近年來，隨著國內互聯網市場巨頭壟斷下的流量競爭愈演愈激烈，越來越多的企業被迫“出海”，尤其是電商和游戲行業。然而海外業務的快速擴張往往也伴隨著勢不可擋的黑暗勢力——惡意DDoS攻擊，頻繁遭受DDoS攻擊就會讓本該為用戶提供服務的資源忙于應付攻擊者的請求，導致服務端瞬間失去服務能力，難以對正常用戶的請求。

　　為幫助更多的出海企業有效解決DDoS攻擊問題，在10月23日TIC大會的技術分論壇上，UCloud優刻得安全產品經理馮業浩圍繞DDoS攻擊防御方面的技術和安全產品進行了解析，并分享了幾個真實的攻擊防護案例，供大家參考借鑒。

　　DDoS攻擊背后并不簡單

　　眾所周知，DDoS攻擊是一種非常普遍且最為有效的網絡攻擊方式。法國社會學家涂爾干曾經說過:“一個行業的先進程度與其行業的細分程度成正比。”從這個角度看，DDoS行業已經是一個高度發達、高度發展的行業。

　　DDoS攻擊行業涉及到多個利益環節，首先，會有一個軟件開發團隊專門用來負責寫木馬，木馬開發完成之后，將會交由木馬的運營團隊和銷售團隊進行銷售。

　　而僵尸網絡的運營者將會拿到這些木馬并且進行掛馬傳播，最終使客戶的主機和電腦受到入侵，成為僵尸網絡中的一員，而僵尸網絡最終也會成為DDoS攻擊的一個資源的提供者。另外有一波軟件開發人員，他們用來開發DDoS攻擊平臺，DDoS攻擊平臺開發完成之后，將會有DDoS開發平臺的銷售去向客戶進行銷售。而客戶最終只需要打開一個網頁，輸入攻擊的域名或者輸入一個IP地址，就可以開展一次攻擊。

　　從這個角度大家可以看到DDoS攻擊并不是一項技術門檻非常高的攻擊手段，惡意競爭者只需要付費即可輕松展開一次DDoS攻擊，不需要任何的技術學習和門檻。

　　人潮熙熙，皆為利來;人潮攘攘，皆為利往。DDoS攻擊行業背后的利潤巨大，例如，基本每個游戲上線的時候都會遭受幾次DDoS攻擊，而DDoS攻擊的來源可能是勒索組織，也可能是競爭對手。因此，企業要想出海好好發展業務，必須將DDoS攻擊防御作為業務考慮中的關鍵一環。

　　防御DDoS攻擊的兩種方式

　　但企業在DDoS攻擊防御的同時，也將面臨兩個問題：接入防護后的代理模式將攻擊流量引導至第三方，不可避免增加延時; 防護能力越強防護成本越高，回源帶寬也是一筆很高的成本。針對企業面臨的這兩個痛點，馮業浩接下來重點介紹了UCloud優刻得在 DDoS攻擊防護方面做了哪些工作。

　　DDoS攻擊一般來說可以分成兩大類，一類是協議攻擊，一類是流量攻擊。所謂協議攻擊，最常見的是syn flood攻擊，即攻擊者通過發送大量的syn包建立大量半開連接，耗盡用戶主機的資源，從而導致用戶的主機崩潰，不能夠正常對外提供服務;流量攻擊，就是采用大流量的攻擊，占滿用戶的帶寬，使得用戶的正常流量被丟棄。舉一個比較典型的例子：2018年GitHub遭遇到了史上最嚴重的一次DDoS攻擊，其峰值帶寬高達1.35T，這次攻擊就是黑客利用了memcached的反射漏洞,發起了一次反射的流量攻擊。

　　而防御DDoS攻擊一般來說有兩種方式,一種方式就是在業務機房邊緣去做流量清洗，此時業務機房需要具備足夠大的上聯帶寬，將正常流量和攻擊流量全部收進來之后，在業務機房的邊緣還需要有一套分析設備和一套清洗設備，分析設備通過對流量的鏡像分析，可以分析出哪個IP被攻擊了;而清洗設備一旦發現哪個IP被攻擊之后，就會發起流量的牽引，將被攻擊的IP的所有的流量引入清洗模塊;清洗模塊根據攻擊的特征篩選掉攻擊的流量，從而將正常的流量下放至客戶的源站。

　　第二種方式則是用專門的高防機房，比如說客戶的業務需要部署在自己的業務機房內，而將入口放在高防機房中。高防機房通常都有足夠大的上聯帶寬，會對流量進行清洗，從而將正常的流量通過公網回源至用戶的源站。

　　第一種方式要求業務機房有足夠大的上聯帶寬，同時每個業務機房都必須有足夠強大的清洗和分析設備，這個條件對于很多企業來說還是比較苛刻的。而如果采用第二種專門的高防機房的方式，由于它是一種代理的模式，因此不可避免會引入額外的網絡延時。此外回源機房也是需要一部分的外網帶寬的，這部分成本也是相當大的。

　　總的來說，一個高防防護的IP地址，它的延時和它的防護能力，是魚和熊掌不可兼得的。防護等級越高，一般來說，延時會有一些比較明顯的影響。因此企業根據可能被攻擊的量級來選擇合適的DDoS攻擊防護方式才是最好的選擇。

　　UCloud優刻得基于全球的流量分級防護方案

　　對此，UCloud優刻得推出了一套基于全球清洗能力的全球分級解決方案。在攻擊的量級在20G以下的時候，推薦使用本地清洗;在70G以下的時候，推薦使用高防EIP;而如果攻擊流量達到70G以上，則推薦使用分布式高防，即UCloud優刻得亞太高防和Anycast全球清洗。

　　本地清洗產品的防護閾值上限為20G，雖然它的防護閾值不是很高，但是可以抵御小規模的DDoS攻擊，且好處是用戶一旦購買該服務后，其賬戶下所有的EIP

　　都能夠享受到相關的DDoS防御的服務。此外EIP的延時不會有任何的影響，可以像使用正常的EIP一樣使用它。

　　同時，UCloud優刻得在首爾、胡志明、曼谷和雅加達等地域支持分線路的封堵。根據統計,90%的攻擊來源都是美國、俄羅斯以及中國，因此在這些小地域進行分線路的檢測和封堵，是可以把大部分的攻擊直接阻斷，而不影響本地的覆蓋效果。目前該產品已在北美、歐洲和亞太的主要節點全部上線。

　　高防EIP則是引入了專門的線路進行高防的清洗，這條線路的帶寬非常大。因此足夠我們將所有的攻擊流量和正常流量引入。同時這條線路還可以保證訪問效果和普通的IP地址相比沒有明顯的差別。目前這個產品已經上線了臺北，擁有70G的防護能力，它的延時卻等同于普通的彈性IP，使用體驗與普通的EIP一致。

　　如果想要更大的防護能力，那么UCloud優刻得亞太高防和Anycast全球清洗將是不錯的選擇。

　　亞太高防采用的思路就是用單獨的高防機房進行清洗之后，通過公網進行回源。目前我們的高防機房位于香港，因此它覆蓋東南亞的效果相當不錯，從香港去覆蓋臺北、新加坡、越南、首爾、雅加達等地域最高的延時也不會超過60毫秒。此外從用戶體驗上，也可以像普通EIP一樣直接綁定在用戶的資源上，只會增加一點額外的延時。相對于普通的高防產品，亞太高防沒有域名和端口的限制，也沒有QPS的數量限制，因此非常適合用于大帶寬的DDoS攻擊相關的防御。

　　AnycastClean全球清洗采用了另外一種思路，就是分治法，分治就是分而治之。UCloud優刻得在全球八大入口點宣告了同樣的高防地址，就是我們的 Anycast EIP ，這樣所有的攻擊流量和正常業務流量都會通過這八個入口點分別就近流入，而攻擊流量會在這8個入口點分別進行清洗，清洗完成之后，公網正常的業務流量將會通過UCloud優刻得的全球骨干網進行回源，送到最終的源站。Anycast全球清洗可以說是集成了UCloud優刻得海外所有的防護能力，因此它的防護能力是比較強的，目前防護上限為500G，未來目標是計劃升級到800G。AnycastClean不僅擁有較好的防護效果，同時它的回源采用了UCloud優刻得骨干網，因此回源是比較穩定的。此外，AnycastClean采用了時長計費的方式，據統計90%的DDoS攻擊時長都在一小時以下，而AnycastClean采用在攻擊的時候才會計費，不攻擊的時候不計費這種方式，一個小時的售價在5000塊左右。通過這種方式企業就可以更低的成本去有效抵御高帶寬的DDoS攻擊。

　　分享一個典型案例

　　2019 年 12 月下旬，某游戲公司突然遭到 70G 流量的 DDoS 攻擊，并基于前期購買的 UCloud 優刻得高防服務抵抗住了這一波攻擊。游戲公司負責人 G 先生本以為這就是一次小打小鬧，黑客方應該已經知難而退。

　　沒有料到的是，這僅僅是一次攻擊的前奏曲。當天晚上，G 先生便收到了來自黑客組織的勒索消息。黑客方聲稱來自 A 記，A 記是一個臭名昭著的國際黑客組織，從 2018 年起便陸續被各大安全廠商曝光 DDoS 勒索的行徑。

　　在 G 先生與黑客的溝通過程中，黑客聲稱第一次的 70G DDoS 攻擊只是一個引子，如若 G 先生不妥協，將持續發動更大規模的攻擊。

　　這也是 A 記黑客組織一貫的攻擊套路，通常先進行小規模攻擊試探，并威脅企業支付“贖金”，如果被拒便會發起更為猛烈的大流量攻擊，以此脅迫企業就范。黑客與 G 先生談崩以后，惱羞成怒，在當天下午 2 點鐘左右便開始發動猛烈的攻勢。攻擊流量瞬時達到了近 300G 的峰值!

　　在游戲公司遭受第一波小規模 DDoS 攻擊時，UCloud優刻得 安全中心便已介入了解該事件。在了解到勒索情況后，由于無法預估黑客具體的攻擊數字，UCloud優刻得 和用戶溝通后建議采用彈性防護措施布防，并先后采取高防 IP 分配、特殊轉發規則配置、精細化防護策略添加等手段，實現隱藏用戶源站 IP 的效果。

　　當黑客開始進一步大規模攻擊時，所有的攻擊量及攻擊手段全部被轉移至 UCloud優刻得 云端高防 IP 站點，該高防站點設置攻擊上限為 1T，可輕松實現 300G 的攻擊量抵御。最終，成功逼退 A 記黑客組織。

　　道高一尺，魔高一丈，為了保證用戶的業務更加安全穩定的“出海航行“，UCloud優刻得還將進一步提升DDoS防御能力，同時保證DDoS高防IP具備更好的訪問質量。例如UCloud優刻得即將推出的基于CN2線路的香港加速高防，擁有50G的CN2加速線路，同時在國際方向擁有400G的保護;另外計劃在亞太繼續建設高防，在年底覆蓋亞太所有的節點，形成全球防御能力高達37T的高防節點。