Cloudflare推出全新“光譜”服務 覆蓋IPv4所有端口65535

? ? ? ?近日，Cloudflare宣布將通過擴展其對IPv4協議下其余可能的TCP/IP網絡端口的監視來擴大其業務范圍，將其優勢延伸至網絡協議以外的領域，以保護和加快電子郵件服務器、游戲服務器、物聯網設備以及其他任何連接互聯網的設備。

?

? ? ? ?此次，Cloudflare公司推出了一項名為“Spectrum”（光譜）的服務，并稱其“分布式拒絕服務保護”、“負載平衡和內容加速服務”現在已經擴展至65,533個端口。

?

? ? ? ?但是顯然，其宣稱的“ 65,533加2（端口80和443）等于65535，涵蓋了從1到2的16次冪減1的所有spectrum端口”的說法稍具欺騙性。因為早在之前，Cloudflare就已經利用其全球網絡資源代理了幾乎所有其他端口，涵蓋應用程序、API和網站等等，但問題在于只適用于Cloudflare的兩個應用。

?

? ? ? ?不過拋去這個問題不說，“Spectrum”服務的推出將意味著各種基于TCP的協議都可以被屏蔽、轉移和加速，至少是對于Cloudflare企業客戶來說。

?

? ? ? ?簡言之，憑借Spectrum，Cloudflare現在可以保護網絡上所有其它組成部分并為其加速。

?

? ? ? ?Spectrum允許客戶將其電子郵件服務器、SSH、物聯網設備以及游戲服務器等放在Cloudflare之后，保護它們免受DDoS攻擊，而無論它們使用哪種協議。

?

? ? ? ?游戲服務器Hypixel是Mirai僵尸網絡DDoS攻擊的首批受害者之一，如今也已經成為測試該服務的組織之一。

?

? ? ? ?Hypixel首席技術官 Bruce Blair表示，“在沒有推出Spectrum之前，我們必須依賴增加時滯、導致用戶體驗下降的不穩定的服務和技術，現在，我們能夠在不增加時滯的情況下得到持續保護。此外，對于任何對時滯和正常運行時間敏感的服務（如在線游戲）而言，它都是最佳的選擇。”

?

? ? ? ?但是，美好的事情永遠不是一蹴而就的。使系統運行的實踐被證實算得上是一項小的技術壯舉。支持Cloudflare edge Linux服務器的伯克利套接字（BSD Socket）API不適合被配置為“接受任何端口上的入站連接”。該公司的工程師原本可以在這所有65535個服務器端口上使用綁定系統調用，但是該技術后果致使這一選項根本行不通。

?

? ? ? ?BSD Socket作為一種API，允許不同主機或者同一個計算機上的不同進程之間的通信。它支持多種I/O設備和驅動，但是具體的實現是依賴操作系統的。這種接口對于TCP/IP是必不可少的，所以是互聯網的基礎技術之一。它最初是由加州伯克利大學為Unix系統開發出來的。所有現代的操作系統都都實現了伯克利套接字接口，因為它已經是連接互聯網的標準接口了。

?

? ? ? ?最終，該公司技術人員選擇使用Cloudflare的防火墻來分析IP數據包，并決定是否保留它們，同時借助相對模糊的TPROXY iptables模塊來處理傳入數據包的套接字調度。

?

? ? ? ?Cloudflare公司網絡工程師Marek Majkowski在一篇博客文章中解釋道：“在這些技術的幫助下，我們可以使用標準BSD套接字API來執行那些我們原本認為不可能的事情，從而避免對任何定制內核補丁的需求。”
?