înregistrare Logare
Puncte:5
cr001 avatar Server

Cum funcționează exact prețurile de rețea în platformele cloud? Și cum ar trebui să evit atacurile de prețuri dedicate?

drapel tr
cr001

Sunt destul de nou în infrastructurile platformelor cloud. De dragul simplității discuțiilor, să presupunem că singurele două platforme despre care discut sunt AWS și Google Cloud.

Acum să spunem că am un server HTTP care se ocupă în principal de răspunsul HTTP printr-un API deschis pentru un joc online. Să presupunem că dimensiunea medie a răspunsului este de 10 KB și vor fi trimise aproximativ un milion de răspunsuri pe zi.

Pe baza înțelegerii mele, prețul lunar depinde de cantitatea de date transferate în termeni de GB. Acum problema mea este că, dacă cineva scrie un script care primește răspuns de la serverul meu în mod repetat, prețul va crește până la vertiginos.

Sunt sigur că orice server bun evită această problemă, dar nu sunt sigur cum se poate evita exact această problemă. Pe baza observației mele, multe servere API de jocuri online mari din viața reală nu își optimizează dimensiunea răspunsului atunci când sunt doar câțiva KB. Trebuie să existe un fel de "plată lunară fixă ​​sau plată pe baza cantității de date transferate pe secundă" se întâmplă un lucru care nu depinde de cantitatea de date transferate.

Cu toate acestea, pur și simplu nu am putut găsi nicio referință pe site-urile platformei pentru astfel de opțiuni.

Orice ajutor ar fi apreciat.

947
0 + 0
vps
drapel gb
Navin
„plata bazată pe cantitatea de date transferată pe secundă” se numește „facturare în procente de 95” și așa se vinde tranzitul IP angro. Cu toate acestea, niciunul dintre marii furnizori de cloud nu are prețuri publice pentru acesta. Prețul este un motiv major pentru care oamenii încă închiriază dulapuri la o unitate de colocare în loc să folosească servicii cloud. De altfel, majoritatea furnizorilor de servicii cloud taxează doar pentru datele de ieșire, astfel încât atacatorul nu poate trimite doar pachete aleatorii. Dacă ai avea un oracol magic care îți spunea ce pachete primite sunt proaste, ai putea alege să nu răspunzi la ele. Implementările reale au o mulțime de compromisuri.
0
Răspunde
Puncte:7
Anubioz avatar Server
drapel us
Anubioz

Serviciile cloud oferă beneficii extraordinare pentru proiecte, care sunt special create pentru a le utiliza. Dacă vorbim de aplicație/găzduire web, atunci modelele de prețuri în cloud se potrivesc afacerilor, care își obțin veniturile principale de la utilizatori, care folosesc respectiva aplicație/site-ul web.

Cu excepția cazului în care aceasta este sursa dvs. principală de venit (caz în care ar trebui să vă convertiți cu ușurință între trafic web brut și profit), atunci găzduirea în cloud s-ar putea să nu vi se potrivească deloc.

Rețineți că, dacă aplicația dvs. nu a fost construită pentru infrastructura cloud (cum ar fi serverul de jocuri menționat), nu veți avea niciun beneficiu față de VPS cu o singură instanță/gazduire dedicată, cu excepția cazului în care ați petrecut o anumită perioadă de timp lucrând devops. Este nevoie de aceeași muncă devops pentru a preveni eficient atacul asupra lățimii de bandă pe care ați descris-o.

Deoarece acest tip de atac are deja un nume - puteți găsi câteva sfaturi mai mult sau mai puțin viabile căutând „Respingerea portofelului"

0 + 0
cr001 avatar
drapel tr
cr001
Multumesc pentru raspuns. Dacă presupun că principala sursă de venit este într-adevăr utilizatorul, este cazul că un astfel de atac „Denial of Wallet” nu face costul meu mult mai mare decât venitul? Dacă este cazul, cât de mult va trebui să fie venitul pentru ca un astfel de atac să fie ineficient în ceea ce privește raportul veniturilor?
0
Răspunde
Anubioz avatar
drapel us
Anubioz
Ei bine, de obicei aplicațiile sunt făcute în acest fel, încât ar fi destul de greu să le epuizezi doar prin trafic. Cel mai simplu mod de a preveni un astfel de abuz ar fi solicitările de limitare a ratei cu ceva de genul nginx. Și pentru cei care numără cu adevărat fiecare bănuț, există companii care pretind că oferă doar acele mijloace pentru a controla fiecare fragment de trafic și costurile acestuia, folosind în continuare GCP. Nu sunt sigur dacă este o bună curtoazie să indicați un produs comercial real, dar ar trebui să căutați ceva de genul „alternative Cloud Volumes ONTAP” pentru a înțelege ce oferă acele companii.
0
Răspunde
cr001 avatar
drapel tr
cr001
„că ți-ar fi destul de greu să le epuizezi doar prin trafic” Poți să detaliezi puțin mai mult despre ce înseamnă „evacuare”? Asta înseamnă financiar? Dacă este adevărat, înseamnă că obținerea unui răspuns de 10 KB/s de la o singură rețea de acasă timp de o lună va avea un efect minim asupra prețului total al serverului?
0
Răspunde
Anubioz avatar
drapel us
Anubioz
10 kb/s ar fi 24 GB/lună, ceea ce în cel mai rău caz te-ar costa în jur de 6,25 USD. Și din moment ce cloud computing este cu toate mijloacele opusul a ceva care vă poate economisi bani, ar trebui să fiți absolut pregătiți să plătiți cu ușurință acea sumă. În niciun caz nu puteți economisi bani utilizând cloud computing (cu excepția cazului în care rulați niște aplicații de nișă, cum ar fi irc bot (caz în care poate fi într-adevăr aproape gratuit de rulat pe gcp). orice alt caz de utilizare ar costa cu siguranță mai puțin cu o singură instanță vps)
0
Răspunde
John Hanley avatar
drapel cn
John Hanley
Cloud-ul a făcut multe lucruri mai ieftine. În **vechile** zile (anul 2000), un singur T-1 costa 1.500 USD pe lună. Nu ne-am putea imagina vitezele și prețurile pe care le avem astăzi. Costul brut al cloud computing este o componentă a costurilor totale. Adesea, personalul costă o comandă mai mult decât resursele pe care le gestionează. Când implementați un sistem, se efectuează o analiză a costurilor, se efectuează o analiză a riscurilor etc. Deoarece sunteți îngrijorat de costurile de rețea, accesați cărțile și învățați auto-apărarea în rețea 101.
0
Răspunde
Puncte:3
avatar Server
drapel mx
Austin Hemmelgarn

Pe partea de server, modalitățile de a evita acest lucru sunt:

  • Solicită autentificare pentru solicitări. IOW, fă-o astfel încât să poți urmări OMS face astfel de atacuri și transformă astfel de atacuri într-o infracțiune interzisă. Apoi blocați-vă în mod corespunzător crearea contului, astfel încât să nu fie ușor să obțineți noi acreditări după ce sunteți interzis.
  • Implementați limitarea ratei. De obicei, acest lucru se face în mai multe etape, adesea limitând rata per cont autentificat (deci orice utilizator are o limită de rată), per punct final API (deci punctele finale costisitoare din punct de vedere computațional, care nu sunt apelate foarte des, nu pot fi ușor abuzate pentru atacuri DoS) și, eventual, în ansamblu per IP. Ar trebui să faceți acest lucru din alte motive (mai ales pentru protejarea împotriva atacurilor inteligente DoS și a posibilității de atacuri bazate pe sincronizare asupra logicii jocului).
  • Utilizați o compresie bună în protocol. Pentru dimensiunea de răspuns declarată, Brotli merită probabil analizat (sau posibil rapid sau LZ4), ar trebui să fie suficient de rapid pentru a vă satisface nevoile de performanță, dar totuși reduce câțiva kB din dimensiunea răspunsului și în punctul de a face față cu milioane de solicitări pe lună, aceasta este o cantitate nesemnificativă de date salvate.

În ceea ce privește atenuarea în altă parte, asta nu este la fel de ușor de făcut. Furnizorii completi de cloud, cum ar fi ceea ce vorbiți, oferă adesea niște niveluri minime „gratuit” pentru a le permite dezvoltatorilor să experimenteze cu ușurință, fără a costa un braț și un picior. Cred că pentru AWS este de 5 GB pe lună de ieșire (nu taxează deloc pentru datele de intrare), de exemplu. Este cât de aproape puteți ajunge într-o astfel de configurație completă în cloud pentru a bloca utilizarea despre care vorbiți, deoarece majoritatea utilizatorilor vor beneficia de a avea corect utilizarea proporțională, spre deosebire de cumpărarea în âporțiâ.

Dacă chiar doriți o bucată mare, priviți AWS Lightsail. Acolo, cumpărați o ofertă de pachet pentru un nod virtual care include un număr fix de procesoare, o cantitate fixă ​​de RAM și stocare integrată și un plafon specificat de utilizare a rețelei. Utilizarea rețelei sub acest plafon într-un ciclu de facturare nu costă nimic, în timp ce mai sus este proporțională la fel ca într-o configurație completă în cloud. Nu știu dacă GCP are un echivalent, dar majoritatea furnizorilor de VPS (cum ar fi Vultr, Linode sau Digital Ocean) lucrează în același mod pentru ofertele lor principale și, de fapt, aș sugera să căutați acolo dacă mergeți pe această cale. Limitele de rețea ale acestora sunt de obicei în intervalul de mai mulți terabyte, iar norma este că numai direcția care are o utilizare mai mare este urmărită pentru contabilitate.

0 + 0
Puncte:3
John Hanley avatar Server
drapel cn
John Hanley

Niciun furnizor de cloud nu oferă lățime de bandă XX la un preț fix. Prețul este bazat pe consum.

Sunteți responsabil pentru controlul accesului clienților la resursele dvs.

Aceasta înseamnă implementarea de autentificare sau throttling sau alte tehnologii, dar tu alegi cum și cu ce produse.

Serviciile cloud se aseamănă cu construirea unei case. Home Depot nu vă oferă cuie și cherestea nelimitate. Cumperi ceea ce ai nevoie pentru a-ți construi casa. Apoi cumpărați combustibil pentru a vă încălzi casa.

Lucrez în nor din ziua zero. Înainte de asta centrele de date private. Îngrijorarea dvs. este posibilă, dar în lumea reală, nu se întâmplă suficient pentru a ne împiedica pe cei mai mulți dintre noi să ne desfășurăm în cloud. Pentru a vă consuma lățimea de bandă, trebuie să consum lățimea de bandă disponibilă a rețelei. Dacă un hacker dorește să te doboare, există multe metode mai dureroase pe care le pot implementa, care sunt mult mai ieftine pentru el și care sunt mai dificil de urmărit cine/unde se află.

0 + 0
cr001 avatar
drapel tr
cr001
Multumesc pentru raspuns, dar inca nu sunt clar. Pe baza înțelegerii mele, rețelele de acasă pot fi contractate prin lățime de bandă fixă ​​pe lună.Așadar, dacă scopul atacatorului este de a determina creșterea „cantității totale de date pe lună” a serverului, el poate trimite date nu atât de concentrate, dar poate trimite în mod constant peste o lună. Cum se poate evita acest lucru? În ceea ce privește cazul de autentificare, există servere reale de profil înalt corporative pe care eu însumi chiar pot obține răspunsul serverului acum pentru unele API, așa că nu cred că așa rezolvă problema.
1
Răspunde
Anubioz avatar
drapel us
Anubioz
Majoritatea absolută a clienților nu au nevoie de astfel de limite (din moment ce folosesc cloud exact pentru că poate oferi viteze de descărcare MAI MULTE și MAI RAPIDE pentru utilizatorii finali). Cei care dintr-un motiv pentru care doresc să limiteze lățimea de bandă în loc să obțină un trafic nelimitat vps (care este cu siguranță o modalitate mult mai bună pentru ei de a-și atinge obiectivele), pot face asta cu ușurință cu mijloacele iptables/tee/htb în cazul lor ei înșiși
1
Răspunde
cr001 avatar
drapel tr
cr001
Mulțumesc. Înseamnă asta că, chiar dacă o singură persoană „hacker rău” continuă să trimită un script de răspuns (să zicem obțineți 10 KB de date pe secundă) timp de o lună printr-o rețea de domiciliu, nu va afecta prea mult prețul total pentru majoritatea clienților?
0
Răspunde
cr001 avatar
drapel tr
cr001
Un exemplu de astfel de script pe care l-am găsit este https://github.com/thesadru/genshinstats pentru un joc mare din viața reală numit Genshin Impact. Mă întreb doar de ce nu există niciun personal al companiei rivale care să atace acest joc prin metoda pe care am menționat-o. Trebuie să fie ineficient în timp ce API-ul este complet accesibil public (sunt necesare cookie-uri, dar acestea pot fi obținute pentru oricine).
0
Răspunde
Anubioz avatar
drapel us
Anubioz
Se pare că ai o preconcepție, că cloud computing este un serviciu, pe care doar câțiva giganți IT îl oferă, dar de fapt, dacă îți pasă atât de mult de trafic, dar vrei totuși să ai CDN, poți cu ușurință (și mă refer în o zi sau două de muncă) obțineți-vă un spectru privat kubernetes care rulează pe VPS-uri cu trafic nelimitat în întreaga lume. Tot ceea ce este nevoie este să vă înscrieți la cea mai ieftină găzduire de trafic nelimitat în fiecare țară pe care o doriți și apoi să emitați o singură comandă ansible/terraform pentru a o pune în funcțiune. [Mai multe informații](https://kubernetes.io/docs/setup/production-environment/tools/_print/)
2
Răspunde
cr001 avatar
drapel tr
cr001
Scuze daca nu am spus clar. De fapt, nu îmi pasă atât de mult de trafic, dar sunt doar curios de ce tipul de atac pe care l-am menționat nu funcționează pentru serverele mari ale companiilor. Cele două premise presupuse a fi adevărate și cred că sunt adevărate sunt: ​​(1) acele companii au multe rivalități cu alte companii (2) API-urile lor de server sunt disponibile public pentru a obține răspunsuri HTTP.
0
Răspunde
Anubioz avatar
drapel us
Anubioz
Nu, dacă ai fi o companie mare, cu siguranță ai fi putut obține un statut LIR și propriul tău număr AS împreună cu niște colegi din întreaga lume, ceea ce ar fi făcut traficul practic gratuit pentru tine. Dar, deoarece în zilele noastre oricine își poate rula cloud-ul privat kubernetes, oricine își poate anula costurile de trafic. Nu există nicio problemă în a nu plăti pentru trafic. Motivul pentru care oamenii plătesc pentru trafic nu este pentru că nu au altă opțiune, ci pentru că GCP/AWS are o rețea foarte fiabilă și rapidă (care în majoritatea absolută a cazurilor este mai rapidă decât cea pe care o poți obține gratuit)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.