95-й перцентиль: почему его любят и в чём его значение для защиты от DDoS-атак

9 января 2023 г.

Хотя клиенты интернет-провайдеров (ISP) арендуют каналы связи с вполне определенной полосой пропускания, счета им нередко выставляются не за всю ее ширину, а за фактически потреблённую величину полосы пропускания. У ISP-провайдеров этот метод известен как пакетный биллинг (Burstable Billing). Причём, как правило, учитывается эта фактически потреблённая полоса пропускания не по самому высокому из показателей, зафиксированных в ходе замеров трафика, а с отбрасыванием 5% максимальных – по наибольшему из 95% оставшихся значений. Этот метод в телекоме как раз и называют 95-м перцентилем. В данной статье приведен пример расчёта 95-го перцентиля именно в StormWall, у разных провайдеров алгоритм вычисления может отличаться.

Измерения фактической полосы пропускания могут проводиться, например, каждые 5 минут в течение месяца: зафиксированный за эти минуты объем трафика делится на 300 секунд – так получается среднее значение фактической полосы пропускания за эти 5 минут. Затем статистика этих значений анализируется, 5% самых высоких показателей отбрасываются, и клиенту выставляется счет на основе максимума из оставшихся 95% значений. Как при этом учитывается входящий и исходящий трафик – по отдельности или по совокупности, зависит от метода расчета, который применяет конкретный ISP-провайдер.

Очевидно, объемы потребляемого трафика распределяются по времени неравномерно: их значения будут разными в течение суток (ночью, как правило, обмен данными не так велик, как днем), месяца (в выходные, предпраздничные и праздничные дни оно будет не таким, как в другие дни) и года (поскольку сезонные колебания бывают у очень многих компаний). Но если обобщить и проанализировать значения фактически использованной в течение месяца полосы пропускания, то выяснится, что их статистика будет близка к нормальному распределению Гаусса. И, кстати, 50-й перцентиль совпадает с медианой – серединой кривой Гаусса.

Подобные оценки с применением перцентилей можно встретить в различных отраслях и областях применений: N-й перцентиль указывает на то, что доля случаев (измерений, ситуаций и пр.), в которых значения оцениваемого показателя не превышают определенной величины, составляет N/100.

Почему 95-й перцентиль выгоден и ISP-провайдерам, и их клиентам

Почему в телекоме так любят именно 95-й перцентиль? На самом деле иногда ISP-провайдеры берут в расчет 90% значений фактически потребленной полосы пропускания, реже 98%, при этом, соответственно, отсекаются 10% или 2% максимальных. Но в большинстве случаев выбирается именно 95% или 95-й перцентиль как некий разумный компромисс между интересами ISP-провайдера и его клиентов.

И провайдеры, и их клиенты считают экономически оправданным и вполне справедливым взимать плату за 95% фактически потребленной полосы пропускания: клиенты платят за фактически потребленную полосу пропускания, к тому же при таком подсчете отсекаются всплески, вызванные кратковременными случайными факторами (в том числе DDoS-атаками), и остаются значения, которые фиксируются систематически, в течение большей части времени измерений. Таким образом, 95-й перцентиль становится для клиента своего рода страховкой от дополнительных расходов, связанных с непредвиденным кратковременным увеличением трафика.

Защита сети от DDoS-атак

Со стороны ISP-провайдера 95-й перцентиль обеспечивает вполне приемлемый бонус для клиента, поскольку 5% пиковых значений у одного из клиентов наверняка будут скомпенсированы более низкими значениями объемов трафика у других клиентов и не потребуют от провайдера дополнительных затрат.

Практическое значение 95-го перцентиля для клиентов

На практике величина 95-го перцентиля означает, что в течение 5% времени (а это 36 часов в месяц) фактическая ширина потребляемой полосы пропускания может превышать ту величину, которая будет учтена ISP-провайдером при выставлении счета. В эти 5% времени клиент может отправить или принять гораздо больше трафика, не неся при этом дополнительных расходов.

Приведем пример. Предположим, некая компания электронной торговли приобрела доступ в Интернет с полосой пропускания в 1000 Мбит/с по цене $2700/мес., при этом ее превышение, согласно тарифа, должно оплачиваться из расчета $2,7/Мбит. В очередном месяце компания провела сезонную распродажу, в результате чего наблюдались пики посещаемости длительностью по несколько часов, а в конце месяца на серверах компании прошло скачивание обновлений. Из-за этих событий несколько раз в течение месяца наблюдались кратковременные увеличения полосы пропускания, иногда достигавшие 9500 Мбит/с (DDoS-атаки при этом не учитывались). По итогам месяца все значения реально потребленной полосы пропускания, взятые по средним показателям за каждые 5 минут, провайдер свел в таблицу с N=8640 значениями (если дней в месяце 30), затем отсортировал ее по убыванию, отрезал M=432 (5%) верхних значений и взял максимальное из оставшихся значений (433-е) величиной X. Этот X и есть 95-й перцентиль для этого конкретного случая. Допустим, X=1135 Мбит/с. В этом случае доплата составила (1135 – 1000) * 135₽ = 135 * 135₽ = 18 225₽.

Если бы интернет-провайдер не использовал 95% в своих расчетах, а просто брал максимальное значение реально потребляемой полосы пропускания, то компании пришлось бы доплатить (9500 – 1000) * 135₽ = 1 147 500₽, что для не очень крупного интернет-магазина весьма ощутимая сумма. Либо пришлось бы ограничить полосу пропускания до 1000 Мбит/с, что привело бы к медленной работе, а то и частичной недоступности ресурсов в часы наивысшей нагрузки – как раз тогда, когда доступность важнее всего.

Причинами сильного кратковременного увеличения трафика могут стать и DDoS-атаки. И если общая их продолжительность превысит 5-процентную квоту в 36 часов, и при этом интернет-ресурс не подключен к DDoS-защите, либо сервисы Anti-DDoS не смогут отфильтровать атаки на все 100%, то объем созданного DDoS-атаками нелегитимного трафика отразится на общей статистике значений фактически потребляемой полосы пропускания и приведет к увеличению расходов на каналы связи.

Показания 95-го перцентиля можно использовать и при планировании сетевых мощностей. Например, если значение 95-го перцентиля составляет около 20-30% от пропускной способности сетевых устройств, то при желании вполне можно увеличить их нагрузку еще на 10-15%. Если же величина 95-го перцентиля приближается к 65-70% их мощности, то стоит задуматься о повышении производительности сетевого оборудования. Аналогичным образом 95-й перцентиль помогает планировать и полосу пропускания арендуемых каналов связи.

Заметим, что проведение подобных оценок имеет очень важное значение с точки зрения повышения устойчивости интернет-ресурсов к DDoS-рискам: и мощность сетевых устройств, и ширину арендуемой полосы пропускания каналов связи следует наращивать заранее, в противном случае есть опасность того, что нелегитимный трафик от достаточно мощной DDoS-атаки полностью их исчерпает, не давая возможности пропускать хотя бы какую-то часть легитимного.

Защита сети от DDoS-атак

  • Подключение за 10 минут
  • Поддержка 24×7