本議題是我們在OWASP杭州區2013年歲末年初安全沙龍中進(jìn)行分享的內容，在此我們對這個(gè)議題的整體內容進(jìn)行了重新歸納梳理，形成了文字版。

在本文中，DDoS的案例與應對經(jīng)驗均來(lái)自于某市場(chǎng)占有率很高的客服系統所遇到的實(shí)際場(chǎng)景，分別從成本、效率和具體架構設計（選型、配置、優(yōu)化等）角度來(lái)分析通過(guò)自建CDN來(lái)應對不同類(lèi)型的DDoS攻擊。

背景介紹

我們的客服系統主要應用在各類(lèi)網(wǎng)絡(luò )商品銷(xiāo)售、網(wǎng)站在線(xiàn)客服等領(lǐng)域，主要業(yè)務(wù)是提供基于網(wǎng)頁(yè)的實(shí)時(shí)動(dòng)態(tài)的文字聊天，總用戶(hù)數58萬(wàn)，同時(shí)在線(xiàn)活躍的用戶(hù)~(yú)12萬(wàn)。

在此類(lèi)應用領(lǐng)域，通常行業(yè)之間的競爭比較激烈，其中包括在線(xiàn)下無(wú)法名正言順的灰色+暴利產(chǎn)業(yè)，導致競爭對手之間經(jīng)常發(fā)動(dòng)DDoS惡意攻擊。營(yíng)銷(xiāo)網(wǎng)站往往是單面加速，很難徹底打擊，于是一些黑客通過(guò)攻擊網(wǎng)站的在線(xiàn)客服系統，導致網(wǎng)站無(wú)法跟訪(fǎng)客溝通，無(wú)法交易，從而達到惡意攻擊的目的。結果，客服系統這個(gè)原本有助于網(wǎng)站營(yíng)銷(xiāo)的工具反而成了被攻擊的主要對象。

我們遭遇的DDoS攻擊類(lèi)型包括：延緩性的CC攻擊和致命的大流量攻擊。下面將對兩種攻擊方式的攻擊特點(diǎn)、防御思路和我們用過(guò)的一些防御方案進(jìn)行簡(jiǎn)單的介紹。

延緩性的CC攻擊

攻擊特點(diǎn)

攻擊者借助網(wǎng)絡(luò )上提供的大量代理服務(wù)器IP，利用軟件，生成指向受害主機的合法請求。

這類(lèi)攻擊對攻擊者來(lái)說(shuō)成本低，而且網(wǎng)上現成的軟件多，攻擊的風(fēng)格相對比較”溫柔謹慎”，其目的是通過(guò)逐漸消耗服務(wù)器的應用開(kāi)銷(xiāo)，網(wǎng)絡(luò )擁堵，最后導致網(wǎng)站變慢，請求無(wú)響應，達到網(wǎng)站無(wú)法訪(fǎng)問(wèn)的目的。

防御思路

對于這類(lèi)攻擊，有兩個(gè)漏洞特點(diǎn)可以被我們利用，從而阻止這類(lèi)惡意的CC攻擊。

第一個(gè)特征是由于人為生成了大量的非法請求，導致網(wǎng)絡(luò )的incoming流量會(huì )異常增大（正常情況下，incoming流量小，outgoing流量大）；第二個(gè)特征是攻擊力度有一個(gè)漸增過(guò)程，形成一個(gè)緩沖期。

我們要充分利用這個(gè)寶貴的時(shí)間，讓機器第一時(shí)間智能的做出反應，調用日志分析腳本做決策并加以防御。腳本實(shí)現原理就是在服務(wù)器上啟動(dòng)日志分析機制，在第一時(shí)間找出異常的IP、URL、特征碼，從內核層利用iptables對惡意IP進(jìn)行過(guò)濾，在應用層上利用nginx的http關(guān)鍵詞進(jìn)行過(guò)濾，直接返回badcode 444進(jìn)行攔截。

具體實(shí)現觸發(fā)腳本的方法有多種，這里只列舉我們所使用的兩種：

1. 使用Zabbix的流量監控圖來(lái)觸發(fā)日志分析腳本，如圖所示：
   
   
2. 利用bash腳本來(lái)統計incoming流量，發(fā)現異常時(shí)，調用相應日志分析腳本，實(shí)現阻擊。

方案缺點(diǎn)

無(wú)論是從內核級別還是應用級別，對服務(wù)器本身的CPU和內存的依賴(lài)度高。隨著(zhù)流量的不斷增大和攻擊時(shí)間的持續，資源最終被耗盡，所以，治標不治本。

致命的大流量攻擊

攻擊特點(diǎn)

這種攻擊通常以tcp syn，icmp和UDP（尤其是UDP，單UDP的數據包可以很大）方式為主?？头到y遭遇到的最大的一次為16G的攻擊流量，整個(gè)機房都被影響到。攻擊者通?？刂拼罅咳怆u或者直接勾結IDC里的服務(wù)器和帶寬資源，對目標進(jìn)行流量打擊。此時(shí)流量會(huì )快速占滿(mǎn)服務(wù)器的網(wǎng)絡(luò )帶寬，導致無(wú)法響應任何用戶(hù)請求。

這類(lèi)攻擊需要購買(mǎi)大量帶寬資源，對于攻擊方來(lái)說(shuō)，成本挺高，但是下手“快狠準”，目的是讓網(wǎng)站在短時(shí)間內徹底無(wú)響應。

由于這類(lèi)攻擊會(huì )引起流量陡增，IDC里的流量監控設備也會(huì )很明顯的察覺(jué)到這個(gè)現象。IDC通常采取的措施一般是丟車(chē)保帥，直接將這個(gè)被攻擊的IP拉黑名單甚至直接拔線(xiàn)，讓攻擊對象自殺。這對本應該需要幫助的客戶(hù)無(wú)疑是落井下石，雪上加霜。

防御思路

應付大流量的攻擊，目前可以選擇的防御方式無(wú)非幾種：

• 架設硬防火墻
• 租用高防節點(diǎn)
• 租用CDN分散目標流量

方案缺點(diǎn)

• 架設硬防火墻：市面上2G硬防單價(jià)在10W左右，集群防御代價(jià)更大，雖然硬件級的防御性能高，但面對流量洪水也是愛(ài)莫能助。
• 租用高防節點(diǎn)：高防節點(diǎn)有共享獨享區分，價(jià)格相差很大，分流策略也不同，但都有性能損耗和副作用。
• 租用CDN分散目標流量：市面上的CDN提供商都是以流量為收費標準，這對于經(jīng)常遭受流量攻擊的網(wǎng)站來(lái)說(shuō)，反而要為攻擊流量買(mǎi)單，這著(zhù)實(shí)讓人哭笑不得。

無(wú)論是采購的硬件成本和高防資源還是CDN加速，都成本昂貴，閑時(shí)資源利用率低，攻擊高峰時(shí)面對有組織有規模的流量時(shí)又捉襟見(jiàn)肘，還伴有副作用，并非長(cháng)久之計。

處于弱勢的被打擊方

綜上所述，無(wú)論是使用腳本抗擊延緩性CC攻擊，還是通過(guò)堆積流量應付大流量攻擊，都不是長(cháng)久之計。隨著(zhù)業(yè)務(wù)規模的擴大，我們在這方面投入的成本和精力會(huì )越來(lái)越多。

我們也曾跟發(fā)起攻擊的人有過(guò)交流，因此也大致了解攻擊者手上掌握的資源規模：

這是非常完整的產(chǎn)業(yè)鏈（上游人員早已身在海外，根本無(wú)法查處），攻擊者手上控制了大量的攻擊資源，并且攻擊資源本身就來(lái)自于IDC。在發(fā)動(dòng)攻擊時(shí)，他們能夠調集到多個(gè)IDC的帶寬資源來(lái)對目標打擊（這一現象也折射出了當前國內不規范的IDC管理）。

從這一角度來(lái)看，被打擊方永遠都處于弱勢地位，以勢單力薄的架構和極其有限的資源，根本無(wú)法抵抗強大的集群資源攻擊。

因此，我們跳出了單節點(diǎn)防御和租用CDN的思路，轉而考慮自建CDN的方案。

長(cháng)久之計：自建CDN

自建CDN的好處有幾個(gè)方面：

• 旁路做流量清洗（痘痘長(cháng)在別人臉上最好）
• 資源充分利用：無(wú)攻擊的時(shí)候，做路由加速，有攻擊的時(shí)候，做節點(diǎn)切換（一物多用）
• 隨著(zhù)投入的資金增加，防御DDoS攻擊的能力增強（長(cháng)遠規劃，資金回報率高）

有關(guān)自建CDN具體建設的思路如何，成本多少，我們會(huì )在系列的下一篇文章中進(jìn)行介紹。

作者簡(jiǎn)介

邵海楊，來(lái)自杭州Linux用戶(hù)組。網(wǎng)名“海洋之心”，系統架構師，業(yè)余撰稿人，致力于開(kāi)源軟件及前沿科技的研究和探索。

張磊，來(lái)自杭州谷歌開(kāi)發(fā)者社區。專(zhuān)注于信息安全技術(shù)領(lǐng)域，曾主導多項銀行/證券行業(yè)網(wǎng)站安全測試和入侵取證分析項目，為四大銀行提供安全防護技術(shù)支持。目前創(chuàng )業(yè)做互聯(lián)網(wǎng)安全防護。