作者簡介：趙小娟（1982— ），女，講師，碩士；研究方向：智能檢索算法。

摘要：隨著社交直播類手機應用（Application，App）軟件的興起，它們所面臨的分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊威脅也日益嚴重。傳統(tǒng)的高防服務器雖然能夠抵御部分攻擊，但存在嚴重的延遲和卡頓問題，容易誤封正常用戶，難以滿足當下的安全需求。針對這些問題，文章提出了一種基于軟件開發(fā)工具套件（Software Development Kit，SDK）的分布式云集群防護方案，通過部署大量分布式節(jié)點和SDK集成，實現(xiàn)了無上限防御DDoS和挑戰(zhàn)黑洞（Challenge Collapsar，CC）攻擊的能力，同時提升了用戶的訪問速度與體驗。

關鍵詞：社交直播類App；DDoS防護；分布式云集群

中圖分類號：TP393" 文獻標志碼：A

0" 引言

近年來，抖音、快手、微信等社交直播類手機應用（Application，App）軟件成為人們生活中不可或缺的一部分。然而，隨著這些平臺的日益火爆，其面臨的網(wǎng)絡安全威脅也愈發(fā)嚴重。分布式拒絕服務（Distributed Denial of Service，DDOS）攻擊作為其中的一種常見攻擊手段，給社交直播類App帶來了極大的困擾。盡管傳統(tǒng)的高防服務器能夠抵御部分攻擊，但存在著嚴重的延遲、卡頓以及誤封用戶等問題。因此，尋找一種有效的DDoS防護方案成為當務之急。針對這一需求，本文提出了一種基于軟件開發(fā)工具套件（Software Development Kit，SDK）的分布式云集群防護策略。此策略借助部署廣泛的分布式節(jié)點，將攻擊流量分配到各個節(jié)點，確保節(jié)點間的無縫切換。同時，通過App集成SDK與驗證端進行高效通信，實現(xiàn)對節(jié)點的智能調度，確保防護服務的穩(wěn)定性和連續(xù)性。這種策略不僅具備強大的防御DDoS和挑戰(zhàn)黑洞（Challenge Collapsar，CC）攻擊的能力，而且能夠顯著提升用戶訪問的速度與體驗。

1" DDoS防護技術現(xiàn)狀

DDoS即分布式拒絕服務攻擊，是指攻擊者通過遠程連接惡意程序控制大量僵尸主機（全國范圍甚至全球范圍的主機）向一個或多個目標服務器發(fā)送大量攻擊請求，消耗目標服務器性能或網(wǎng)絡帶寬，導致其無法響應正常的服務請求。這種攻擊模式的特點是攻擊規(guī)模巨大，能瞬時突發(fā)地將網(wǎng)絡帶寬或者計算資源消耗殆盡，使防護系統(tǒng)難以迅速或充分響應，最終造成服務能力的失效。同時，由于攻擊源的多方向、多層級、大規(guī)模特性，DDOS攻擊具有極高的隱蔽性，使得快速發(fā)現(xiàn)和精準溯源都十分困難，對受害者的業(yè)務運行和信息安全構成嚴重威脅［1］。常見的攻擊類型包括泛洪 （Synchronize/Acknowledgement，SYN/ACK Flood）攻擊、傳輸控制協(xié)議（Transmission Control Protocol，TCP）全連接攻擊、刷Script腳本攻擊、應用層洪水攻擊、反射型DDoS攻擊和慢速連接攻擊等。

為了有效地應對DDoS攻擊，DDoS防護技術在不斷發(fā)展和完善。目前，DDoS防護技術主要包括硬件防火墻、內容分發(fā)網(wǎng)絡Content Delivery Network CDN）加速、高防IP等方案［2］。這些方案雖然在一定程度上能夠抵御DDoS攻擊，但是也存在一定的局限性。例如：硬件防火墻在過濾攻擊流量時，面對大規(guī)模DDoS攻擊可能會面臨性能瓶頸；CDN加速雖然能夠分散攻擊流量，但面對新型攻擊時可能無法有效識別；高防服務器IP雖然能夠抵御大量攻擊流量，但價格昂貴且容易受到其他用戶攻擊的影響。因此，為滿足社交直播類App日益增長的安全需求，需要不斷探索和研發(fā)新的DDoS防護方案。

2" 基于SDK的DDoS防護策略

基于SDK的DDoS防護策略，主要是通過將防護功能集成到App的SDK中，來實現(xiàn)對DDoS攻擊的有效識別和防御。該防護體系由三大模塊組成：客戶端SDK、網(wǎng)絡安全服務和回源服務器，如圖1所示。客戶端SDK組件是整個防護方案的核心，負責在App端集成防御模塊，實現(xiàn)精準快速地切換以及鏈路加密通信。SDK啟動時，默認會截獲App全部流量傳輸數(shù)據(jù)，將數(shù)據(jù)封裝到加密協(xié)議里面，通過加密隧道將數(shù)據(jù)傳送到節(jié)點。網(wǎng)絡安全服務模塊提供網(wǎng)絡安全IP池和智能調度服務。該模塊負責為App分配虛擬IP地址，類似127.0.0.1～127.0.0.255，使用虛擬IP跟節(jié)點建立加密通信，有效地隱藏源站服務器真實IP，確保其在與外部服務器通信時的安全性，保護App不被逆向破解，根據(jù)實時攻擊情況動態(tài)調整節(jié)點分配，確保攻擊流量被有效分散?；卦捶掌髂K負責處理用戶請求、應答數(shù)據(jù)的部分，通過虛擬IP實現(xiàn)服務器的內部鏈接訪問?？梢宰層脩魪木W(wǎng)站或應用后臺進行訪問，而不是直接對外提供服務。只有合法的用戶才能訪問服務器，有效防止非法用戶的攻擊。

基于SDK的DDoS防護方案的實施過程涉及多個關鍵步驟，這些關鍵步驟共同構建起對DDoS攻擊的有效防線。具體流程為：在SDK中，利用掛鉤（Hook）技術，攔截來自不同源頭的網(wǎng)絡流量和潛在的DDoS攻擊數(shù)據(jù)。隨后，調度中心會對這些信息進行初步篩選和處理。接下來，運用一系列先進的算法和工具對收集到的數(shù)據(jù)進行實時分析，基于分析結果，實施“網(wǎng)絡層調度+隔離”措施，以確保在DDoS攻擊發(fā)生時，網(wǎng)絡的核心部分能夠持續(xù)穩(wěn)定運行，不受攻擊影響。這一調度和隔離機制，能夠有效地隔離受攻擊的部分，防止攻擊波及整個網(wǎng)絡。此外，針對不同平臺設置了專門的防護節(jié)點組，如“防護節(jié)點3”針對IOS設備特點設定了特定的防護策略和工具。而Windows平臺和Android平臺則分別有“防護節(jié)點1”和“防護節(jié)點2”，這些節(jié)點組充分考慮了不同平臺的獨特性，能有效應對各自所面臨的DDoS攻擊威脅。在整個防護流程中，“攻防調度”和“設備風險”管理扮演著舉足輕重的角色。攻防調度團隊會根據(jù)實時分析結果，靈活調整防護策略，以應對不斷變化的攻擊模式。同時，設備風險評估機制能夠及時發(fā)現(xiàn)并處理潛在的安全隱患，確保整個防護方案的穩(wěn)固可靠。

3" 實驗驗證與結果分析

為了驗證該方案的有效性，進行如下實驗。

3.1" 生成SDK文件

在服務器上安裝開源軟件工具（Jenkins）并進行基礎配置，包括設置管理員賬號、安裝必要的插件等。配置Jenkins的項目構建流程，包括源碼管理如遠程倉庫（Github，Git）地址、構建觸發(fā)器如定時構建或輪詢源代碼管理（Poll Source Code Management，Poll SCM）等，根據(jù)不同的平臺（Android、iOS、Windows），編寫相應的SDK代碼，包括防御模塊的實現(xiàn)、加密通信協(xié)議的設計等。主要代碼文件如下：

public SecuritySDK（Context context） {

this.context = context;

this.nodeManager = new NodeManager（）;

this.encryptionUtils = new EncryptionUtils（）;

this.tokenManager = new TokenManager（）;

// 初始化SDK，加載配置等

}

// 初始化網(wǎng)絡通信，設置加密隧道等

public void initializeCommunication（） {

// 初始化網(wǎng)絡庫、設置加密參數(shù)等

}

// 發(fā)送加密請求

public String sendEncryptedRequest（String url， Maplt;String， Stringgt; params） {

// 獲取當前可用節(jié)點

String currentNode = nodeManager.getCurrentNode（）;

// 加密請求參數(shù)

String encryptedParams = encryptionUtils.encryptParams（params）;

// 發(fā)送請求到節(jié)點，并返回加密響應

String encryptedResponse=sendRequestToNode（currentNode， url， encryptedParams）;

// 解密響應并返回結果

return encryptionUtils.decryptResponse（encryptedResponse）;

}

private String sendRequestToNode（String node， String url， String encryptedParams） {

// 使用網(wǎng)絡庫發(fā)送請求到指定節(jié)點，并處理響應

// 這里需要實現(xiàn)具體的網(wǎng)絡請求代碼

return \"\"; // 返回加密的響應字符串

}

// 節(jié)點調度相關方法，如獲取當前節(jié)點、切換節(jié)點等

public String getCurrentNode（） {

return nodeManager.getCurrentNode（）;

}

public void switchNode（String newNode） {

nodeManager.switchNode（newNode）;

}

// 身份驗證相關方法，如生成token、驗證token等

public String generateToken（） {

return tokenManager.generateToken（context）;

}

public boolean validateToken（String token） {

return tokenManager.validateToken（token）;

}

在Jenkins中配置SDK文件的構建任務，確保每次代碼更新后都能自動生成最新的SDK文件。

3.2" 將SDK文件集成到社交App上

以云豹直播App為例，下載該App的應用程序包（Android Application Package，APK）文件，進行反編譯，獲取其源碼結構。將生成的SDK文件以源碼或無源碼的方式集成到云豹直播APK中，確保SDK與云豹直播App的正常交互。對集成后的App進行編譯和打包，生成可用于測試的新版本APK文件。

3.3" 抓包分析與測試

分別對原版App和安裝SDK后的App 通信數(shù)據(jù)進行抓包分析。安裝原版App到測試設備上，使用抓包工具（如Wireshark）對App的網(wǎng)絡通信數(shù)據(jù)進行抓包，觀察并分析App的域名服務（Domain Name System，DNS）請求、超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）明文請求數(shù)據(jù)等，了解其正常的網(wǎng)絡通信流程。同樣，對集成SDK后的App做同樣操作，觀察SDK啟動后對網(wǎng)絡通信的HOOK情況，確保所有網(wǎng)絡通信都被SDK控制［3］。分析抓包數(shù)據(jù)，確認SDK與節(jié)點之間的加密傳輸是否正常，以及是否能夠有效防止關鍵數(shù)據(jù)和內容的明文傳輸。在測試環(huán)境中模擬對節(jié)點的攻擊，如斷開節(jié)點的網(wǎng)絡連接或發(fā)送大量惡意請求［4］。觀察SDK在節(jié)點被攻擊時的行為，包括是否能夠迅速切換到其他可用節(jié)點，切換過程中是否對用戶造成感知上的影響。驗證SDK的身份驗證機制是否有效，防止攻擊者重復拉取節(jié)點池或獲取用戶的節(jié)點信息。對SDK的節(jié)點切換策略進行多次測試，確保其穩(wěn)定性和可靠性。

3.4" 實驗結果分析與總結

根據(jù)實驗步驟中收集的數(shù)據(jù)和觀察結果，對基于SDK的DDoS防護策略進行實驗結果的分析和總結。

實驗結果表明，基于SDK的DDoS方案能夠顯著減少DDoS攻擊對社交和直播類App的影響，降低了延遲和卡頓現(xiàn)象，同時提高了用戶訪問速度。此外，該方案還避免了傳統(tǒng)高防服務器存在的誤封用戶問題，保證了正常用戶的訪問體驗。

通過實驗結果也可以看出，基于SDK的防護方案的優(yōu)點在于不依靠傳統(tǒng)的硬性防護，而是通過分布式節(jié)點的大規(guī)模調度來實現(xiàn)防護。此外，由于節(jié)點設計獨特，并不直接提供任何業(yè)務端口，而僅開放一個

加密傳輸隧道端口（62001），這樣的設計使得SDK方案在抵御CC攻擊時表現(xiàn)出色，實現(xiàn)了高效防護。值得一提的是，SDK節(jié)點切換的過程迅速且無需依賴域名DNS解析方式。相較之下，基于別名（Canonical Name，CNAME）防護集群切換則依靠域名解析且無法實現(xiàn)無縫切換［5］，其防護CC攻擊的效果也不理想，這一對比凸顯了基于SDK防護方案的高效性和實用性。

4" 結語

本文提出了一種基于SDK的分布式云集群防護方案，用于解決社交和直播類App面臨的DDoS攻擊問題。該方案通過分布式節(jié)點部署、SDK集成以及隧道加密通信技術，實現(xiàn)了無上限防御DDoS和CC攻擊，提升了用戶訪問速度。實驗結果表明，該方案具有顯著的優(yōu)勢和效果。筆者將繼續(xù)優(yōu)化該方案的性能和穩(wěn)定性，以適應不斷變化的網(wǎng)絡安全環(huán)境。同時，筆者也將探索更多新的防護技術和手段，為社交和直播類App提供更加全面、有效和可靠的安全保障。

參考文獻

［1］馬錚.基于SDN的分布式拒絕服務攻擊檢測與緩解技術研究［D］.北京：北京郵電大學，2022.

［2］張成，李鳳霞.基于CDN技術的高校網(wǎng)絡安全建設探索［J］.軟件導刊，2023（4）：136-141.

［3］宋旭偉.基于SDN的工業(yè)互聯(lián)網(wǎng)架構下DDoS攻擊檢測與防護研究［D］.北京：北京交通大學，2022.

［4］胥素芳，郭拴岐.DDoS攻擊的防護策略［J］.電子技術與軟件工程，2021（14）：236-237.

［5］陳澤鑫.分布式實時DDoS攻擊防護系統(tǒng)的設計及實現(xiàn)［D］.鞍山：遼寧科技大學，2021.

（編輯" 王永超）

Research on DDoS protection strategies for social live streaming Apps

ZHAO" Xiaojuan

（Luoyang Open University， Luoyang 471000， China）

Abstract： With the rise of social live streaming mobile applications （App）， they are increasingly facing the threat of distributed denial of service （DDoS） attacks. Although traditional high-defense servers can resist some attacks， they have serious latency and stuttering issues， and are prone to mistakenly blocking normal users， making it difficult to meet current security requirements. To address these issues， this article proposes a distributed cloud cluster protection solution based on software development kit （SDK）. Through the deployment of a large number of distributed nodes and SDK integration， it achieves unlimited defense ability to against DDoS and Challenge Collapsar （CC） attacks， while improving user access speed and experience.

Key words： social live streaming App; DDoS protection; distributed cloud cluster