【科讯】UPYUN 邵海杨：高危时代的网络系统安全

本篇文章3129字，读完约8分钟

年互联网领域的安全问题频发，许多p2p、o2o、云服务等平台成为ddos流量攻击等黑客行为的受害者，因此安全再次成为领域最热的议题。 互联网公司，特别是创业公司，在不断出现的攻击手段面前非常无力。 高危环伺服，我们怎么保护自己？ 在upyun、同盾科技、脆弱性箱freebuf共同主办的网络平台黑客和欺诈防御沙龙中，upyun运输维总监邵海杨分享了自己的经验和见解。

up云运输维总监邵海杨

安全问题的第一个是那些吗？

硬件:一般的例如打印机驱动程序、各种硬盘的固件中也有病毒。

二、系统层面:这是可控的。 在windows上请小心。 因为漏洞很多，很多机房的人都掌握了服务器的密码，所以本身就不安全。 linux服务器非常好，包括取消明文密钥、密钥+密码、最小化安装和md5篡改扫描。 端口越少越好，但绝对不可能有弱密码。

三、基础软件:比如kernel和openssl，看看有没有漏洞。 upyun自己修剪操作系统，自己编译内核，自己编译openssl。 这是因为系统的ssl版本太低了。 当然，像ssh这样依赖原始ssl的程序也一起升级。

四、应用:这是五花八门，有各种语言的。 例如，php5.3最近暴露了漏洞。 此外，它是一个脆弱的国王，如tomcat，可以像业务流程一样注入攻击，像跨界攻击一样直接炸毁服务器和数据库。 为了防止这个，可以让专业的白帽子队帮忙做渗透测试。

五、好处驱动:这样比较冷酷，黑客不用跟你打招呼，都是直接黑数据库的。 他们得到的数据可以卖钱，所以是直接脱库。 也许是为了报复，这更危险。

upyun高可用性系统安全措施

面对这么多威胁和危险，upyun使用了什么样的应对措施呢？

简化系统。 在linux版本中，建议使用红帽系统或ubuntults版本。 upyun根据红帽子的大版本裁剪。 其实很多洞都是因为安装了不必要的程序才出现的。 真正重要的东西，比如ssh，如果缺少它，linux就不能使用。 这些已经被证实很久了。 最可怕的是像samba，cups一样，很少使用。 既然upyun在做服务器，就把它砍掉。

upyun精简系统没有编译环境，没有gcc和make等，在企业内的一台父系统中被编译成二进制，这就是精简系统。 当然，简化系统并不容易，其中有很多窍门。 总之，系统越小越好。 越快越好。

二、定制内核。 一般来说，内核越新越好。 新内核可以享受高级软件设置、硬件驱动和新的特征，如文件系统改进、驱动程序升级等。 但是，新的东西也不能使用，可能会起火而自作自受。 所以，做什么样的选择必须自己考虑。 例如，upyun在此期间进行了互联网拥塞算法的改善，通过升级内核提高了15%，通过采用hybal提高了5%，这是基于新内核的软件红利。 但是，选择kernal有几种很棒的方法。 例如，必须选择偶数版本。 那个小版本最好是30、40或50级。 这证明了那是长期支持的版本.。 如果你想要稳定性，你需要采用它。

三、适时更新。 upyun的系统不基于lfs，为什么在redhat的大版本中运行？ 这是因为有必要依赖redhat的更新，在安全方面和软件开发方面的实力不能忽视，可以节约很多劳力。 例如，上次的openssl心脏出血没有等到第二天就出现了升级补丁。 之后upyun全部更改为静态编译，不再依赖于系统本身。

四、内外隔离。 upyun有自己的防火墙easyfirewall。 upyun的云存储是使用的纯内部网，与外部cdn隔离，采用物理交换机隔离。 upyun运维的跳机都是通过vpn拨入内部网的。

此外，还有用于处理ddos和cc攻击的体系结构设计。 首先，通过理解负荷分散的战略，可以使用各种各样的proxy。 这个最重要的目的是隐藏源站。 因为如果源站被攻击，就会死。 不管100m、1g甚至10g源站的带宽，画的线只有一条，这条线粗还是细？ 但对黑客来说，好处是每分钟打10多个g。 这样一根线挡不住，要在楼上防御。 这楼上是路由器，类似于四通八达的高架。 这是因为你可以直接从这本书去另一本书。 因为只有路由器才能在黑洞中引入数据。 但是路由器很贵，你也没有那么多线路资源，所以不要指望运营商为你这样的中小企业给路由器添加规则。 他们阻止你的ip的时候，已经放弃了你。 如果路由器不能使用，可以准备几条路。 upyun的cdn现在有127个节点，相当于有127个洞，攻击一个就会失去一个。 反正带宽足够了。 对普通中小企业来说，没有足够的资源来做这件事。 处理的途径是请upyun等专业的cdn企业帮忙。

upyun自制防火墙easyfirewall

五、系统监视脚本监视。 以cc攻击为例，通常网络上的请求incoming比较小，例如request需要图像，这样的请求报头小，但从服务器侧喷出的数据比较大。 攻击到来时，incoming突然出现，incoming的要求是模拟大量的要求。 这是一个素质黑客，可以和他竞争，和他争取时间。 这是因为他的cc进来时，你的网卡马上卡不动了，但必须在第一时间做出反应。

第一，利用nginx的C模块，计数1￣3分钟的连接数，计算其连接数的频度.如果超过基准，立即启动分析程序，抓住他的ip、链接等特征，过滤列表。 这样可以在主机受到无响应攻击之前迅速做出响应。 第二，检测到这个变化后，可以向upyun发送求助信号。 upyun在dns中去掉你的点，进行dns分析并调用到其他节点。 所以对脚本系统的监视一定要定位。 这很重要。 第三，沙盒运转。 例如，虚拟主机即使有泄露也不会影响其他东西的安全，能够将危害降低到最小限度，典型的例子如docker。

代理软件upyun用的很多，初期是squid，现在是nginx。 但是upyun为了防止waf和cc攻击经常使用haproxy。 这些都侧重于web容器，这意味着整个软件设计必须完全支持http。

众所周知，在互联网行业，http是最重要的协议。 haproxy支持http报头的语法分析，只需分析http报头即可。 这是因为传输速度最快。 但是haproxy不支持存储。 squid、varnish、ats等支持存储，可以挂几个t硬盘进行存储，但没有haproxy。

偏防御的情况下，把haproxy放在前面，后面跟着这些软件。 如果容量不大，建议varnish，直接缓存几十g内存即可。 在upyun中，如果一个单节点至少有40个以上的t，varnish将无法使用，因此upyun将使用ats作为内存、ssd和磁盘三个介质缓存。 不同的软件有偏差，可以组合应用于不同的场景。

专业的事，给专家做

upyun的主要业务重点是解决cdn云、云存储和云。 upyun现在的安全事业与乌云平台合作，乌云相当于upyun的安全顾问，对upyun做点孔检查，同时一年做一次体检。

upyun以前是单打的，遇到黑客也采取了一些防御措施，很辛苦。 后来我意识到做了那么多工作比黑客一次赚的钱还多。 不如放弃一点灰色产业链的顾客，集中精力建立我们的业务模式，采用多节点架构设计引流分布式攻击，不要应对变化。 另外，因为网络最终会成为细分的市场，致力于最有价值的事件。 声明:在ITHome(IT之家)的网站上刊登/转载这篇文章，目的是传播越来越多的消息，并不意味着赞同其观点或论证其说明。

。

1 .每天的网络遵循领域规范，转载的原稿都确定注释的作者和来源2 .每天网络的原始复印件，转载时一定要注明文案作者和“来源:每天互联网”，不尊重原始行为的每天在网上。 3 .作者的帖子可能每天在网上制作或补充。