作者：騰訊安全平臺部 lake2

前言

DDoS攻擊（Distributed Denial of Service，分布式拒絕服務攻擊）的歷史可以追溯到1996年（還記得經(jīng)典的Ping of Death嗎），互聯(lián)網(wǎng)技術飛速發(fā)展了二十多年，DDoS的攻擊手法也在不斷演進，目前它仍然是最活躍的黑客攻擊方式之一：每天互聯(lián)網(wǎng)都會發(fā)生不計其數(shù)的DDoS攻擊 —— 這種攻擊方式簡單粗暴直接有效，深受攻擊者們的青睞。

隨著時代的發(fā)展，黑客技術已經(jīng)滋生黑色產(chǎn)業(yè)鏈，從最初的技術炫耀到惡意報復、敲詐勒索乃至商業(yè)競爭 —— DDoS攻擊也不例外，互聯(lián)網(wǎng)公司特別是知名的或者特定行業(yè)的互聯(lián)網(wǎng)公司最容易遭受DDoS攻擊威脅。騰訊自然也深受其害，在DDoS攻擊防護體系構建的過程中積累了一些經(jīng)驗和血淚教訓，特整理成文供同行參考。

緊急應戰(zhàn)：采購商業(yè)化防護設備

網(wǎng)絡游戲是最容易遭到DDoS攻擊的業(yè)務模式之一。在2008年左右，當時騰訊的幾個主流游戲（QQ堂、QQ炫舞、QQ音速等）開始頻繁遭遇DDoS攻擊，其他業(yè)務有時候也莫名其妙的被攻擊（印象最深刻的就是有一次某個網(wǎng)站被攻擊，團隊忙活了大半天終于頂住了，調(diào)查的時候發(fā)現(xiàn)是一個私服網(wǎng)站被DDoS后干脆破罐子破摔把域名解析過來，簡直是無妄之災）。

為了解決日益頻繁的DDoS攻擊問題，安全團隊需要一套DDoS攻擊防護方案，于是宙斯盾項目（項目內(nèi)部代號，意為像美國宙斯盾系統(tǒng)那樣強力保衛(wèi)騰訊）就誕生了。

宙斯盾項目的技術方案就是從網(wǎng)絡入口鏡像流量到分析系統(tǒng)，分析系統(tǒng)分析流量，如果發(fā)現(xiàn)異常就通過BGP將被攻擊IP的流量牽引到防護系統(tǒng)進行清洗，完成后回注回去。整個方案要在網(wǎng)絡入口檢測機房入流量，如檢測到異常數(shù)據(jù)包就丟棄。攻擊流量檢測相對簡單，流量突增（這個策略有個坑，要考慮到業(yè)務搞活動等流量突增情況，不然會誤殺）或某類報文如syn比例過大或格式不對即視為異常。只需要將流量鏡像過來分析數(shù)據(jù)包即可，這個相對容易可以自己寫代碼搞定，但防護系統(tǒng)相對復雜，通過采購現(xiàn)成的商業(yè)設備來實現(xiàn)。

整體架構示意圖如下：

 

防護系統(tǒng)采購的是綠盟的黑洞和華三的AFC，防護效果都還不錯。還記得當時攻擊最激烈的時候，團隊協(xié)調(diào)多個部門緊急采購緊急上架，著實忙碌了一番。

那個時候機房帶寬都不大（不超過20G），不過攻擊流量也不大，一般幾百M到幾個G（基本沒見過超過10G的），攻擊類型也單一，主要是SYN Flood和UDP Flood。

方案定好后，接下來就是實施，主要涉及運維團隊的工作了。團隊先從經(jīng)常被攻擊的機房開始部署，很快有游戲業(yè)務的幾個機房都已經(jīng)全部覆蓋。下圖就是2010年幾個主流游戲的DDoS攻擊防護統(tǒng)計數(shù)據(jù)。

 

下圖是2009年某個游戲業(yè)務被DDoS攻擊的流量圖，可以看到當年肆虐互聯(lián)網(wǎng)的大流量攻擊才800M而已，而宙斯盾的響應時間非常慢（完全人工操作，效率非常低下），各種環(huán)節(jié)耗費了數(shù)小時。

后來通過不斷的運營迭代優(yōu)化，宙斯盾系統(tǒng)的配套運營工具也趨于完善，自動化需求排上日程并實現(xiàn)，終結了人工應急的原始局面。 

順帶提一下，經(jīng)過團隊的分析，我們發(fā)現(xiàn)黑客針對某款游戲DDoS的最終目的居然是“炸房”后搶占第一個位置售賣廣告位。后來通過業(yè)務模式修改，大大降低了掛廣告的效果，攻擊自然就減少了，也算是從產(chǎn)品設計層面降低安全風險的一個案例。

精益求精：自研防護設備

DDoS攻擊威脅形勢越來越嚴峻。

通過對某年的DDoS攻擊防護數(shù)據(jù)進行分析可以看到，業(yè)務遭受到的超過4G的攻擊就有200多次，而當時大部分機房的防護能力為4G（一個重點機房部署一臺商業(yè)設備），也就是說有200多次攻擊超過了機房防護能力而讓整個機房帶寬擁塞進而影響到該機房所有業(yè)務。

為了應對這個問題，就需要各機房補齊資源，簡單的辦法就是堆砌設備：將5臺商業(yè)設備堆砌起來使得防護能力提升到20G —— 這就意味著要大量補充設備。一臺防護設備可以說是價格昂貴，這里的成本壓力非常大；商業(yè)設備對于一些業(yè)務特定場景的定制化需求響應緩慢甚至無法滿足；再就是設備增加之后，需要統(tǒng)計運營數(shù)據(jù)和統(tǒng)一調(diào)度，但當時的商業(yè)設備只能寫腳本來一臺一臺登錄處理，非常復雜和低效。

成本壓力、定制化需求和運營需求最終讓宙斯盾選擇了自研。

自研一套DDoS攻擊防護系統(tǒng)是個巨大的工程，由于是在網(wǎng)絡核心出入位置，對性能會有較高的要求，其中涉及到網(wǎng)絡架構、硬件架構、軟件架構、安全攻防策略、TCP/IP協(xié)議等技術領域和難點，需要一支對網(wǎng)絡、硬件、研發(fā)、安全都非常熟悉的團隊，好在公司愿意在安全領域不惜血本并且有各個領域的高手：coolc（sponsor，現(xiàn)在已經(jīng)是部門負責人）、chair（“宙斯盾之父”、第一代負責人、系統(tǒng)網(wǎng)絡方面的專家）、熾天使（第二代負責人，安全專家，現(xiàn)任UCloud安全中心負責人）、apple（研發(fā)高手）、plan9（老一輩的人應該看過他的文章《高級shellcode設計技巧》）、老牛（主力研發(fā)，現(xiàn)在是數(shù)據(jù)保護項目負責人）、球頭人牛長（主力研發(fā)，現(xiàn)在已接班成為新一代宙負責人）、xenos（系統(tǒng)網(wǎng)絡方面的專家）、BigHy（主力運營，現(xiàn)在負責大疆的安全）、julang3、honker、瓜哥（不是阿里那個papaya瓜哥）、creative（第三代負責人）、XX、panday、二帥…… —— 當年宙斯盾的同事們，在項目中得以成長，今天仍然在更為廣闊的戰(zhàn)場繼續(xù)默默地為互聯(lián)網(wǎng)安全做著貢獻。

半年后，宙斯盾防護設備已經(jīng)初具雛形，單臺設備最大防護能力10G，能成功防護SYN Flood、ACK Flood、UDP Flood、ICMP Flood等常見攻擊手法，成本僅為商業(yè)設備的十分之一，并且在實戰(zhàn)使用中取得勝利。

于是在2011年初開始灰度部署，新建機房的DDoS防護設備中商業(yè)設備和宙斯盾各占一半，存量機房擴容全部使用宙斯盾。到了2014年，宙斯盾基本上全部覆蓋了所有機房，接下來所有新建機房都是自研設備，這里累計節(jié)省的成本初步估計就上億元。

隨著實戰(zhàn)對抗經(jīng)驗的增加，宙斯盾系統(tǒng)和團隊基本上能夠控制住公司層面的DDoS攻擊威脅。這部分工作也可以參考團隊主力同學們當時寫的系列文章：《宙斯盾系統(tǒng)構建之路——系統(tǒng)介紹》、《宙斯盾——DDoS大眼檢測系統(tǒng)簡介》、《論持久戰(zhàn)——帶你走進騰訊DDoS防護體系》。

同時宙斯盾團隊也鍛煉成為一支身經(jīng)百戰(zhàn)的常勝之師，不僅為公司業(yè)務保駕護航，還會對合作伙伴施以援手。當年滴滴剛剛接入微信支付的時候，大量用戶涌入流量突增，一度懷疑遭到DDoS攻擊，團隊立即連夜支持，迅速查明原因解決了問題。

由于在網(wǎng)絡層有了設備，等于是可以對流量進行分析和處置，除DDoS防護外還可以擴展一些其他能力，比如宙斯盾在緊急情況下還對SSL HeartBleed 0day漏洞進行過臨時防護（彌補應用層防火墻的能力不足），對Web業(yè)務進行防刷，對網(wǎng)絡劫持情況進行分析以及網(wǎng)絡層檢測木馬……這些都取得了不錯的效果，也是流量應用和網(wǎng)絡防護設備的一個發(fā)展方向，有機會另外探討。

外傳：C/L游戲保衛(wèi)戰(zhàn)

游戲行業(yè)歷來是DDoS攻擊的重災區(qū)。C/L游戲一上線就非?；鸨菢浯笳酗L，DDoS攻擊也隨之而來。宙斯盾團隊在這里與攻擊者對抗了數(shù)年之久，期間系統(tǒng)大重構一次，防護策略至少更新幾十輪，產(chǎn)生技術專利十幾個，孵化出產(chǎn)品方案若干，保衛(wèi)戰(zhàn)的慘烈程度可見一斑。

現(xiàn)試描述一二。

 資源消耗之SYN Flood 

最開始的時候攻擊者只是簡單的采用典型的SYN Flood攻擊，這種攻擊主要是產(chǎn)生虛假的TCP連接消耗目標服務器CPU，防護辦法就是以性能強大的防護設備代替服務器去進行TCP連接，把虛假連接硬扛住，本質(zhì)上是攻防雙方性能的比拼。

SYN Flood的防護方案已經(jīng)比較成熟了，不管是用syn cookie算法還是丟棄重傳還是其他什么策略，開啟性能強大的防護設備就可以輕松搞定。另外，隨著各大運營商對偽造源IP地址的數(shù)據(jù)包的治理，很多偽造源IP的包都被路由器丟棄了，威力大打折扣。

資源消耗型的SYN Flood攻擊被防住后，攻擊者又在基礎上衍生出一種流量型SYN Flood，就是直接發(fā)syn大包，以大流量阻塞網(wǎng)絡為目的，防護方案也簡單，丟掉這種無效syn包即可。后來又出現(xiàn)混合型的SYN Flood，既有資源消耗型SYN Flood又有流量型syn大包。

僵尸傀儡之流量攻擊

大流量UDP Flood也是常見的攻擊方式，通過大流量阻塞機房帶寬，不過也是比較容易防護的：丟棄掉這些非業(yè)務端口或者特定格式的UDP包即可。同樣隨著運營商的治理，偽造源IP的UDP包威力也大減，所以導致攻擊者必須依靠龐大的僵尸網(wǎng)絡實施真實IP的攻擊。

隨著物聯(lián)網(wǎng)時代到來，越來越多IoT設備也連接到了互聯(lián)網(wǎng)，但是這種傳統(tǒng)的線下廠商顯然沒有應對互聯(lián)網(wǎng)安全威脅的經(jīng)驗，這些設備存在各種安全問題，被黑客控制后成為DDoS肉雞。有了IoT僵尸（如著名的Mirai及其變種）加持，DDoS攻擊的流量不斷刷新紀錄，動輒500+G，上T也不鮮見。

宙斯盾團隊對攻擊源IP進行分析發(fā)現(xiàn)，近幾年的攻擊源來自IoT/智能設備（如智能路由器、攝像頭、智能插座、智能門鎖）的數(shù)量呈上升趨勢，也是從一個側(cè)面反映出萬物互聯(lián)時代的到來。我們把這部分被黑客利用的IP作為黑名單庫，防護的時候直接丟棄，甚至還用到其他安全系統(tǒng)去（看，這是威脅情報應用）。

另外，流量大了之后就帶來一個問題，流量已經(jīng)超過機房物理帶寬，換句話說就是機房已經(jīng)被打爆了（這是完全超過，還不算那種達到帶寬百分之七八十就抖動的狗血情況）。這種攻擊的應對就非常消耗資源：要么繼續(xù)投資源建設超大帶寬的機房（帶寬很貴的），然后防護資源滿配，要么就讓運營商在上一層做清洗（比如電信的云堤。我們也有和一些運營商合建DDoS高防服務）。

“天下熙熙，皆為利來；天下攘攘，皆為利往”，我們的數(shù)據(jù)還監(jiān)測到一個有意思的現(xiàn)象：隨著一個階段的實施DDoS攻擊成本的增加、刑事風險的增加以及獲利減少，好多肉雞不再進行DDoS而是用于挖礦了。

以小博大之反射型DDoS攻擊

自從DNS反射型DDoS攻擊被實戰(zhàn)應用之后，這種攻擊就一直在進化，各種協(xié)議（DNS、SNMP、LDAP、SSDP、NTP、Memcached、IPMI）都陸續(xù)被挖掘出來并實際攻擊，放大系數(shù)也越來越大，整合起來的流量也越來越大，從12年的65G到后來的650G。

反射型攻擊防護起來比較容易，因為大部分被攻擊的業(yè)務是不會需要這些協(xié)議的（呃，DNS Server是個特例），按協(xié)議特征或者來源/目的端口過濾掉就行了 —— 還是那個問題，如果攻擊流量超過帶寬就會比較麻煩。

我們看到的某一時期的反射型DDoS攻擊分類比例：

我們看到的某一時期SNMP反射型DDoS攻擊源全球分布：

終極對戰(zhàn)之協(xié)議模擬攻擊

深入業(yè)務邏輯的對抗來了，是時候展示真正的技術了。

攻擊者繼續(xù)變招，采取了小流量UDP Flood攻擊業(yè)務端口，當流量在一定區(qū)間的時候可以阻塞業(yè)務端口，該端口對應的游戲房間會崩潰，但是又不至于對游戲整體有影響 —— 與之前的入流量陡增及掉線數(shù)突增不同，這種攻擊讓數(shù)據(jù)在大的面上不會有波動，需要通過精細化運營來發(fā)現(xiàn)。

團隊發(fā)現(xiàn)上述情況后對策略進行了升級，針對業(yè)務端口僅允許符合該游戲協(xié)議格式的UDP包通過，攻擊又被緩解了。

攻擊者繼續(xù)變招，這次他們直接模擬正常的游戲協(xié)議格式然后向業(yè)務端口發(fā)包 —— 這就是四層的CC攻擊。

這次怎么緩解呢？一個方案是檢測IP的狀態(tài)（即該IP之前應該登陸過所以要跟游戲Server打通維護一個IP狀態(tài)表，不在表中的的IP發(fā)來的數(shù)據(jù)包不管格式如何直接丟棄）；另一個方案就是“安全水印”（即游戲客戶端動態(tài)生成token，防護設備校驗數(shù)據(jù)包里的token是否合法）。

從原理上看這種方案跟下發(fā)JavaScript防護CC攻擊的方案類似，只是針對B/S架構的CC攻擊可以下發(fā)JavaScript讓瀏覽器實時執(zhí)行去生成“水印”，而C/S架構就只能預埋邏輯到客戶端了。

無論哪種方案都需要防護設備能夠快速響應需求，迅速迭代版本，自研的優(yōu)勢就體現(xiàn)出來了。同時我們也把在業(yè)務穩(wěn)定運營的“安全水印”輸出為產(chǎn)品，為騰訊云上客戶提供服務。

 

重裝升級：云中鏖戰(zhàn)

安全團隊的價值是降低業(yè)務風險，進一步價值是提升業(yè)務的核心競爭力，終極價值是成為盈利單元。把內(nèi)部業(yè)務服務好了，下一步就是能力輸出。

隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)企業(yè)也要擁抱互聯(lián)網(wǎng)開展線上業(yè)務（互聯(lián)網(wǎng)+傳統(tǒng)行業(yè) = 產(chǎn)業(yè)互聯(lián)網(wǎng)），使用云計算是一個方便低成本的解決方案，同時也為安全服務提供了一個入口。

云上的DDoS情況跟自研差異較大，長尾客戶多、技術架構復雜、特殊情況頻發(fā) —— 老革命遇到了新問題，于是宙斯盾從技術架構、系統(tǒng)運營、數(shù)據(jù)分析、產(chǎn)品設計等方面全面重構以適應云時代的需要?；苏荒?，宙斯盾系統(tǒng)終于重裝升級，不僅是架構、運營、數(shù)據(jù)、產(chǎn)品層面得到提升，而且還嘗試引入機器學習基線模型去智能地判斷攻擊，新架構基本控制住了這里的問題，同時也實現(xiàn)了安全的終極價值 —— 以宙斯盾為底層支撐的騰訊云大禹和宙斯盾DDoS防護服務牛刀小試，收入可觀。

云上客戶與公司業(yè)務同事不同，云上客戶人數(shù)多而且容忍度低，所以不能把粗獷的內(nèi)部系統(tǒng)給客戶，而是要注重產(chǎn)品體驗。另一個需要注意的就是云上業(yè)務復雜，很多時候過往經(jīng)驗并不適用。我們見過一些客戶的系統(tǒng)健壯性不足，很小流量的攻擊系統(tǒng)就崩潰了，根本來不及觸發(fā)防護閾值。針對這種情況，我們就把一些通用配置下放到客戶側(cè)，客戶按實際情況來配置。此外，一些復雜配置也可以以專家模式提供給用戶。

云上業(yè)務的復雜性導致云上的DDoS攻防比自營業(yè)務還激烈，尤其是近幾年隨著云業(yè)務的發(fā)展，DDoS攻擊數(shù)量、攻擊手法、最大峰值、業(yè)務數(shù)都超過了自營業(yè)務（比如某個云客戶遭遇到的1.2T攻擊），這些挑戰(zhàn)是好事，通過對這些攻擊的不斷運營優(yōu)化反過來又促進了宙斯盾系統(tǒng)的迭代優(yōu)化。

我們看看被DDoS攻擊的行業(yè)分布，很有代表性。

未來還在繼續(xù)，云上宙斯盾還在不斷迭代優(yōu)化。

后記

DDoS攻擊和防護的本質(zhì)是攻防雙方資源的對抗，一方要不斷囤積大量資源具備超大流量輸出，一方要不斷建設能夠抗住超大流量的帶寬，對抗的成本和激烈程度甚至可以用軍備競賽來形容（每年我們的服務器運營成本就是數(shù)千萬）。跟入侵一樣，大部分普通攻擊比較容易防護，真正厲害的是頂尖高手（比如利用核心交換路由系統(tǒng)bug進行DoS的幾十字節(jié)數(shù)據(jù)包，再比如針對防護設備本身的DDoS……）。

技術對抗是一方面，在技術之外的刑事打擊和震懾必不可少。

就在寫作本文時，宙斯盾的100G高性能支持IPv6版本已經(jīng)在全面部署中，400G以及具備邊緣計算能力的智能網(wǎng)卡新設備預研已在路上。時代變遷，技術發(fā)展飛快，但是我們始終要記得，安全是一個過程，建設系統(tǒng)永遠是第一步，通過運營來不斷迭代優(yōu)化才是安全體系的核心。

附錄

Lake2的企業(yè)安全九部曲（未完待續(xù)）：

自研之路：騰訊漏洞掃描系統(tǒng)的十年歷程

企業(yè)安全應急響應中心建設理論與實踐

捻亂止于河防——淺談企業(yè)入侵防御體系建設

本文由騰訊安全投稿，雷鋒網(wǎng)宅客頻道編輯。雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。