尽管互联网服务提供商 (ISP) 的客户购买的通信信道具有精确定义的带宽,但他们通常不会为整个端口容量付费,而只需为实际消耗的带宽付费。对于 ISP 提供商来说,这种方法称为突发计费。此外,实际消耗的带宽通常不是根据流量测量期间记录的最高指标来计算,而是通过减去最大值的 5% 来计算——根据剩余 95% 的值中最大的一个。这种方法称为第 95 个百分位数。本文提供了在 StormWall 中计算第 95 个百分位数的示例。计算算法可能因提供商的不同而不同。
例如,可以每 5 分钟测量一次实际带宽,持续一个月:将这些分钟记录的流量除以 300 秒,从而获得这 5 分钟的实际带宽平均值。然后分析这些值的统计数据,丢弃最高值的 5%,并向客户收取剩余 95% 的最高费用。在这种情况下,如何单独或一起考虑传入和传出流量取决于特定 ISP 的计算方法。
当然,消耗的流量随时间分布不均:白天(夜间的流量通常不如白天高)、月内(周末、假期前和假期的流量不如其他日子高)和年内(因为许多企业都会出现季节性变化)都有变化。但是,如果我们概括并分析一个月内实际使用的带宽值,就会发现它们的统计数据接近高斯正态分布。顺便说一句,第 50 个百分位数与中位数(高斯曲线的中间)重合。
在各个行业和应用中都可以找到类似的使用百分位数的估计:第 N 个百分位数表示估计指标的值不超过某个值的情况(测量、情况等)的比例为 N/100。
为什么第 95 个百分位对 ISP 提供商及其客户都有利
为什么 95 百分位数在电信行业如此受欢迎?事实上,ISP 有时会考虑实际消耗带宽值的 90%,较少情况下是 98%,而最大值的 10% 或 2% 会被截断。然而,在大多数情况下,选择 95% 或 95 百分位数是 ISP 提供商和其客户利益之间的一种合理折衷。
提供商及其客户都认为按实际消耗带宽的 95% 收费在经济上是合理的,而且非常公平:客户支付实际消耗的带宽,此外,这种计算会截断由短期随机因素(包括 DDoS 攻击)引起的峰值,并且系统收集的值会在大部分测量期间保留。因此,第 95 个百分位数成为客户的一种保险,以防因不可预见的短期流量增加而产生额外费用。
从 ISP 的角度来看,第 95 个百分位数代表了对客户来说完全可以接受的奖励,因为其中一个客户的 5% 峰值肯定会通过其他客户的较低流量来补偿,并且不会要求提供商承担任何额外费用。
第 95 百分位数对客户的实际意义
实际的 95 百分位值意味着 5% 的时间(即每月 36 小时)实际消耗的带宽可能超过 ISP 计费时考虑的量。在这 5% 的时间内,客户可以发送或接收更多流量而无需支付额外费用。
假设某电子商务公司以每月 2700 美元的价格购买了带宽为 1000 Mbps 的互联网接入,而根据资费标准,超出部分需支付 2.7 美元/Mbit。下个月,该公司举行了一次季节性促销,结果出现了几个小时的负载高峰,并在月底将更新下载到公司的服务器上。由于这些事件,当月内多次观察到短期带宽增加,有时达到 9500 Mbps(不包括 DDoS 攻击)。在月底,提供商将实际消耗的所有带宽值(平均每 5 分钟测量一次)制成 N=8640 个值(当月 30 天),然后按降序排列,截断上限值的 M=432(5%),并将剩余值的最大值(第 433 个)取为 X 值。这个 X 是第 95 个让我们假设 X=1135 Mbps。在这种情况下,附加费为 (1135 - 1000) * 2.7 美元 = 135 * 2.7 美元 = 364.5 美元。
如果互联网提供商的计算不是基于 95%,而只是基于实际消耗的带宽的最大值,那么公司将不得不额外支付 (9500 – 1000) * 2.7 美元 = 22950 美元,这对于规模并不大的在线业务来说是一笔非常大的金额。或者带宽必须限制在 1000 Mbps,导致在高峰负载时段运行缓慢甚至部分资源不可用——而此时可用性才是最重要的。
DDoS 攻击也可能造成流量在短时间内急剧上升。如果攻击的总持续时间超过 5 分位数(36 小时),同时互联网资源未连接到DDoS攻击防御或反 DDoS 服务无法 100% 过滤掉攻击,则 DDoS 攻击造成的未经授权的流量将影响实际消耗带宽值的总体统计,并导致通信渠道成本增加。
95 百分位的值也可用于规划网络容量。例如,如果 95 百分位的值是网络设备带宽的 20-30%,则完全有可能根据需要将其利用率再提高 10-15%。如果 95 百分位的值是其容量的 65-70%,则值得考虑提高网络设备的性能。同样,95 百分位有助于规划租用通信信道的带宽。
请注意,进行这样的评估对于提高互联网资源抵御 DDoS 风险的能力非常重要:应该提前提高网络设备的性能和通信信道的租用带宽宽度,否则存在足够强大的 DDoS 攻击的非法流量将完全耗尽它们的风险,并且不可能跳过至少部分合法流量。