持较低的成本，我们能够继续有效地提高容量，并在攻击之前保持领先。今天，我们相信Cloudflare比我们所有竞争对手公开宣布的容量总和更能阻止攻击。我们继续扩张，几乎每周都会开设一个新的数据中心。对我们的客户来说，好消息是，我们设计的Cloudflare能够随着攻击的增长继续经济高效地扩展我们的容量。任何服务都是有限制的，我们对新的攻击始终保持警惕，但我们相信，我们的体系结构最终是阻止接下来发生的一切的正确方法。PS-想在互联网面临的一些最棘手的问题上以我们的规模工作吗？我们正在招聘。