Cloudflare推出全新“光谱”服务 覆盖IPv4所有端口65,535

作者:Jasmine, 星期一, 四月 23, 2018
来源:http://www.aqniu.com/tools-tech/33113.html

近日,Cloudflare宣布将通过扩展其对IPv4协议下其余可能的TCP/IP网络端口的监视来扩大其业务范围,将其优势延伸至网络协议以外的领域,以保护和加快电子邮件服务器、游戏服务器、物联网设备以及其他任何连接互联网的设备。

此次,Cloudflare公司推出了一项名为“Spectrum”(光谱)的服务,并称其“分布式拒绝服务保护”、“负载平衡和内容加速服务”现在已经扩展至65,533个端口。

但是显然,其宣称的“ 65,533加2(端口80和443)等于65535,涵盖了从1到2的16次幂减1的所有spectrum端口”的说法稍具欺骗性。因为早在之前,Cloudflare就已经利用其全球网络资源代理了几乎所有其他端口,涵盖应用程序、API和网站等等,但问题在于只适用于Cloudflare的两个应用。

不过抛去这个问题不说,“Spectrum”服务的推出将意味着各种基于TCP的协议都可以被屏蔽、转移和加速,至少是对于Cloudflare企业客户来说。

所有针对TCP服务3到4层的DDoS攻击都可以被保护

光谱服务同时集成了Cloudflare的IP防火墙

简言之,凭借Spectrum,Cloudflare现在可以保护网络上所有其它组成部分并为其加速。

Spectrum允许客户将其电子邮件服务器、SSH、物联网设备以及游戏服务器等放在Cloudflare之后,保护它们免受DDoS攻击,而无论它们使用哪种协议。

游戏服务器Hypixel是Mirai僵尸网络DDoS攻击的首批受害者之一,如今也已经成为测试该服务的组织之一。

Hypixel首席技术官 Bruce Blair表示,“在没有推出Spectrum之前,我们必须依赖增加时滞、导致用户体验下降的不稳定的服务和技术,现在,我们能够在不增加时滞的情况下得到持续保护。此外,对于任何对时滞和正常运行时间敏感的服务(如在线游戏)而言,它都是最佳的选择。”

但是,美好的事情永远不是一蹴而就的。使系统运行的实践被证实算得上是一项小的技术壮举。支持Cloudflare edge Linux服务器的伯克利套接字(BSD Socket)API不适合被配置为“接受任何端口上的入站连接”。该公司的工程师原本可以在这所有65535个服务器端口上使用绑定系统调用,但是该技术后果致使这一选项根本行不通。

BSD Socket作为一种API,允许不同主机或者同一个计算机上的不同进程之间的通信。它支持多种I/O设备和驱动,但是具体的实现是依赖操作系统的。这种接口对于TCP/IP是必不可少的,所以是互联网的基础技术之一。它最初是由加州伯克利大学为Unix系统开发出来的。所有现代的操作系统都都实现了伯克利套接字接口,因为它已经是连接互联网的标准接口了。

最终,该公司技术人员选择使用Cloudflare的防火墙来分析IP数据包,并决定是否保留它们,同时借助相对模糊的TPROXY iptables模块来处理传入数据包的套接字调度。

Cloudflare公司网络工程师Marek Majkowski在一篇博客文章中解释道:“在这些技术的帮助下,我们可以使用标准BSD套接字API来执行那些我们原本认为不可能的事情,从而避免对任何定制内核补丁的需求。”

关于Cloudflare

Cloudflare每月处理超过10万亿个请求,在为全球超过28亿人处理的所有互联网请求中的占比接近10%。是目前世界上最大的网络服务商之一。

由Cloudflare支持的互联网属性让所有网络流量通过其智能全球网络,加入的新网站越多,这个全球网络的智能程度就越高。因此,Cloudflare连续两年被《华尔街》杂志评为“最具创新性的网络和互联网技术公司”,并且被Fast Company评为“世界50家最具创新性的公司”。