作者：騰訊安全平臺(tái)部 lake2

前言

DDoS攻擊（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）的歷史可以追溯到1996年（還記得經(jīng)典的Ping of Death嗎），互聯(lián)網(wǎng)技術(shù)飛速發(fā)展了二十多年，DDoS的攻擊手法也在不斷演進(jìn)，目前它仍然是最活躍的黑客攻擊方式之一：每天互聯(lián)網(wǎng)都會(huì)發(fā)生不計(jì)其數(shù)的DDoS攻擊 —— 這種攻擊方式簡(jiǎn)單粗暴直接有效，深受攻擊者們的青睞。

隨著時(shí)代的發(fā)展，黑客技術(shù)已經(jīng)滋生黑色產(chǎn)業(yè)鏈，從最初的技術(shù)炫耀到惡意報(bào)復(fù)、敲詐勒索乃至商業(yè)競(jìng)爭(zhēng) —— DDoS攻擊也不例外，互聯(lián)網(wǎng)公司特別是知名的或者特定行業(yè)的互聯(lián)網(wǎng)公司最容易遭受DDoS攻擊威脅。騰訊自然也深受其害，在DDoS攻擊防護(hù)體系構(gòu)建的過(guò)程中積累了一些經(jīng)驗(yàn)和血淚教訓(xùn)，特整理成文供同行參考。

緊急應(yīng)戰(zhàn)：采購(gòu)商業(yè)化防護(hù)設(shè)備

網(wǎng)絡(luò)游戲是最容易遭到DDoS攻擊的業(yè)務(wù)模式之一。在2008年左右，當(dāng)時(shí)騰訊的幾個(gè)主流游戲（QQ堂、QQ炫舞、QQ音速等）開始頻繁遭遇DDoS攻擊，其他業(yè)務(wù)有時(shí)候也莫名其妙的被攻擊（印象最深刻的就是有一次某個(gè)網(wǎng)站被攻擊，團(tuán)隊(duì)忙活了大半天終于頂住了，調(diào)查的時(shí)候發(fā)現(xiàn)是一個(gè)私服網(wǎng)站被DDoS后干脆破罐子破摔把域名解析過(guò)來(lái)，簡(jiǎn)直是無(wú)妄之災(zāi)）。

為了解決日益頻繁的DDoS攻擊問(wèn)題，安全團(tuán)隊(duì)需要一套DDoS攻擊防護(hù)方案，于是宙斯盾項(xiàng)目（項(xiàng)目?jī)?nèi)部代號(hào)，意為像美國(guó)宙斯盾系統(tǒng)那樣強(qiáng)力保衛(wèi)騰訊）就誕生了。

宙斯盾項(xiàng)目的技術(shù)方案就是從網(wǎng)絡(luò)入口鏡像流量到分析系統(tǒng)，分析系統(tǒng)分析流量，如果發(fā)現(xiàn)異常就通過(guò)BGP將被攻擊IP的流量牽引到防護(hù)系統(tǒng)進(jìn)行清洗，完成后回注回去。整個(gè)方案要在網(wǎng)絡(luò)入口檢測(cè)機(jī)房入流量，如檢測(cè)到異常數(shù)據(jù)包就丟棄。攻擊流量檢測(cè)相對(duì)簡(jiǎn)單，流量突增（這個(gè)策略有個(gè)坑，要考慮到業(yè)務(wù)搞活動(dòng)等流量突增情況，不然會(huì)誤殺）或某類報(bào)文如syn比例過(guò)大或格式不對(duì)即視為異常。只需要將流量鏡像過(guò)來(lái)分析數(shù)據(jù)包即可，這個(gè)相對(duì)容易可以自己寫代碼搞定，但防護(hù)系統(tǒng)相對(duì)復(fù)雜，通過(guò)采購(gòu)現(xiàn)成的商業(yè)設(shè)備來(lái)實(shí)現(xiàn)。

整體架構(gòu)示意圖如下：

 

防護(hù)系統(tǒng)采購(gòu)的是綠盟的黑洞和華三的AFC，防護(hù)效果都還不錯(cuò)。還記得當(dāng)時(shí)攻擊最激烈的時(shí)候，團(tuán)隊(duì)協(xié)調(diào)多個(gè)部門緊急采購(gòu)緊急上架，著實(shí)忙碌了一番。

那個(gè)時(shí)候機(jī)房帶寬都不大（不超過(guò)20G），不過(guò)攻擊流量也不大，一般幾百M(fèi)到幾個(gè)G（基本沒見過(guò)超過(guò)10G的），攻擊類型也單一，主要是SYN Flood和UDP Flood。

方案定好后，接下來(lái)就是實(shí)施，主要涉及運(yùn)維團(tuán)隊(duì)的工作了。團(tuán)隊(duì)先從經(jīng)常被攻擊的機(jī)房開始部署，很快有游戲業(yè)務(wù)的幾個(gè)機(jī)房都已經(jīng)全部覆蓋。下圖就是2010年幾個(gè)主流游戲的DDoS攻擊防護(hù)統(tǒng)計(jì)數(shù)據(jù)。

 

下圖是2009年某個(gè)游戲業(yè)務(wù)被DDoS攻擊的流量圖，可以看到當(dāng)年肆虐互聯(lián)網(wǎng)的大流量攻擊才800M而已，而宙斯盾的響應(yīng)時(shí)間非常慢（完全人工操作，效率非常低下），各種環(huán)節(jié)耗費(fèi)了數(shù)小時(shí)。

后來(lái)通過(guò)不斷的運(yùn)營(yíng)迭代優(yōu)化，宙斯盾系統(tǒng)的配套運(yùn)營(yíng)工具也趨于完善，自動(dòng)化需求排上日程并實(shí)現(xiàn)，終結(jié)了人工應(yīng)急的原始局面。 

順帶提一下，經(jīng)過(guò)團(tuán)隊(duì)的分析，我們發(fā)現(xiàn)黑客針對(duì)某款游戲DDoS的最終目的居然是“炸房”后搶占第一個(gè)位置售賣廣告位。后來(lái)通過(guò)業(yè)務(wù)模式修改，大大降低了掛廣告的效果，攻擊自然就減少了，也算是從產(chǎn)品設(shè)計(jì)層面降低安全風(fēng)險(xiǎn)的一個(gè)案例。

精益求精：自研防護(hù)設(shè)備

DDoS攻擊威脅形勢(shì)越來(lái)越嚴(yán)峻。

通過(guò)對(duì)某年的DDoS攻擊防護(hù)數(shù)據(jù)進(jìn)行分析可以看到，業(yè)務(wù)遭受到的超過(guò)4G的攻擊就有200多次，而當(dāng)時(shí)大部分機(jī)房的防護(hù)能力為4G（一個(gè)重點(diǎn)機(jī)房部署一臺(tái)商業(yè)設(shè)備），也就是說(shuō)有200多次攻擊超過(guò)了機(jī)房防護(hù)能力而讓整個(gè)機(jī)房帶寬擁塞進(jìn)而影響到該機(jī)房所有業(yè)務(wù)。

為了應(yīng)對(duì)這個(gè)問(wèn)題，就需要各機(jī)房補(bǔ)齊資源，簡(jiǎn)單的辦法就是堆砌設(shè)備：將5臺(tái)商業(yè)設(shè)備堆砌起來(lái)使得防護(hù)能力提升到20G —— 這就意味著要大量補(bǔ)充設(shè)備。一臺(tái)防護(hù)設(shè)備可以說(shuō)是價(jià)格昂貴，這里的成本壓力非常大；商業(yè)設(shè)備對(duì)于一些業(yè)務(wù)特定場(chǎng)景的定制化需求響應(yīng)緩慢甚至無(wú)法滿足；再就是設(shè)備增加之后，需要統(tǒng)計(jì)運(yùn)營(yíng)數(shù)據(jù)和統(tǒng)一調(diào)度，但當(dāng)時(shí)的商業(yè)設(shè)備只能寫腳本來(lái)一臺(tái)一臺(tái)登錄處理，非常復(fù)雜和低效。

成本壓力、定制化需求和運(yùn)營(yíng)需求最終讓宙斯盾選擇了自研。

自研一套DDoS攻擊防護(hù)系統(tǒng)是個(gè)巨大的工程，由于是在網(wǎng)絡(luò)核心出入位置，對(duì)性能會(huì)有較高的要求，其中涉及到網(wǎng)絡(luò)架構(gòu)、硬件架構(gòu)、軟件架構(gòu)、安全攻防策略、TCP/IP協(xié)議等技術(shù)領(lǐng)域和難點(diǎn)，需要一支對(duì)網(wǎng)絡(luò)、硬件、研發(fā)、安全都非常熟悉的團(tuán)隊(duì)，好在公司愿意在安全領(lǐng)域不惜血本并且有各個(gè)領(lǐng)域的高手：coolc（sponsor，現(xiàn)在已經(jīng)是部門負(fù)責(zé)人）、chair（“宙斯盾之父”、第一代負(fù)責(zé)人、系統(tǒng)網(wǎng)絡(luò)方面的專家）、熾天使（第二代負(fù)責(zé)人，安全專家，現(xiàn)任UCloud安全中心負(fù)責(zé)人）、apple（研發(fā)高手）、plan9（老一輩的人應(yīng)該看過(guò)他的文章《高級(jí)shellcode設(shè)計(jì)技巧》）、老牛（主力研發(fā)，現(xiàn)在是數(shù)據(jù)保護(hù)項(xiàng)目負(fù)責(zé)人）、球頭人牛長(zhǎng)（主力研發(fā)，現(xiàn)在已接班成為新一代宙負(fù)責(zé)人）、xenos（系統(tǒng)網(wǎng)絡(luò)方面的專家）、BigHy（主力運(yùn)營(yíng)，現(xiàn)在負(fù)責(zé)大疆的安全）、julang3、honker、瓜哥（不是阿里那個(gè)papaya瓜哥）、creative（第三代負(fù)責(zé)人）、XX、panday、二帥…… —— 當(dāng)年宙斯盾的同事們，在項(xiàng)目中得以成長(zhǎng)，今天仍然在更為廣闊的戰(zhàn)場(chǎng)繼續(xù)默默地為互聯(lián)網(wǎng)安全做著貢獻(xiàn)。

半年后，宙斯盾防護(hù)設(shè)備已經(jīng)初具雛形，單臺(tái)設(shè)備最大防護(hù)能力10G，能成功防護(hù)SYN Flood、ACK Flood、UDP Flood、ICMP Flood等常見攻擊手法，成本僅為商業(yè)設(shè)備的十分之一，并且在實(shí)戰(zhàn)使用中取得勝利。

于是在2011年初開始灰度部署，新建機(jī)房的DDoS防護(hù)設(shè)備中商業(yè)設(shè)備和宙斯盾各占一半，存量機(jī)房擴(kuò)容全部使用宙斯盾。到了2014年，宙斯盾基本上全部覆蓋了所有機(jī)房，接下來(lái)所有新建機(jī)房都是自研設(shè)備，這里累計(jì)節(jié)省的成本初步估計(jì)就上億元。

隨著實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)的增加，宙斯盾系統(tǒng)和團(tuán)隊(duì)基本上能夠控制住公司層面的DDoS攻擊威脅。這部分工作也可以參考團(tuán)隊(duì)主力同學(xué)們當(dāng)時(shí)寫的系列文章：《宙斯盾系統(tǒng)構(gòu)建之路——系統(tǒng)介紹》、《宙斯盾——DDoS大眼檢測(cè)系統(tǒng)簡(jiǎn)介》、《論持久戰(zhàn)——帶你走進(jìn)騰訊DDoS防護(hù)體系》。

同時(shí)宙斯盾團(tuán)隊(duì)也鍛煉成為一支身經(jīng)百戰(zhàn)的常勝之師，不僅為公司業(yè)務(wù)保駕護(hù)航，還會(huì)對(duì)合作伙伴施以援手。當(dāng)年滴滴剛剛接入微信支付的時(shí)候，大量用戶涌入流量突增，一度懷疑遭到DDoS攻擊，團(tuán)隊(duì)立即連夜支持，迅速查明原因解決了問(wèn)題。

由于在網(wǎng)絡(luò)層有了設(shè)備，等于是可以對(duì)流量進(jìn)行分析和處置，除DDoS防護(hù)外還可以擴(kuò)展一些其他能力，比如宙斯盾在緊急情況下還對(duì)SSL HeartBleed 0day漏洞進(jìn)行過(guò)臨時(shí)防護(hù)（彌補(bǔ)應(yīng)用層防火墻的能力不足），對(duì)Web業(yè)務(wù)進(jìn)行防刷，對(duì)網(wǎng)絡(luò)劫持情況進(jìn)行分析以及網(wǎng)絡(luò)層檢測(cè)木馬……這些都取得了不錯(cuò)的效果，也是流量應(yīng)用和網(wǎng)絡(luò)防護(hù)設(shè)備的一個(gè)發(fā)展方向，有機(jī)會(huì)另外探討。

外傳：C/L游戲保衛(wèi)戰(zhàn)

游戲行業(yè)歷來(lái)是DDoS攻擊的重災(zāi)區(qū)。C/L游戲一上線就非?；鸨?，但是樹大招風(fēng)，DDoS攻擊也隨之而來(lái)。宙斯盾團(tuán)隊(duì)在這里與攻擊者對(duì)抗了數(shù)年之久，期間系統(tǒng)大重構(gòu)一次，防護(hù)策略至少更新幾十輪，產(chǎn)生技術(shù)專利十幾個(gè)，孵化出產(chǎn)品方案若干，保衛(wèi)戰(zhàn)的慘烈程度可見一斑。

現(xiàn)試描述一二。

 資源消耗之SYN Flood 

最開始的時(shí)候攻擊者只是簡(jiǎn)單的采用典型的SYN Flood攻擊，這種攻擊主要是產(chǎn)生虛假的TCP連接消耗目標(biāo)服務(wù)器CPU，防護(hù)辦法就是以性能強(qiáng)大的防護(hù)設(shè)備代替服務(wù)器去進(jìn)行TCP連接，把虛假連接硬扛住，本質(zhì)上是攻防雙方性能的比拼。

SYN Flood的防護(hù)方案已經(jīng)比較成熟了，不管是用syn cookie算法還是丟棄重傳還是其他什么策略，開啟性能強(qiáng)大的防護(hù)設(shè)備就可以輕松搞定。另外，隨著各大運(yùn)營(yíng)商對(duì)偽造源IP地址的數(shù)據(jù)包的治理，很多偽造源IP的包都被路由器丟棄了，威力大打折扣。

資源消耗型的SYN Flood攻擊被防住后，攻擊者又在基礎(chǔ)上衍生出一種流量型SYN Flood，就是直接發(fā)syn大包，以大流量阻塞網(wǎng)絡(luò)為目的，防護(hù)方案也簡(jiǎn)單，丟掉這種無(wú)效syn包即可。后來(lái)又出現(xiàn)混合型的SYN Flood，既有資源消耗型SYN Flood又有流量型syn大包。

僵尸傀儡之流量攻擊

大流量UDP Flood也是常見的攻擊方式，通過(guò)大流量阻塞機(jī)房帶寬，不過(guò)也是比較容易防護(hù)的：丟棄掉這些非業(yè)務(wù)端口或者特定格式的UDP包即可。同樣隨著運(yùn)營(yíng)商的治理，偽造源IP的UDP包威力也大減，所以導(dǎo)致攻擊者必須依靠龐大的僵尸網(wǎng)絡(luò)實(shí)施真實(shí)IP的攻擊。

隨著物聯(lián)網(wǎng)時(shí)代到來(lái)，越來(lái)越多IoT設(shè)備也連接到了互聯(lián)網(wǎng)，但是這種傳統(tǒng)的線下廠商顯然沒有應(yīng)對(duì)互聯(lián)網(wǎng)安全威脅的經(jīng)驗(yàn)，這些設(shè)備存在各種安全問(wèn)題，被黑客控制后成為DDoS肉雞。有了IoT僵尸（如著名的Mirai及其變種）加持，DDoS攻擊的流量不斷刷新紀(jì)錄，動(dòng)輒500+G，上T也不鮮見。

宙斯盾團(tuán)隊(duì)對(duì)攻擊源IP進(jìn)行分析發(fā)現(xiàn)，近幾年的攻擊源來(lái)自IoT/智能設(shè)備（如智能路由器、攝像頭、智能插座、智能門鎖）的數(shù)量呈上升趨勢(shì)，也是從一個(gè)側(cè)面反映出萬(wàn)物互聯(lián)時(shí)代的到來(lái)。我們把這部分被黑客利用的IP作為黑名單庫(kù)，防護(hù)的時(shí)候直接丟棄，甚至還用到其他安全系統(tǒng)去（看，這是威脅情報(bào)應(yīng)用）。

另外，流量大了之后就帶來(lái)一個(gè)問(wèn)題，流量已經(jīng)超過(guò)機(jī)房物理帶寬，換句話說(shuō)就是機(jī)房已經(jīng)被打爆了（這是完全超過(guò)，還不算那種達(dá)到帶寬百分之七八十就抖動(dòng)的狗血情況）。這種攻擊的應(yīng)對(duì)就非常消耗資源：要么繼續(xù)投資源建設(shè)超大帶寬的機(jī)房（帶寬很貴的），然后防護(hù)資源滿配，要么就讓運(yùn)營(yíng)商在上一層做清洗（比如電信的云堤。我們也有和一些運(yùn)營(yíng)商合建DDoS高防服務(wù)）。

“天下熙熙，皆為利來(lái)；天下攘攘，皆為利往”，我們的數(shù)據(jù)還監(jiān)測(cè)到一個(gè)有意思的現(xiàn)象：隨著一個(gè)階段的實(shí)施DDoS攻擊成本的增加、刑事風(fēng)險(xiǎn)的增加以及獲利減少，好多肉雞不再進(jìn)行DDoS而是用于挖礦了。

以小博大之反射型DDoS攻擊

自從DNS反射型DDoS攻擊被實(shí)戰(zhàn)應(yīng)用之后，這種攻擊就一直在進(jìn)化，各種協(xié)議（DNS、SNMP、LDAP、SSDP、NTP、Memcached、IPMI）都陸續(xù)被挖掘出來(lái)并實(shí)際攻擊，放大系數(shù)也越來(lái)越大，整合起來(lái)的流量也越來(lái)越大，從12年的65G到后來(lái)的650G。

反射型攻擊防護(hù)起來(lái)比較容易，因?yàn)榇蟛糠直还舻臉I(yè)務(wù)是不會(huì)需要這些協(xié)議的（呃，DNS Server是個(gè)特例），按協(xié)議特征或者來(lái)源/目的端口過(guò)濾掉就行了 —— 還是那個(gè)問(wèn)題，如果攻擊流量超過(guò)帶寬就會(huì)比較麻煩。

我們看到的某一時(shí)期的反射型DDoS攻擊分類比例：

我們看到的某一時(shí)期SNMP反射型DDoS攻擊源全球分布：

終極對(duì)戰(zhàn)之協(xié)議模擬攻擊

深入業(yè)務(wù)邏輯的對(duì)抗來(lái)了，是時(shí)候展示真正的技術(shù)了。

攻擊者繼續(xù)變招，采取了小流量UDP Flood攻擊業(yè)務(wù)端口，當(dāng)流量在一定區(qū)間的時(shí)候可以阻塞業(yè)務(wù)端口，該端口對(duì)應(yīng)的游戲房間會(huì)崩潰，但是又不至于對(duì)游戲整體有影響 —— 與之前的入流量陡增及掉線數(shù)突增不同，這種攻擊讓數(shù)據(jù)在大的面上不會(huì)有波動(dòng)，需要通過(guò)精細(xì)化運(yùn)營(yíng)來(lái)發(fā)現(xiàn)。

團(tuán)隊(duì)發(fā)現(xiàn)上述情況后對(duì)策略進(jìn)行了升級(jí)，針對(duì)業(yè)務(wù)端口僅允許符合該游戲協(xié)議格式的UDP包通過(guò)，攻擊又被緩解了。

攻擊者繼續(xù)變招，這次他們直接模擬正常的游戲協(xié)議格式然后向業(yè)務(wù)端口發(fā)包 —— 這就是四層的CC攻擊。

這次怎么緩解呢？一個(gè)方案是檢測(cè)IP的狀態(tài)（即該IP之前應(yīng)該登陸過(guò)所以要跟游戲Server打通維護(hù)一個(gè)IP狀態(tài)表，不在表中的的IP發(fā)來(lái)的數(shù)據(jù)包不管格式如何直接丟棄）；另一個(gè)方案就是“安全水印”（即游戲客戶端動(dòng)態(tài)生成token，防護(hù)設(shè)備校驗(yàn)數(shù)據(jù)包里的token是否合法）。

從原理上看這種方案跟下發(fā)JavaScript防護(hù)CC攻擊的方案類似，只是針對(duì)B/S架構(gòu)的CC攻擊可以下發(fā)JavaScript讓瀏覽器實(shí)時(shí)執(zhí)行去生成“水印”，而C/S架構(gòu)就只能預(yù)埋邏輯到客戶端了。

無(wú)論哪種方案都需要防護(hù)設(shè)備能夠快速響應(yīng)需求，迅速迭代版本，自研的優(yōu)勢(shì)就體現(xiàn)出來(lái)了。同時(shí)我們也把在業(yè)務(wù)穩(wěn)定運(yùn)營(yíng)的“安全水印”輸出為產(chǎn)品，為騰訊云上客戶提供服務(wù)。

 

重裝升級(jí)：云中鏖戰(zhàn)

安全團(tuán)隊(duì)的價(jià)值是降低業(yè)務(wù)風(fēng)險(xiǎn)，進(jìn)一步價(jià)值是提升業(yè)務(wù)的核心競(jìng)爭(zhēng)力，終極價(jià)值是成為盈利單元。把內(nèi)部業(yè)務(wù)服務(wù)好了，下一步就是能力輸出。

隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)企業(yè)也要擁抱互聯(lián)網(wǎng)開展線上業(yè)務(wù)（互聯(lián)網(wǎng)+傳統(tǒng)行業(yè) = 產(chǎn)業(yè)互聯(lián)網(wǎng)），使用云計(jì)算是一個(gè)方便低成本的解決方案，同時(shí)也為安全服務(wù)提供了一個(gè)入口。

云上的DDoS情況跟自研差異較大，長(zhǎng)尾客戶多、技術(shù)架構(gòu)復(fù)雜、特殊情況頻發(fā) —— 老革命遇到了新問(wèn)題，于是宙斯盾從技術(shù)架構(gòu)、系統(tǒng)運(yùn)營(yíng)、數(shù)據(jù)分析、產(chǎn)品設(shè)計(jì)等方面全面重構(gòu)以適應(yīng)云時(shí)代的需要?；苏荒辏嫠苟芟到y(tǒng)終于重裝升級(jí)，不僅是架構(gòu)、運(yùn)營(yíng)、數(shù)據(jù)、產(chǎn)品層面得到提升，而且還嘗試引入機(jī)器學(xué)習(xí)基線模型去智能地判斷攻擊，新架構(gòu)基本控制住了這里的問(wèn)題，同時(shí)也實(shí)現(xiàn)了安全的終極價(jià)值 —— 以宙斯盾為底層支撐的騰訊云大禹和宙斯盾DDoS防護(hù)服務(wù)牛刀小試，收入可觀。

云上客戶與公司業(yè)務(wù)同事不同，云上客戶人數(shù)多而且容忍度低，所以不能把粗獷的內(nèi)部系統(tǒng)給客戶，而是要注重產(chǎn)品體驗(yàn)。另一個(gè)需要注意的就是云上業(yè)務(wù)復(fù)雜，很多時(shí)候過(guò)往經(jīng)驗(yàn)并不適用。我們見過(guò)一些客戶的系統(tǒng)健壯性不足，很小流量的攻擊系統(tǒng)就崩潰了，根本來(lái)不及觸發(fā)防護(hù)閾值。針對(duì)這種情況，我們就把一些通用配置下放到客戶側(cè)，客戶按實(shí)際情況來(lái)配置。此外，一些復(fù)雜配置也可以以專家模式提供給用戶。

云上業(yè)務(wù)的復(fù)雜性導(dǎo)致云上的DDoS攻防比自營(yíng)業(yè)務(wù)還激烈，尤其是近幾年隨著云業(yè)務(wù)的發(fā)展，DDoS攻擊數(shù)量、攻擊手法、最大峰值、業(yè)務(wù)數(shù)都超過(guò)了自營(yíng)業(yè)務(wù)（比如某個(gè)云客戶遭遇到的1.2T攻擊），這些挑戰(zhàn)是好事，通過(guò)對(duì)這些攻擊的不斷運(yùn)營(yíng)優(yōu)化反過(guò)來(lái)又促進(jìn)了宙斯盾系統(tǒng)的迭代優(yōu)化。

我們看看被DDoS攻擊的行業(yè)分布，很有代表性。

未來(lái)還在繼續(xù)，云上宙斯盾還在不斷迭代優(yōu)化。

后記

DDoS攻擊和防護(hù)的本質(zhì)是攻防雙方資源的對(duì)抗，一方要不斷囤積大量資源具備超大流量輸出，一方要不斷建設(shè)能夠抗住超大流量的帶寬，對(duì)抗的成本和激烈程度甚至可以用軍備競(jìng)賽來(lái)形容（每年我們的服務(wù)器運(yùn)營(yíng)成本就是數(shù)千萬(wàn)）。跟入侵一樣，大部分普通攻擊比較容易防護(hù)，真正厲害的是頂尖高手（比如利用核心交換路由系統(tǒng)bug進(jìn)行DoS的幾十字節(jié)數(shù)據(jù)包，再比如針對(duì)防護(hù)設(shè)備本身的DDoS……）。

技術(shù)對(duì)抗是一方面，在技術(shù)之外的刑事打擊和震懾必不可少。

就在寫作本文時(shí)，宙斯盾的100G高性能支持IPv6版本已經(jīng)在全面部署中，400G以及具備邊緣計(jì)算能力的智能網(wǎng)卡新設(shè)備預(yù)研已在路上。時(shí)代變遷，技術(shù)發(fā)展飛快，但是我們始終要記得，安全是一個(gè)過(guò)程，建設(shè)系統(tǒng)永遠(yuǎn)是第一步，通過(guò)運(yùn)營(yíng)來(lái)不斷迭代優(yōu)化才是安全體系的核心。

附錄

Lake2的企業(yè)安全九部曲（未完待續(xù)）：

自研之路：騰訊漏洞掃描系統(tǒng)的十年歷程

企業(yè)安全應(yīng)急響應(yīng)中心建設(shè)理論與實(shí)踐

捻亂止于河防——淺談企業(yè)入侵防御體系建設(shè)

本文由騰訊安全投稿，雷鋒網(wǎng)宅客頻道編輯。雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。