DDoS的成本非常低，得到這種進(jìn)攻能力，就像在美國(guó)得到槍一樣容易。

Tony Lee 做了如上的比喻，作為前安全寶的聯(lián)合創(chuàng)始人、現(xiàn)任百度云安全首席架構(gòu)師，對(duì)于DDoS攻防的血雨腥風(fēng)可謂司空見慣。（不知道什么是DDoS攻擊？趕快去戳：漫畫告訴你什么是DDoS攻擊？）在他眼里，這種對(duì)抗中雙方的地位并不平衡。“正常的用戶業(yè)務(wù)只需要幾十兆到幾百兆帶寬，這樣的帶寬和黑客們幾十G上百G的攻擊能力并不在同一個(gè)數(shù)量級(jí)，幾槍就會(huì)掛掉?！?/p>

Tony Lee

鑒于DDoS已經(jīng)形成了完整的黑色產(chǎn)業(yè)，抗DDoS也成為了一門賺錢的生意。自然，抗DDoS能力也成為了各大云安全廠商軍備競(jìng)賽的重要指標(biāo)。于是便有了今年9月，由他親自上陣策劃的一場(chǎng)“抗D界”的“重頭戲”——現(xiàn)場(chǎng)進(jìn)行DDoS攻防演練，并且達(dá)到史上最高的1Tbps流量。

這次演練百度云安全分飾兩角，一邊拉著帶寬資源豐富的基友樂視云打出了1T流量的攻擊，一邊挺身迎接自己的“拳頭”。Tony 回憶，百度云安全迄今為止防護(hù)的最大攻擊流量不到300G。而這次演練大大超越了真實(shí)出現(xiàn)過的攻擊強(qiáng)度。如此做的邏輯是：“在你對(duì)付恐怖分子的時(shí)候，并不確定他們的火力強(qiáng)弱，但為了萬無一失，你要想象他們有導(dǎo)彈?！?/p>

除去現(xiàn)場(chǎng)眼花繚亂的攻防示意和隨著攻擊流量攀升的氣氛，這次演練最耐人尋味的部分恰恰是“演練”這兩個(gè)字本身。因?yàn)樵谟洃浿心呐伦顟K烈的軍事演習(xí)也不及真正的戰(zhàn)爭(zhēng)中傷亡的九牛一毛。事實(shí)上，也有一些人懷疑百度云安全1T演練有“作秀”的嫌疑。根據(jù)業(yè)內(nèi)人士回憶，這次演練結(jié)束之后，骨干網(wǎng)中國(guó)電信的相關(guān)人員的電話都被打爆了，人們紛紛試圖搞清當(dāng)天是否真的有1T流量在骨干網(wǎng)上“奔涌”。

那么，有趣的問題來了：一次演練究竟和一場(chǎng)戰(zhàn)爭(zhēng)究竟有何不同呢？

史上最“劃算”的DDoS攻擊

Tony 告訴雷鋒網(wǎng)，他的團(tuán)隊(duì)試圖真實(shí)地模擬出DDoS的攻擊場(chǎng)景。為此，做了如下的努力：

1、攻擊流量約有600G來自國(guó)內(nèi)，約400G來自海外。這和今年大多DDoS攻擊時(shí)間中的流量比例類似。

 

2、攻擊強(qiáng)度是逐步遞增的。因?yàn)樵谡鎸?shí)的攻擊中，攻擊是需要付出成本的。黑客顯然不會(huì)在攻擊初期就大量“砸錢”。

 

3、在攻擊IP中，摻雜了真實(shí)IP和虛假IP，平衡了“成本”和“效果”。這和現(xiàn)實(shí)情況類似。

 

4、在攻擊方法上，選擇了配比“流量型攻擊”和“CC攻擊”兩種主流的攻擊方式。

事實(shí)上，在提出這個(gè)演練的初期，團(tuán)隊(duì)就遇到了問題。1T的攻擊流量需要真金白銀來購(gòu)買，從運(yùn)營(yíng)商購(gòu)買1T流量用于攻擊，需要花費(fèi)將近100萬元，而團(tuán)隊(duì)并沒有這個(gè)預(yù)算。這個(gè)問題由于“帶寬大戶”樂視云的鼎力相助而解決了。由于主營(yíng)視頻業(yè)務(wù)，樂視云在全球擁有大量的機(jī)房和帶寬資源。一拍即合的兩方?jīng)Q定互相“成全”：樂視云用自己的閑置帶寬幫百度“撐場(chǎng)子”；百度用真實(shí)的防護(hù)能力為樂視云和其他客戶證明自己的實(shí)力。這樣的合作讓有可能是史上最貴的一次攻防演練瞬間變成了最“劃算”的一次。

當(dāng)樂視云愉快地決定扮演“超級(jí)黑客”的角色之后，兩方的工程師突然意識(shí)到“壞蛋”竟然不是那么好當(dāng)?shù)摹?/p>

如果同一個(gè)機(jī)房發(fā)出過大的流量，會(huì)被電信直接作為異常請(qǐng)求進(jìn)行壓制，根本打不出來；而樂視云機(jī)房本身也有各種安全策略限制，并不允許發(fā)出類似于攻擊的大量請(qǐng)求。最終使用了樂視云全球的127個(gè)機(jī)房，作為攻擊的最終發(fā)起者。這些技術(shù)細(xì)節(jié)，讓我們兩方的工程師面臨了很多難題。由于涉及到海外的流量，團(tuán)隊(duì)的工程師專門飛到了美國(guó)合作伙伴CloudFlare的辦公室。因?yàn)橹忻纼蓢?guó)有時(shí)差，中國(guó)剛下班，正好美國(guó)那邊又要開始工作了，有的工程師甚至48小時(shí)沒有睡覺。

Tony 說。

這次演練參與的人數(shù)也許大大少于外界的猜測(cè)。Tony告訴雷鋒網(wǎng)，百度和樂視云的工作人員加在一起，只有七八個(gè)人。這些人的大部分工作是事前的部署和事中的監(jiān)控，攻擊和防御都是自動(dòng)化完成的。

演習(xí)和戰(zhàn)爭(zhēng)

“美國(guó)和以色列開發(fā)出一種最有效的安檢模式，說來也很簡(jiǎn)單，就是安檢員和你說兩句話。經(jīng)驗(yàn)豐富的安檢員只要幾輪對(duì)話就能看出你不對(duì)勁?！盩ony用“說兩句話”來模擬對(duì)于DDoS攻擊流量的清洗過程。然而，當(dāng)洪水一般的“人流”沖向安檢口的時(shí)候，仍然需要無數(shù)的安檢閘機(jī)（帶寬）和安檢人員（甄別技術(shù)）。面對(duì)1T流量的攻擊，消化這些的并不是一個(gè)裝置，而是一套系統(tǒng)。Tony 為雷鋒網(wǎng)介紹了主要的三個(gè)戰(zhàn)場(chǎng)

1、CloudFlare

CloudFlare是百度云安全在海外的合作伙伴，它的法寶是稱為Anycast的技術(shù)。這種技術(shù)可以把巨大的流量瞬間分散到各個(gè)服務(wù)器上，一旦某個(gè)服務(wù)器被擊潰，立刻把流量自動(dòng)平衡到剩余服務(wù)器上（然而這種技術(shù)在國(guó)內(nèi)并沒有實(shí)現(xiàn)）。來自海外的攻擊流量，統(tǒng)統(tǒng)由CloudFlare來扛。

2、云堤

云堤是中國(guó)電信推出的安全服務(wù)，在抗DDoS領(lǐng)域是神一般的存在。之所以是神一般的存在，是因?yàn)殡娦艙碛泄歉删W(wǎng)資源。這意味著那些從全國(guó)各地飛馳而來的壞蛋（攻擊流量）是通過電信家的高速公路（骨干網(wǎng)）到達(dá)目的地的。一旦某地流量異常，很多人都莫名其妙要上高速公路，云堤就可以根據(jù)百度云安全提供的數(shù)據(jù)實(shí)施近源壓制。（如何指揮各處的關(guān)卡配合起來識(shí)別壞人，選擇在什么地方攔截，取決于每個(gè)廠商的不同算法。）

3、超級(jí)抗D中心

這是由百度在上海建立的服務(wù)器巨無霸集群。電信哥哥放行的流量會(huì)沖到這最后一組閘機(jī)。在這里，服務(wù)器會(huì)不斷和來訪的流量“說兩句話”——放行好人，趕走壞蛋。

演練現(xiàn)場(chǎng)數(shù)據(jù)顯示：流量峰值達(dá)到了1040.5G

外界最關(guān)心的問題在于，演習(xí)當(dāng)天究竟這三個(gè)戰(zhàn)場(chǎng)各承擔(dān)了多少攻擊流量呢？對(duì)于這些細(xì)節(jié)，Tony守口如瓶。他表示，為不能讓黑客了解百度云安全的防御部署，不能夠公開具體的部署策略和數(shù)據(jù)。

縱然這次演習(xí)很成功，但和真正的戰(zhàn)爭(zhēng)比起來，也許還有如下的區(qū)別：

1、在戰(zhàn)爭(zhēng)中沒有人知道真實(shí)攻擊在何時(shí)發(fā)生，而攻防演練是知道攻擊將要發(fā)生的。

2、真實(shí)的攻擊中，黑客嘗試一種攻擊手段失敗后，往往會(huì)不斷變換、升級(jí)攻擊策略。雖然并不是沒有規(guī)律可循，但要面對(duì)的情況顯然更復(fù)雜。這就像在真正的戰(zhàn)爭(zhēng)中，敵人會(huì)拿出什么秘密武器，使用什么超級(jí)戰(zhàn)術(shù)，是無法預(yù)知的。

Tony對(duì)于雷鋒網(wǎng)的疑問做了解釋：

1、在百度云安全的防御策略中，存在監(jiān)測(cè)機(jī)制。在真實(shí)的防御中，可以監(jiān)測(cè)流量變化并快速做出響應(yīng)，可以很好地應(yīng)對(duì)大部分攻擊。

 

2、演練的時(shí)候，進(jìn)攻方也選擇了更換不同的攻擊方式，采用流量型攻擊混合CC攻擊，盡量模擬了黑客的心態(tài)。然而在真實(shí)情況中，黑客會(huì)嘗試不停地變換攻擊URL和策略，那個(gè)時(shí)候如果智能算法無法完全應(yīng)對(duì)，則需要安全團(tuán)隊(duì)人工調(diào)整防御策略。

需要指出的是，防止DDoS攻擊并沒有完美的方式。例如面對(duì)大的流量攻擊，幾乎所有的廠商都會(huì)選擇使用電信云堤的近源壓制功能，雖然不同的廠商給電信提供的數(shù)據(jù)不同，近源壓制所產(chǎn)生的效果也不盡相同。但從原理上講，近源壓制是封鎖了某個(gè)“高速入口”，一定會(huì)造成“誤殺”。而在真正的DDoS攻擊中，你永遠(yuǎn)不知道黑客會(huì)如何更換攻擊策略。這就像在真正的戰(zhàn)爭(zhēng)中，你永遠(yuǎn)不知道敵人會(huì)拿出什么秘密武器，使用什么超級(jí)戰(zhàn)術(shù)。

如果自己對(duì)自己使用“秘密武器”顯然是邏輯悖論。一旦自己了解，這個(gè)武器就并不是“秘密”?？陀^來講，演習(xí)可以做到的最高水平只能止步于此：針對(duì)常見的戰(zhàn)術(shù)，應(yīng)對(duì)大多數(shù)情況下的戰(zhàn)爭(zhēng)情景。如Tony所說，這次演練的目的是展現(xiàn)能力，震懾對(duì)手，那么顯然任務(wù)圓滿完成了。

優(yōu)秀的“標(biāo)準(zhǔn)品”

公開資料顯示，阿里云云盾也宣稱自己具有1T的DDoS攻擊防護(hù)能力。面對(duì)雷鋒網(wǎng)提出的“其他友商是否具有抗1TDDoS攻擊能力”的問題，Tony的回答很自信。

也許有一個(gè)友商有這樣的能力，但是能力最終是需要事實(shí)來驗(yàn)證的。而且，我們的機(jī)房（超級(jí)抗D中心）是建在性能最好卻成本高昂的上海，這是因?yàn)橐幚泶罅康牧髁?nbsp;，首先要保證流量進(jìn)來的道路不被擁堵。上海是網(wǎng)絡(luò)上的超級(jí)節(jié)點(diǎn)，通路很寬。就像一座超級(jí)煉油廠，你的煉油能力超強(qiáng)，但是通向你的道路很狹窄，原油都運(yùn)不進(jìn)來，這種能力就會(huì)大打折扣。

有趣的是，說到這次演練，Tony卻提到了似乎并無關(guān)聯(lián)的小米。

市場(chǎng)上有很多家云安全的企業(yè)，可能他們都說自己的產(chǎn)品不錯(cuò)。但是由于云安全的專業(yè)性，一般的消費(fèi)者并沒有辦法來區(qū)分誰是真實(shí)的，誰又是在吹牛。百度也許不敢說是這個(gè)行業(yè)里最好的那一個(gè)，但是我們的演練是想為行業(yè)制定一個(gè)“什么是好”的標(biāo)準(zhǔn)。

就像當(dāng)年國(guó)產(chǎn)手機(jī)行業(yè)非?；靵y，好的廠商和騙子都在發(fā)出自己的聲音，消費(fèi)者沒辦法選擇。而在小米之后，山寨廠商逐漸衰落。恰恰是因?yàn)樾∶讋澇隽艘粭l價(jià)廉物美的標(biāo)準(zhǔn)線。

優(yōu)秀的標(biāo)準(zhǔn)品，是Tony給這次演練下的定義。

說到底，演練終歸是演練。如果你把這次排山倒海的1T攻防理解成一種“秀”，似乎并無不可。只不過從中得到的，應(yīng)該遠(yuǎn)比這場(chǎng)秀本身豐富。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。