【科讯】腾讯云周斌：锤子发布会被DDos攻击，我们是这样抗住的

本篇文章2872字，读完约7分钟

9月18日，与目前备受瞩目的网云安全问题相比，腾讯云客厅技术专家面对面的首次活动在北京举行。 腾云安全总监周斌率领技术专家团队，与来访者一起谈论云时代的安全问题。

以下是周斌在这次技术中分享的一些精彩副本。 祝您愉快。

这是最好的时代，也是不好的时代

现在是什么时代？ 这是我们看到的数据，这是最好的时代，中国的读者人数和网络普及率一直在上升。 根据这个数据，从年到年世界云市场整体也处于高速增长的过程中。

现在也是不好的时代，ddos肆虐，黑产横行，妨碍了网络的迅速发展。 年12月，一家海外知名制造商受到ddos攻击，服务中断了12个小时。 今年上半年，国内发生的流量在100g以上的攻击次数为33次。

年7月，腾讯云防护最多一次攻击的流量达到了近300g。 这个流量是到达流量，即从机房来看的实际流量带宽。 知道网上黑产的同学，知道名词，叫打流量。

打出流量vs到达流量

这两个本身有一个距离。 运营商网络在中间进行了大量的清洗事业。 流量通过所在城市的大都会网络，登上主干网，到对面城市的大都会网络时，大部分流量都会丢失。 中间运营商的路由器和防护设备会销毁大部分恶意流量。

换句话说，在网上买一个g发射流量，上升到实际受到攻击的一侧时，可能是100兆。 也就是说90%会在中途丢失。

所以，我们去年7月防护的这次攻击，攻击流量(到达流量)为297g，以这个比例，攻击方发出的流量是非常可怕的数字。 所以，从ddos和黑产的角度来看，这真是个糟糕的时代。

锤子技术防止ddos攻击的全过程

锤子官网的原始访问架构很简单。 客户通过浏览器直接访问idc机房的服务器，这也是标准情况。 有锤子官网服务器的idc具备一定的ddos保护能力，约有几g的水平。 当天的发布会上，访问官网的流量很快达到了上限。 这里需要证明的是

除非是大容量服务的网站，否则一般的网站业务流量通常很可能有几个g，除了大量的图像和视频资源。 特别是对官网来说，更不可能。

这种情况发生后，整个idc室的入口被堵住了，锤子科技官网无法正常提供服务。 于是锤子科技派人对接大禹。

对接的过程很简单。 在锤子官网域名的dns配置中添加cname，把相应的域名解析为大禹即可。

这是大禹欣赏的地方:无论客户的实际机房是否腾讯云，只要将其域名解析到大禹系统，就可以为他提供防护，为没有腾讯云的客户简单服务。

在这个过程中采用了dns协议的cname功能。 先把客户的流量要求路由到大禹的加速点，然后在大禹的加速点清洗、过滤，放回原来的车站。 也就是说，在域名解析时，域名只需要面向大禹系统，不需要将顾客的服务器从自己的房间转移到腾讯云室。

这样设定后，从客户端发送来的数据(流量)无论是攻击请求还是正常请求，流量都首先去大禹系统的防护节点(将该节点内部称为oc点)进行流量清洗。 清洗结束后，将剩馀的流量放回客户的idc (在本例中为锤子服务器)。

在这种情况下，被攻击的可能是10个g (击中大禹所在的机房)，但清洗后，顾客idc只收到500m的正常访问流量。

现在客户的idc可以正常提供服务了。 而且，对大禹来说，每个oc点分担的只是10个G的几十分之一。

危険13分

当时锤子技术工程师发现受到ddos的攻击后，将dns解析为大禹系统。

从dns部署完成到生效需要时间。 理论上可以变更为1秒、2秒，但实际上在今天的中国环境中是做不到的。 最快的话，是分钟水平。

因为dns有root (通常是美国)，下面是local dns，所以所有客户的有效性都取决于local dns的更新有效性。 中国很多运营商对local dns缓存时间的设置不同，所以要看到所有dns的全部更新，大概是分钟水平。

单一，个别地方可能有秒级。 但是，国内所有的客户刷新后，大概几分钟就能完成。 因此，整个过程花了13分钟，部分时间用于启用local dns。 这是所有制造商无法控制的。 因为local dns的生效时间只能由运营商控制。

解读ddos保护

dos在领域内是不成文的，因为流量型攻击的防御是节省带宽。 理论上，防护带宽越大，越能为客户提供更强的防护能力。

腾讯之所以能提供几个t的防护能力，是因为现在全国各地部署了400多个防护节点，平均提供10个g的防护能力、400个点，提供4个t的防护能力，将来会越来越多。

而且这个框架有好处，他自己平行扩展意味着今天投入了400分，如果真的攻击流量，很容易投入100分，就能成为5个t。

带宽是价格。 如果空闲带宽只有ddos服务，这将是一个很大的价格。 但是帐篷有这么大的体积，所以已经布置了非常多的机房。 因为这个条件联合起来保护空闲带宽。

普通idc可以作为流量清洗的oc点吗？

假设一般的idc有10g的带宽，但绝对受不了10g的攻击流量。 为什么？

因为在很多情况下，服务器的可用性被大量的连接数击退，机器网卡没有达到峰值的时候，机器的cpu可能已经扛不住了。 这个时候可能只能扛g1个(带宽还有9个)，但这一点已经掉了。

但是大禹的所有oc点都引进了流量检测的防御系统，外面有三个防护中心，检测攻击流量，进行流量清洗。 换句话说，在10g的带宽内，可以在不中断的情况下提供服务，直到整个点充满业务。

三个防护中心包括管理中心、攻击清洗中心和攻击检测中心。 通过三个中心之间的数据交换来防御ddos和cc攻击。

cc攻撃

攻击者通过代理服务器生成对受害主机的合法要求，实现ddos和伪装是cc、challenge collapsar和http中应用型攻击的比较方法。

以前传来的ddos攻击，主要是大流量攻击，比如你的带宽只有一个g，它拿着100个g塞进你机房的带宽。 那样的话，你的网络就会瘫痪。

其实现在很多情况下，黑产通常用cc处理网站，怎么办？

耗尽cpu的资源，把你的机器网卡的连接数全部填满，即使你的带宽还有很多，只要20兆流量就能让你趴下。

这是ddos之后的另一大威胁。 大禹现在这个系统对cc也有很好的防御机制。

整个防御机制从攻击中检测到管理中心，在5秒内完成整个攻击的清洗。 大量流量流入后，5秒内清洗完毕。

为什么流量清洗5秒钟就能完成？

事实上，攻击通常有两种情况。

一种像洪峰一样，一波一波的方法，有以波形逐渐上升的倾向。

因为这个容易处理，所以设置延迟响应时间就可以了。 一分钟还是十分钟？

二是防御系统反应太慢，很多云室无法响应，许多idc实际上是为了这个瞬时损失的高峰，满足idc整体带宽，直接来到洪峰底部的方法。

但是，由于在腾讯云中引入了这样的ddos统一的防护系统，所以可以在短时间内应对秒级事件，应对这样的防护诉求，保证服务正常。

我的分享是这个。 谢谢您的阅览。

1 .每天的网络遵循领域规范，转载的原稿都确定注释的作者和来源2 .每天网络的原始复印件，转载时一定要注明文案作者和“来源:每天互联网”，不尊重原始行为的每天在网上。 3 .作者的帖子可能每天在网上制作或补充。