DDoS的成本非常低，得到這種進(jìn)攻能力，就像在美國得到槍一樣容易。

Tony Lee 做了如上的比喻，作為前安全寶的聯(lián)合創(chuàng)始人、現(xiàn)任百度云安全首席架構(gòu)師，對于DDoS攻防的血雨腥風(fēng)可謂司空見慣。（不知道什么是DDoS攻擊？趕快去戳：漫畫告訴你什么是DDoS攻擊？）在他眼里，這種對抗中雙方的地位并不平衡?！罢５挠脩魳I(yè)務(wù)只需要幾十兆到幾百兆帶寬，這樣的帶寬和黑客們幾十G上百G的攻擊能力并不在同一個數(shù)量級，幾槍就會掛掉?！?/p>

Tony Lee

鑒于DDoS已經(jīng)形成了完整的黑色產(chǎn)業(yè)，抗DDoS也成為了一門賺錢的生意。自然，抗DDoS能力也成為了各大云安全廠商軍備競賽的重要指標(biāo)。于是便有了今年9月，由他親自上陣策劃的一場“抗D界”的“重頭戲”——現(xiàn)場進(jìn)行DDoS攻防演練，并且達(dá)到史上最高的1Tbps流量。

這次演練百度云安全分飾兩角，一邊拉著帶寬資源豐富的基友樂視云打出了1T流量的攻擊，一邊挺身迎接自己的“拳頭”。Tony 回憶，百度云安全迄今為止防護(hù)的最大攻擊流量不到300G。而這次演練大大超越了真實出現(xiàn)過的攻擊強(qiáng)度。如此做的邏輯是：“在你對付恐怖分子的時候，并不確定他們的火力強(qiáng)弱，但為了萬無一失，你要想象他們有導(dǎo)彈?！?/p>

除去現(xiàn)場眼花繚亂的攻防示意和隨著攻擊流量攀升的氣氛，這次演練最耐人尋味的部分恰恰是“演練”這兩個字本身。因為在記憶中哪怕最慘烈的軍事演習(xí)也不及真正的戰(zhàn)爭中傷亡的九牛一毛。事實上，也有一些人懷疑百度云安全1T演練有“作秀”的嫌疑。根據(jù)業(yè)內(nèi)人士回憶，這次演練結(jié)束之后，骨干網(wǎng)中國電信的相關(guān)人員的電話都被打爆了，人們紛紛試圖搞清當(dāng)天是否真的有1T流量在骨干網(wǎng)上“奔涌”。

那么，有趣的問題來了：一次演練究竟和一場戰(zhàn)爭究竟有何不同呢？

史上最“劃算”的DDoS攻擊

Tony 告訴雷鋒網(wǎng)，他的團(tuán)隊試圖真實地模擬出DDoS的攻擊場景。為此，做了如下的努力：

1、攻擊流量約有600G來自國內(nèi)，約400G來自海外。這和今年大多DDoS攻擊時間中的流量比例類似。

 

2、攻擊強(qiáng)度是逐步遞增的。因為在真實的攻擊中，攻擊是需要付出成本的。黑客顯然不會在攻擊初期就大量“砸錢”。

 

3、在攻擊IP中，摻雜了真實IP和虛假IP，平衡了“成本”和“效果”。這和現(xiàn)實情況類似。

 

4、在攻擊方法上，選擇了配比“流量型攻擊”和“CC攻擊”兩種主流的攻擊方式。

事實上，在提出這個演練的初期，團(tuán)隊就遇到了問題。1T的攻擊流量需要真金白銀來購買，從運(yùn)營商購買1T流量用于攻擊，需要花費(fèi)將近100萬元，而團(tuán)隊并沒有這個預(yù)算。這個問題由于“帶寬大戶”樂視云的鼎力相助而解決了。由于主營視頻業(yè)務(wù)，樂視云在全球擁有大量的機(jī)房和帶寬資源。一拍即合的兩方?jīng)Q定互相“成全”：樂視云用自己的閑置帶寬幫百度“撐場子”；百度用真實的防護(hù)能力為樂視云和其他客戶證明自己的實力。這樣的合作讓有可能是史上最貴的一次攻防演練瞬間變成了最“劃算”的一次。

當(dāng)樂視云愉快地決定扮演“超級黑客”的角色之后，兩方的工程師突然意識到“壞蛋”竟然不是那么好當(dāng)?shù)摹?/p>

如果同一個機(jī)房發(fā)出過大的流量，會被電信直接作為異常請求進(jìn)行壓制，根本打不出來；而樂視云機(jī)房本身也有各種安全策略限制，并不允許發(fā)出類似于攻擊的大量請求。最終使用了樂視云全球的127個機(jī)房，作為攻擊的最終發(fā)起者。這些技術(shù)細(xì)節(jié)，讓我們兩方的工程師面臨了很多難題。由于涉及到海外的流量，團(tuán)隊的工程師專門飛到了美國合作伙伴CloudFlare的辦公室。因為中美兩國有時差，中國剛下班，正好美國那邊又要開始工作了，有的工程師甚至48小時沒有睡覺。

Tony 說。

這次演練參與的人數(shù)也許大大少于外界的猜測。Tony告訴雷鋒網(wǎng)，百度和樂視云的工作人員加在一起，只有七八個人。這些人的大部分工作是事前的部署和事中的監(jiān)控，攻擊和防御都是自動化完成的。

演習(xí)和戰(zhàn)爭

“美國和以色列開發(fā)出一種最有效的安檢模式，說來也很簡單，就是安檢員和你說兩句話。經(jīng)驗豐富的安檢員只要幾輪對話就能看出你不對勁?！盩ony用“說兩句話”來模擬對于DDoS攻擊流量的清洗過程。然而，當(dāng)洪水一般的“人流”沖向安檢口的時候，仍然需要無數(shù)的安檢閘機(jī)（帶寬）和安檢人員（甄別技術(shù)）。面對1T流量的攻擊，消化這些的并不是一個裝置，而是一套系統(tǒng)。Tony 為雷鋒網(wǎng)介紹了主要的三個戰(zhàn)場

1、CloudFlare

CloudFlare是百度云安全在海外的合作伙伴，它的法寶是稱為Anycast的技術(shù)。這種技術(shù)可以把巨大的流量瞬間分散到各個服務(wù)器上，一旦某個服務(wù)器被擊潰，立刻把流量自動平衡到剩余服務(wù)器上（然而這種技術(shù)在國內(nèi)并沒有實現(xiàn)）。來自海外的攻擊流量，統(tǒng)統(tǒng)由CloudFlare來扛。

2、云堤

云堤是中國電信推出的安全服務(wù)，在抗DDoS領(lǐng)域是神一般的存在。之所以是神一般的存在，是因為電信擁有骨干網(wǎng)資源。這意味著那些從全國各地飛馳而來的壞蛋（攻擊流量）是通過電信家的高速公路（骨干網(wǎng)）到達(dá)目的地的。一旦某地流量異常，很多人都莫名其妙要上高速公路，云堤就可以根據(jù)百度云安全提供的數(shù)據(jù)實施近源壓制。（如何指揮各處的關(guān)卡配合起來識別壞人，選擇在什么地方攔截，取決于每個廠商的不同算法。）

3、超級抗D中心

這是由百度在上海建立的服務(wù)器巨無霸集群。電信哥哥放行的流量會沖到這最后一組閘機(jī)。在這里，服務(wù)器會不斷和來訪的流量“說兩句話”——放行好人，趕走壞蛋。

演練現(xiàn)場數(shù)據(jù)顯示：流量峰值達(dá)到了1040.5G

外界最關(guān)心的問題在于，演習(xí)當(dāng)天究竟這三個戰(zhàn)場各承擔(dān)了多少攻擊流量呢？對于這些細(xì)節(jié)，Tony守口如瓶。他表示，為不能讓黑客了解百度云安全的防御部署，不能夠公開具體的部署策略和數(shù)據(jù)。

縱然這次演習(xí)很成功，但和真正的戰(zhàn)爭比起來，也許還有如下的區(qū)別：

1、在戰(zhàn)爭中沒有人知道真實攻擊在何時發(fā)生，而攻防演練是知道攻擊將要發(fā)生的。

2、真實的攻擊中，黑客嘗試一種攻擊手段失敗后，往往會不斷變換、升級攻擊策略。雖然并不是沒有規(guī)律可循，但要面對的情況顯然更復(fù)雜。這就像在真正的戰(zhàn)爭中，敵人會拿出什么秘密武器，使用什么超級戰(zhàn)術(shù)，是無法預(yù)知的。

Tony對于雷鋒網(wǎng)的疑問做了解釋：

1、在百度云安全的防御策略中，存在監(jiān)測機(jī)制。在真實的防御中，可以監(jiān)測流量變化并快速做出響應(yīng)，可以很好地應(yīng)對大部分攻擊。

 

2、演練的時候，進(jìn)攻方也選擇了更換不同的攻擊方式，采用流量型攻擊混合CC攻擊，盡量模擬了黑客的心態(tài)。然而在真實情況中，黑客會嘗試不停地變換攻擊URL和策略，那個時候如果智能算法無法完全應(yīng)對，則需要安全團(tuán)隊人工調(diào)整防御策略。

需要指出的是，防止DDoS攻擊并沒有完美的方式。例如面對大的流量攻擊，幾乎所有的廠商都會選擇使用電信云堤的近源壓制功能，雖然不同的廠商給電信提供的數(shù)據(jù)不同，近源壓制所產(chǎn)生的效果也不盡相同。但從原理上講，近源壓制是封鎖了某個“高速入口”，一定會造成“誤殺”。而在真正的DDoS攻擊中，你永遠(yuǎn)不知道黑客會如何更換攻擊策略。這就像在真正的戰(zhàn)爭中，你永遠(yuǎn)不知道敵人會拿出什么秘密武器，使用什么超級戰(zhàn)術(shù)。

如果自己對自己使用“秘密武器”顯然是邏輯悖論。一旦自己了解，這個武器就并不是“秘密”?？陀^來講，演習(xí)可以做到的最高水平只能止步于此：針對常見的戰(zhàn)術(shù)，應(yīng)對大多數(shù)情況下的戰(zhàn)爭情景。如Tony所說，這次演練的目的是展現(xiàn)能力，震懾對手，那么顯然任務(wù)圓滿完成了。

優(yōu)秀的“標(biāo)準(zhǔn)品”

公開資料顯示，阿里云云盾也宣稱自己具有1T的DDoS攻擊防護(hù)能力。面對雷鋒網(wǎng)提出的“其他友商是否具有抗1TDDoS攻擊能力”的問題，Tony的回答很自信。

也許有一個友商有這樣的能力，但是能力最終是需要事實來驗證的。而且，我們的機(jī)房（超級抗D中心）是建在性能最好卻成本高昂的上海，這是因為要處理大量的流量 ，首先要保證流量進(jìn)來的道路不被擁堵。上海是網(wǎng)絡(luò)上的超級節(jié)點，通路很寬。就像一座超級煉油廠，你的煉油能力超強(qiáng)，但是通向你的道路很狹窄，原油都運(yùn)不進(jìn)來，這種能力就會大打折扣。

有趣的是，說到這次演練，Tony卻提到了似乎并無關(guān)聯(lián)的小米。

市場上有很多家云安全的企業(yè)，可能他們都說自己的產(chǎn)品不錯。但是由于云安全的專業(yè)性，一般的消費(fèi)者并沒有辦法來區(qū)分誰是真實的，誰又是在吹牛。百度也許不敢說是這個行業(yè)里最好的那一個，但是我們的演練是想為行業(yè)制定一個“什么是好”的標(biāo)準(zhǔn)。

就像當(dāng)年國產(chǎn)手機(jī)行業(yè)非?；靵y，好的廠商和騙子都在發(fā)出自己的聲音，消費(fèi)者沒辦法選擇。而在小米之后，山寨廠商逐漸衰落。恰恰是因為小米劃出了一條價廉物美的標(biāo)準(zhǔn)線。

優(yōu)秀的標(biāo)準(zhǔn)品，是Tony給這次演練下的定義。

說到底，演練終歸是演練。如果你把這次排山倒海的1T攻防理解成一種“秀”，似乎并無不可。只不過從中得到的，應(yīng)該遠(yuǎn)比這場秀本身豐富。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。