網易5月11日被攻擊后,一篇關于《從5月11號網易被攻擊談起:新型DDoS攻擊LAF》的文章在專業技術網站廣為傳播。文章指出,網易遭遇學術界才提出的LFA攻擊,LFA是一種新型的DDoS攻擊,全稱LinkFloodingAttack(鏈路洪泛攻擊)。主要以癱瘓鏈路為目標,而不是以癱瘓服務器為目標。現在還沒有關于LFA特別好的解決方案,不過文章提出了一個解決之道:對于這種攻擊,在云計算時代,公司的服務器托管在同一個云服務商上,只能云服務商來解決這個問題,單個個體是沒辦法解決的。
這里需要補充一個背景,網易并沒有采用公有云服務,網易的核心機房在廣州,沒有多地部署,出口帶寬不夠大。業內人士普遍認為,這是業務受攻擊影響較大的主要原因。
這個問題可以延伸,針對這個事件,云服務商這一方是否有解決之道?騰訊云的安全工程師經過分析確認,攻擊確實來自LFA—網易遭受的LFA,是以核心鏈路為攻擊目標,阻塞核心鏈路造成擁塞,導致無法訪問。工程師同時整理了應對方案,在這里分享給大家。
騰訊云的大禹系統(分布式DDoS防護系統)可以解決這個問題。原理是,大禹系統是部署在400+邊緣節點上的防護體系(單個節點抗打擊能力100G),因此沒有核心鏈路,LFA攻擊無法生效。其次,因為對每個邊緣節點的攻擊成本太高,無法達到全部擁塞的目的(攻擊流量必須=100G*400+節點)。而100G+的DDoS攻擊,騰訊云可以輕松防護。
不過,技術團隊從更深層次問題剖析,從短期和長期來看,企業需要重新考慮改進網絡的基礎架構,才能解決這個問題。
改進網絡的基礎架構,對于任何企業來說都是一個大工程,主要涉及三大舉措:提高基礎網絡能力、多建數據中心、加強災備。這些建設需要高投入、強研發能力的支持,不少企業雖然意識到了,但實踐中依然很難解決這個問題。如果采取保守改造,可能建設質量和效果又會有些折扣。
上云,是性價比最高的選擇。
短時間內,企業可以快速獲取完整的網絡基礎架構服務。以騰訊云為例做剖析。首先,在基礎網絡能力上,騰訊云基于服務騰訊億級用戶服務經驗可實現全網調度,遇到網絡攻擊可以做到億級用戶的容災切換,在十秒鐘內可以為QQ、QQ空間等多個億級應用進行幾千萬用戶的切換,成就了QQ永不掉線的美名。
其次,在數據中心的部署上,騰訊云在天津、上海、深圳、香港和北美已經部署運營多個數據中心,具有豐富的數據中心實戰經驗。在災備能力上,騰訊云在網絡系統、數據處理系統、技術支持系統等方面已經積累很強的災備能力。
為了服務游戲電商、P2P這類經常受攻擊的用戶,騰訊云構建一個高防機房,可以在單點提供超過500G的網絡防護能力。對于愿意使用分布式防御的用戶來講,騰訊云可以提供高達兩個T的防御帶寬。
最后整體來看這個問題,如果使用云服務,可以快速抵御越來越兇猛的網絡攻擊,云服務抱團取暖顯然比個體孤軍作戰更有效。
京公網安備 11010502049343號