趙通，余思陽，李長連，楊飛，吳濤（.中訊郵電咨詢設(shè)計院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司，北京 00033）

0 前言

DDoS攻擊又稱分布式拒絕服務(wù)攻擊，是互聯(lián)網(wǎng)中最常見的網(wǎng)絡(luò)攻擊手段之一，攻擊者利用“肉雞”對目標網(wǎng)站在較短的時間內(nèi)發(fā)起大量請求，大規(guī)模消耗目標網(wǎng)站的主機資源，讓它無法正常服務(wù)。目前網(wǎng)絡(luò)游戲、互聯(lián)網(wǎng)金融、電商、直播等行業(yè)是DDoS 攻擊的重災(zāi)區(qū)。

DDoS攻擊的低成本進一步降低了攻擊門檻，卡巴斯基發(fā)布過一篇有關(guān)DDoS 攻擊成本分析的文章，據(jù)專家估計，使用1 000 臺基于云的僵尸網(wǎng)絡(luò)進行DDoS攻擊的成本約為每小時18美元。但對企業(yè)來說，針對DDoS 攻擊的防御費用總體成本往往高達數(shù)萬甚至數(shù)百萬美元。

除傳統(tǒng)的4 層DDoS 攻擊以外，當前互聯(lián)網(wǎng)中Web應(yīng)用越來越豐富，導致應(yīng)用層攻擊越來越嚴重。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件頻繁發(fā)生。對于互聯(lián)網(wǎng)Web應(yīng)用來說，Web防護、CC攻擊防護（借助代理服務(wù)器生成指向受害主機的大量合法請求）也越來越重要。

高防系統(tǒng)就是為了解決DDoS 攻擊、CC 攻擊而設(shè)計開發(fā)的。

1 高防系統(tǒng)簡介

當互聯(lián)網(wǎng)服務(wù)器遭受大流量的DDoS 攻擊時，高防系統(tǒng)可以保護其應(yīng)用服務(wù)持續(xù)可用。高防系統(tǒng)通過多種方式，調(diào)度流量到高防網(wǎng)絡(luò)清洗，以抵御流量型和資源耗盡型DDoS攻擊。

高防系統(tǒng)就是一個集合了DDoS 攻擊防護、CC 攻擊防護、多協(xié)議支持、隱藏源站等安全能力的綜合性安全防護系統(tǒng)。此外，高防系統(tǒng)還可以為客戶提供CDN 服務(wù)，大幅降低客戶服務(wù)器壓力，以及客戶訪問的延遲。

1.1 高防系統(tǒng)的作用

高防系統(tǒng)通過反向代理源站，在攻擊者和源站之間構(gòu)建了一道安全閘，它可以解決下述問題。

1.1.1 避免源IP直接暴露公網(wǎng)

不論是通過域名引流，還是IP 引流，高防系統(tǒng)都可以將源站地址進行隱藏，所有的攻擊流量都會被引流到高防系統(tǒng)并進行清洗，大大減小源IP 被攻擊的可能性。

1.1.2 隱藏用戶站點敏感信息

由于所有的業(yè)務(wù)流量都是通過高防系統(tǒng)轉(zhuǎn)發(fā)到源站及客戶，轉(zhuǎn)發(fā)過程中可以對訪問信息做篩選及更改，隱藏用戶站點敏感信息，可以避免源站開發(fā)者因缺乏安全意識導致系統(tǒng)信息（建站程序、版本等信息等）泄露，提高源站安全性。

1.1.3 攔截非業(yè)務(wù)協(xié)議請求

由于所有的業(yè)務(wù)流量都是通過高防系統(tǒng)轉(zhuǎn)發(fā)到源站及客戶，在轉(zhuǎn)發(fā)過程中可以對流量的協(xié)議做篩選，清洗掉異常協(xié)議的流量，只轉(zhuǎn)發(fā)合法協(xié)議的流量到源站，在降低源站處理負擔的同時，提高源站的安全性。

1.1.4 對接入系統(tǒng)進行4層及7層防護

基于抗DDoS 清洗設(shè)備以及高防服務(wù)器，可以對接入系統(tǒng)進行4層到7層流量的清洗。

1.2 適用客戶

娛樂（游戲）行業(yè)是DDoS 攻擊的重災(zāi)區(qū)，高防系統(tǒng)能保證游戲的可用性和持續(xù)性，提高用戶體驗，在商家活動、節(jié)日游戲等旺季時段提供防護。

滿足金融行業(yè)的合規(guī)性要求，保證線上交易的實時性、安全穩(wěn)定性。

滿足國家政務(wù)云建設(shè)標準的安全需求，為重大會議、活動、敏感時期提供安全保障，確保民生服務(wù)正?？捎?，維護政府公信力。

為用戶訪問互聯(lián)網(wǎng)提供防護，使業(yè)務(wù)正常不中斷，在電商大促等活動時段提供防護功能。

保證企業(yè)站點服務(wù)持續(xù)可用，避免DDoS 攻擊造成經(jīng)濟和企業(yè)形象損失，降低維護費用，節(jié)省安全成本。

2 高防系統(tǒng)中使用的關(guān)鍵技術(shù)

2.1 整體架構(gòu)

高防系統(tǒng)的整體架構(gòu)圖如圖1 所示，其主要由以下幾個部分組成。

圖1 整體架構(gòu)圖

2.1.1 清洗設(shè)備

通過對互聯(lián)網(wǎng)訪問公網(wǎng)IP 的業(yè)務(wù)流量進行實時監(jiān)測，及時發(fā)現(xiàn)異常DDoS 攻擊流量。在不影響正常業(yè)務(wù)的前提下，根據(jù)用戶配置的防護策略，清洗掉攻擊流量。同時為用戶生成監(jiān)控報表，清晰展示網(wǎng)絡(luò)流量的安全狀況。清洗設(shè)備主要用于防御4 層DDoS 攻擊。

2.1.2 防護集群

防護用于代理客戶業(yè)務(wù)的服務(wù)器，具有多核CPU、大內(nèi)存、大帶寬以及配套的安全軟硬件，防護節(jié)點可以根據(jù)客戶需求或者防御大流量DDoS 攻擊時進行動態(tài)調(diào)整。

高防系統(tǒng)的防護集群是連接用戶及源站的橋梁，也是抵御DDoS 攻擊和CC 攻擊的有效屏障。為了處理海量訪問和攻擊流量，降低訪問延遲，最大化利用硬件性能，防護集群一般是由物理機直接部署業(yè)務(wù)，而不是采用虛擬化部署的方式。

2.1.3 智能DNS服務(wù)器

DNS 服務(wù)器用于配置CNAME 記錄（又稱為別名記錄，這種記錄允許將多個域名映射到另外一個域名），它可以擺脫源站域名的限制，自由地實現(xiàn)將業(yè)務(wù)流量引流到防護集群。通過CNAME 引流是目前主流的引流方式。

2.1.4 日志集群

日志集群保存了所有流經(jīng)防護集群的流量日志，該日志保存了每個請求處理后的關(guān)鍵信息，用于發(fā)現(xiàn)異常流量時的回溯查詢以及流量分析。

2.1.5 管理中心

管理中心用于向DNS 服務(wù)器發(fā)送域名解析記錄，管理防護集群的防護策略，管理清洗設(shè)備策略，根據(jù)日志集群數(shù)據(jù)生成運營報告，實時監(jiān)控其他組件的運行狀態(tài)等，它是高防系統(tǒng)的統(tǒng)一管理平臺。

2.2 引流方式

2.2.1 域名CNAME引流

防護對象通過更改自己的域名記錄，將域名記錄（一般為A 記錄）更改為高防系統(tǒng)生成的CNAME 記錄，高防系統(tǒng)就可以通過更改CNAME 記錄指向的IP地址，控制訪問防護對象的流量訪問高防系統(tǒng)，高防系統(tǒng)收到用戶業(yè)務(wù)流量，進行4 層和7 層流量清洗后轉(zhuǎn)發(fā)給防護對象源站，防護對象源站的返回結(jié)果再由高防系統(tǒng)轉(zhuǎn)發(fā)給用戶。

CNAME 引流過程如圖2 所示，在其中高防系統(tǒng)充當了部署在云端的防火墻以及防護對象的反向代理服務(wù)器。

圖2 CNAME引流過程

2.2.2 對于IP地址類服務(wù)的引流

在生產(chǎn)環(huán)境中，并不是所有業(yè)務(wù)系統(tǒng)都配置有域名，對于直接使用IP 訪問的業(yè)務(wù)系統(tǒng)，可以通過配置高防系統(tǒng)，分配一個獨立的高防IP 地址，實現(xiàn)網(wǎng)站IP地址與高防IP 地址資源的一對一配置，從而將訪問流量牽引至高防平臺系統(tǒng)。IP 地址引流過程如圖3 所示。

圖3 IP地址引流

2.3 防護節(jié)點的資源編排

由于高防系統(tǒng)出色的抗DDoS 和抗CC 攻擊能力，吸引了很多容易受到攻擊的業(yè)務(wù)系統(tǒng)接入。通常來說，高防服務(wù)提供廠商會建設(shè)多個高性能的高防能力資源池，用來負載客戶的業(yè)務(wù)流量。

但是在實際運營過程中，存在以下痛點。

a）資源池計算能力有限，提供過多的計算資源會導致浪費。

b）不同業(yè)務(wù)系統(tǒng)的需求不同。

c）同一個業(yè)務(wù)系統(tǒng)，在不同時間對資源的需求不同。

d）遇到攻擊時，需要的資源和日常運營過程中的需求不同。

e）業(yè)務(wù)供給需要手動調(diào)整，操作復雜，也無法保證實時性。

彈性擴縮容技術(shù)可以解決上述痛點。

自動化彈性擴縮容的技術(shù)可以將資源合理地分配給用戶。簡單來說，彈性擴縮容主要分為2個步驟：監(jiān)測業(yè)務(wù)指標的波動和自動調(diào)整資源編排。

2.3.1 彈性擴縮容監(jiān)測技術(shù)

監(jiān)測業(yè)務(wù)指標的波動情況會涉及到彈性擴縮容監(jiān)測技術(shù)，監(jiān)測的主要原則如下。

a）對于業(yè)務(wù)有固定高峰和低谷的系統(tǒng)，可以使用定時功能，差異化的配置高峰時間段和低谷時間段的計算資源數(shù)量（高防服務(wù)器節(jié)點數(shù)量）。高防系統(tǒng)可以根據(jù)設(shè)定的時間，自動調(diào)整分配給該業(yè)務(wù)的資源數(shù)量。

b）如果業(yè)務(wù)量變動不規(guī)律，難以預測，可以通過云監(jiān)控系統(tǒng)來監(jiān)控使用中的資源的負載情況，自動執(zhí)行擴縮容的策略。例如，設(shè)定CPU 負載超過50%或者內(nèi)存超過70%，或者QPS大于20 000時，自動擴容一臺新的高防服務(wù)器。當CPU 負載低于20%，或者內(nèi)存使用率低于20%時，自動縮容一臺高防服務(wù)器。

c）引入深度學習算法，經(jīng)過一段時間的訓練后，對每個業(yè)務(wù)系統(tǒng)建立業(yè)務(wù)流量趨勢模型，提供給客戶進行參考。

d）支持資源設(shè)置的上下限，可以避免在負載高的時候分配過多的資源，導致客戶無法承受防護成本，也可以避免在資源分配過少時，無法實現(xiàn)高可用的情況。

e）支持異地資源彈性擴縮容，當異地資源故障隔離時，保障業(yè)務(wù)系統(tǒng)不會因為單點的故障導致業(yè)務(wù)中斷。

f）不同的業(yè)務(wù)系統(tǒng)所關(guān)注的擴縮容指標不盡相同，高防系統(tǒng)應(yīng)該支持定制化的監(jiān)測手段，提供對應(yīng)的API 接口，并可以根據(jù)客戶的需求自由創(chuàng)建擴縮容策略。

2.3.2 彈性擴縮容的過程

自動調(diào)整資源編排是彈性擴縮容的核心內(nèi)容，下面分別對彈性擴容和彈性縮容的過程作出說明。

彈性擴容流程圖如圖4所示，具體過程如下。

圖4 彈性擴容流程圖

a）用戶在管理中心配置動態(tài)擴縮容的策略，可以根據(jù)流量的“潮汐”效應(yīng)和單臺服務(wù)器的負載上限，配置不同時間段使用的高防服務(wù)器的數(shù)量，同時可以啟用不同資源池的服務(wù)器，避免單點故障。

b）管理中心采集防護集群服務(wù)器的實時流量，負載情況，結(jié)合日志服務(wù)器數(shù)據(jù)，計算流量變化趨勢。當監(jiān)控指標觸發(fā)用戶設(shè)定的策略時，選定擴容服務(wù)器，觸發(fā)彈性擴縮容動作。

c）觸發(fā)彈性擴容時，管理中心首先檢查新增防護服務(wù)器的配置，確認服務(wù)器的硬件、數(shù)據(jù)庫和核心進程是否正常，并根據(jù)需要負載的業(yè)務(wù)的情況，同步業(yè)務(wù)配置數(shù)據(jù)（如防護規(guī)則等）、配置防火墻策略，自動配置上連交換機的ACL 策略，確保只開放必要的端口。

d）管理中心向DNS服務(wù)器下發(fā)指令，添加擴容服務(wù)器IP 地址到CNAME 記錄中。域名收斂時間一般為3～5 min，為了保證業(yè)務(wù)系統(tǒng)平穩(wěn)地進行彈性擴容，引入DNS 刷新系統(tǒng)。在修改CNAME 記錄后，高防系統(tǒng)會調(diào)用DNS 刷新系統(tǒng)，強制刷新部署在全國各關(guān)鍵節(jié)點的DNS 緩存服務(wù)器中該CNAME 記錄，可以將收斂時間縮短到0.5～2 min。

e）管理中心監(jiān)測擴容服務(wù)器流量信息，超過3 min 沒有正常流量，會向運營人員發(fā)出告警，運營人員介入進行處理。

彈性縮容流程圖如圖5所示，具體過程如下。

圖5 彈性縮容流程圖

a）用戶配置擴縮容策略。

b）管理平臺進行監(jiān)控，當監(jiān)控指標觸發(fā)用戶設(shè)定的策略時，根據(jù)策略選擇需要縮容的服務(wù)器，觸發(fā)縮容動作。

c）觸發(fā)彈性縮容時，管理中心向DNS 服務(wù)器下發(fā)指令，刪除CNAME 記錄中縮容服務(wù)器IP 地址。同時調(diào)用域名刷新系統(tǒng)，減小域名收斂時間。

d）管理中心持續(xù)監(jiān)測縮容服務(wù)器中的業(yè)務(wù)流量，由于DNS 緩存的原因，縮容服務(wù)器的對應(yīng)業(yè)務(wù)流量并不會立刻縮小為0，流量會隨著時間逐步減小，當流量減小到用戶設(shè)定的閾值或者到達用戶設(shè)定的延遲關(guān)閉時間后，管理中心會刪除該服務(wù)器上的業(yè)務(wù)配置數(shù)據(jù)，在該服務(wù)器上配置防火墻策略，修改上連交換機的ACL策略。至此，縮容過程完成。

3 總結(jié)

本文首先對高防系統(tǒng)整體架構(gòu)以及核心技術(shù)做了簡要介紹，接著就高防系統(tǒng)在日常運營過程中的痛點做了深入分析，并且提出了自動化彈性擴縮容的具體目標和實現(xiàn)方法。

隨著互聯(lián)網(wǎng)服務(wù)重要性的提高，各行業(yè)對網(wǎng)絡(luò)安全的要求會越來越高。高防系統(tǒng)是與DDoS 攻擊、CC攻擊戰(zhàn)斗的有力武器，高防系統(tǒng)的自動化運營也會越來越重要，通過彈性擴縮容技術(shù)，可以為客戶和高防服務(wù)提供商節(jié)約成本，減小運營人員壓力，提高服務(wù)質(zhì)量，達到事半功倍的效果。