本議題是我們在OWASP杭州區(qū)2013年歲末年初安全沙龍中進行分享的內(nèi)容，在此我們對這個議題的整體內(nèi)容進行了重新歸納梳理，形成了文字版。

在本文中，DDoS的案例與應(yīng)對經(jīng)驗均來自于某市場占有率很高的客服系統(tǒng)所遇到的實際場景，分別從成本、效率和具體架構(gòu)設(shè)計（選型、配置、優(yōu)化等）角度來分析通過自建CDN來應(yīng)對不同類型的DDoS攻擊。

背景介紹

我們的客服系統(tǒng)主要應(yīng)用在各類網(wǎng)絡(luò)商品銷售、網(wǎng)站在線客服等領(lǐng)域，主要業(yè)務(wù)是提供基于網(wǎng)頁的實時動態(tài)的文字聊天，總用戶數(shù)58萬，同時在線活躍的用戶~12萬。

在此類應(yīng)用領(lǐng)域，通常行業(yè)之間的競爭比較激烈，其中包括在線下無法名正言順的灰色+暴利產(chǎn)業(yè)，導(dǎo)致競爭對手之間經(jīng)常發(fā)動DDoS惡意攻擊。營銷網(wǎng)站往往是單面加速，很難徹底打擊，于是一些黑客通過攻擊網(wǎng)站的在線客服系統(tǒng)，導(dǎo)致網(wǎng)站無法跟訪客溝通，無法交易，從而達到惡意攻擊的目的。結(jié)果，客服系統(tǒng)這個原本有助于網(wǎng)站營銷的工具反而成了被攻擊的主要對象。

我們遭遇的DDoS攻擊類型包括：延緩性的CC攻擊和致命的大流量攻擊。下面將對兩種攻擊方式的攻擊特點、防御思路和我們用過的一些防御方案進行簡單的介紹。

延緩性的CC攻擊

攻擊特點

攻擊者借助網(wǎng)絡(luò)上提供的大量代理服務(wù)器IP，利用軟件，生成指向受害主機的合法請求。

這類攻擊對攻擊者來說成本低，而且網(wǎng)上現(xiàn)成的軟件多，攻擊的風(fēng)格相對比較”溫柔謹(jǐn)慎”，其目的是通過逐漸消耗服務(wù)器的應(yīng)用開銷，網(wǎng)絡(luò)擁堵，最后導(dǎo)致網(wǎng)站變慢，請求無響應(yīng)，達到網(wǎng)站無法訪問的目的。

防御思路

對于這類攻擊，有兩個漏洞特點可以被我們利用，從而阻止這類惡意的CC攻擊。

第一個特征是由于人為生成了大量的非法請求，導(dǎo)致網(wǎng)絡(luò)的incoming流量會異常增大（正常情況下，incoming流量小，outgoing流量大）；第二個特征是攻擊力度有一個漸增過程，形成一個緩沖期。

我們要充分利用這個寶貴的時間，讓機器第一時間智能的做出反應(yīng)，調(diào)用日志分析腳本做決策并加以防御。腳本實現(xiàn)原理就是在服務(wù)器上啟動日志分析機制，在第一時間找出異常的IP、URL、特征碼，從內(nèi)核層利用iptables對惡意IP進行過濾，在應(yīng)用層上利用nginx的http關(guān)鍵詞進行過濾，直接返回badcode 444進行攔截。

具體實現(xiàn)觸發(fā)腳本的方法有多種，這里只列舉我們所使用的兩種：

1. 使用Zabbix的流量監(jiān)控圖來觸發(fā)日志分析腳本，如圖所示：
   
2. 利用bash腳本來統(tǒng)計incoming流量，發(fā)現(xiàn)異常時，調(diào)用相應(yīng)日志分析腳本，實現(xiàn)阻擊。

方案缺點

無論是從內(nèi)核級別還是應(yīng)用級別，對服務(wù)器本身的CPU和內(nèi)存的依賴度高。隨著流量的不斷增大和攻擊時間的持續(xù)，資源最終被耗盡，所以，治標(biāo)不治本。

致命的大流量攻擊

攻擊特點

這種攻擊通常以tcp syn，icmp和UDP（尤其是UDP，單UDP的數(shù)據(jù)包可以很大）方式為主?？头到y(tǒng)遭遇到的最大的一次為16G的攻擊流量，整個機房都被影響到。攻擊者通常控制大量肉雞或者直接勾結(jié)IDC里的服務(wù)器和帶寬資源，對目標(biāo)進行流量打擊。此時流量會快速占滿服務(wù)器的網(wǎng)絡(luò)帶寬，導(dǎo)致無法響應(yīng)任何用戶請求。

這類攻擊需要購買大量帶寬資源，對于攻擊方來說，成本挺高，但是下手“快狠準(zhǔn)”，目的是讓網(wǎng)站在短時間內(nèi)徹底無響應(yīng)。

由于這類攻擊會引起流量陡增，IDC里的流量監(jiān)控設(shè)備也會很明顯的察覺到這個現(xiàn)象。IDC通常采取的措施一般是丟車保帥，直接將這個被攻擊的IP拉黑名單甚至直接拔線，讓攻擊對象自殺。這對本應(yīng)該需要幫助的客戶無疑是落井下石，雪上加霜。

防御思路

應(yīng)付大流量的攻擊，目前可以選擇的防御方式無非幾種：

• 架設(shè)硬防火墻
• 租用高防節(jié)點
• 租用CDN分散目標(biāo)流量

方案缺點

• 架設(shè)硬防火墻：市面上2G硬防單價在10W左右，集群防御代價更大，雖然硬件級的防御性能高，但面對流量洪水也是愛莫能助。
• 租用高防節(jié)點：高防節(jié)點有共享獨享區(qū)分，價格相差很大，分流策略也不同，但都有性能損耗和副作用。
• 租用CDN分散目標(biāo)流量：市面上的CDN提供商都是以流量為收費標(biāo)準(zhǔn)，這對于經(jīng)常遭受流量攻擊的網(wǎng)站來說，反而要為攻擊流量買單，這著實讓人哭笑不得。

無論是采購的硬件成本和高防資源還是CDN加速，都成本昂貴，閑時資源利用率低，攻擊高峰時面對有組織有規(guī)模的流量時又捉襟見肘，還伴有副作用，并非長久之計。

處于弱勢的被打擊方

綜上所述，無論是使用腳本抗擊延緩性CC攻擊，還是通過堆積流量應(yīng)付大流量攻擊，都不是長久之計。隨著業(yè)務(wù)規(guī)模的擴大，我們在這方面投入的成本和精力會越來越多。

我們也曾跟發(fā)起攻擊的人有過交流，因此也大致了解攻擊者手上掌握的資源規(guī)模：

這是非常完整的產(chǎn)業(yè)鏈（上游人員早已身在海外，根本無法查處），攻擊者手上控制了大量的攻擊資源，并且攻擊資源本身就來自于IDC。在發(fā)動攻擊時，他們能夠調(diào)集到多個IDC的帶寬資源來對目標(biāo)打擊（這一現(xiàn)象也折射出了當(dāng)前國內(nèi)不規(guī)范的IDC管理）。

從這一角度來看，被打擊方永遠都處于弱勢地位，以勢單力薄的架構(gòu)和極其有限的資源，根本無法抵抗強大的集群資源攻擊。

因此，我們跳出了單節(jié)點防御和租用CDN的思路，轉(zhuǎn)而考慮自建CDN的方案。

長久之計：自建CDN

自建CDN的好處有幾個方面：

• 旁路做流量清洗（痘痘長在別人臉上最好）
• 資源充分利用：無攻擊的時候，做路由加速，有攻擊的時候，做節(jié)點切換（一物多用）
• 隨著投入的資金增加，防御DDoS攻擊的能力增強（長遠規(guī)劃，資金回報率高）

有關(guān)自建CDN具體建設(shè)的思路如何，成本多少，我們會在系列的下一篇文章中進行介紹。

作者簡介

邵海楊，來自杭州Linux用戶組。網(wǎng)名“海洋之心”，系統(tǒng)架構(gòu)師，業(yè)余撰稿人，致力于開源軟件及前沿科技的研究和探索。

張磊，來自杭州谷歌開發(fā)者社區(qū)。專注于信息安全技術(shù)領(lǐng)域，曾主導(dǎo)多項銀行/證券行業(yè)網(wǎng)站安全測試和入侵取證分析項目，為四大銀行提供安全防護技術(shù)支持。目前創(chuàng)業(yè)做互聯(lián)網(wǎng)安全防護。