一、行業(yè)現(xiàn)象

1.1 為什么要攻擊？

常見(jiàn)的，一個(gè)是同行惡意競(jìng)爭(zhēng)，一個(gè)是敲詐勒索。

無(wú)論是傳統(tǒng)行業(yè)的線下門店，還是互聯(lián)網(wǎng)行業(yè)的門戶網(wǎng)站、APP產(chǎn)品，都存在著競(jìng)爭(zhēng)關(guān)系，爭(zhēng)相獲得更多客源，究其目的，無(wú)非是為了賺錢。

1.2 被攻擊有什么癥狀？

傳統(tǒng)行業(yè)線下門店來(lái)講，你開(kāi)了一家飯店，正正經(jīng)經(jīng)做生意，生意也還不錯(cuò)。這兩天經(jīng)常有一大堆人進(jìn)飯店，但是不點(diǎn)菜就占著位置不消費(fèi)，或者動(dòng)不動(dòng)有乞丐在門口守著，有人在飯菜里面吃到蟲(chóng)子等等，這就是傳統(tǒng)行業(yè)的惡意競(jìng)爭(zhēng)。

互聯(lián)網(wǎng)行業(yè)同理，你的門戶網(wǎng)站或者APP產(chǎn)品一直正常運(yùn)行，也沒(méi)有做推廣導(dǎo)流大量用戶，但是系統(tǒng)突然無(wú)法訪問(wèn)，或者卡的要死，技術(shù)檢查說(shuō)是服務(wù)器流量暴增，導(dǎo)致服務(wù)器崩潰，阿里云ECS被拉入黑洞，無(wú)法訪問(wèn)。

用戶無(wú)法正常使用你的產(chǎn)品，自然會(huì)覺(jué)得你的系統(tǒng)不穩(wěn)定，導(dǎo)致用戶流失。

1.3 惡意競(jìng)爭(zhēng)的對(duì)手一般是不會(huì)攻擊，那他是怎么做到的？

“發(fā)單者”，發(fā)起惡意競(jìng)爭(zhēng)的對(duì)手，或者是敲詐勒索的主，即“老板”；

“攻擊者”，收到發(fā)單者的訂單，通過(guò)專業(yè)技術(shù)手段對(duì)目標(biāo)進(jìn)行攻擊操作，即“項(xiàng)目經(jīng)理”；

“肉雞供應(yīng)商”，即給攻擊者提供資源的供應(yīng)商，資源即“搗亂者”；

另，本圖只是簡(jiǎn)單介紹攻擊產(chǎn)業(yè)鏈，還有其他角色此處就不做詳細(xì)介紹，后續(xù)我們?cè)俪鰧ｎ}討論。

1.4 哪些行業(yè)更有可能被攻擊？

游戲（棋牌、網(wǎng)游私服）類

某顏色類網(wǎng)站類

金融類

虛擬貨幣類

簡(jiǎn)單分析下上述類行業(yè)，他們至少有一個(gè)非常關(guān)鍵的共同點(diǎn)：有錢！

二、常見(jiàn)攻擊方式

2.1 DDoS攻擊

DDoS攻擊是利用網(wǎng)絡(luò)上被攻陷的電腦作為“肉雞”，通過(guò)一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對(duì)多的方式進(jìn)行控制，向目標(biāo)系統(tǒng)同時(shí)提出服務(wù)請(qǐng)求，超出服務(wù)器的承載量，導(dǎo)致服務(wù)器崩潰的攻擊技術(shù)。

簡(jiǎn)單的說(shuō)，就是你的飯館最多承載100個(gè)客人在店里面消費(fèi)，當(dāng)被人家惡意攻擊時(shí)，突然有很多人往店里擠，不光是從大門進(jìn)，還有后門，爬窗，各式各樣的，導(dǎo)致店里沒(méi)辦法控制，并且人滿為患，真正的消費(fèi)者無(wú)法進(jìn)入飯店消費(fèi)，最后歇菜。

一般DDoS攻擊有 NTP Flood、ICMP Flood、UDP Flood、SYN Flood、DNS Query Flood 等，由于專業(yè)描述過(guò)于復(fù)雜，此處不做詳細(xì)介紹。

2.2 cc攻擊

cc攻擊主要分代理cc和肉雞cc，其目的都是通過(guò)控制大量的請(qǐng)求，訪問(wèn)受害主機(jī)的合法網(wǎng)頁(yè)或接口，導(dǎo)致服務(wù)端應(yīng)用層（如java的tomcat）無(wú)法正常響應(yīng)，服務(wù)器CPU長(zhǎng)時(shí)間處于100%狀態(tài)，網(wǎng)絡(luò)帶寬被占滿，數(shù)據(jù)庫(kù)被拖死等情況。

簡(jiǎn)單的說(shuō)，當(dāng)你的飯館被惡意cc攻擊時(shí)，突然來(lái)了很多客人，他們雖然不爬窗不抄后門，但是仍然把你的大門給擠滿堵死，真正的客人無(wú)法進(jìn)入，人又多，飯館的服務(wù)員忙不過(guò)來(lái)，最后歇菜。

這種攻擊技術(shù)性含量高，見(jiàn)不到真實(shí)源IP，見(jiàn)不到特別大的異常流量，但服務(wù)器就是無(wú)法進(jìn)行正常連接。所以cc攻擊成本也相對(duì)高一些，如果不是真的有什么深仇大恨，一般不會(huì)持續(xù)多久。

三、DDoS攻擊防護(hù)

3.1 理解DDoS攻擊原理

首先我們要知道，最基礎(chǔ)的網(wǎng)站部署是怎么實(shí)現(xiàn)的，用戶通過(guò)瀏覽器訪問(wèn)域名，域名再轉(zhuǎn)發(fā)到你的源服務(wù)器。

然后我們要了解DDoS攻擊原理，他們攻擊的，是你的源服務(wù)器，也就是你的飯館門店。因?yàn)橐话阌蛎际秋@示指向服務(wù)器的ip，也就是你的門店定位是暴露給客戶的，所以攻擊者是可以直接找到門店進(jìn)行攻擊。

3.2 前置路由服務(wù)器，保護(hù)源服務(wù)器

所以要防護(hù)DDoS攻擊第一步，是要保護(hù)好我們的源服務(wù)器，不讓對(duì)方知道我們的源服務(wù)器地址，即加一個(gè)前置路由服務(wù)器，一般我們是使用NGINX、Apache等軟路由，部署如下圖。

3.3 路由服務(wù)器被打死怎么辦

上述架構(gòu)圖中，只是保證了源服務(wù)器不被影響，但是前置路由服務(wù)器被打死，用戶依然訪問(wèn)不了，所以有的朋友已經(jīng)想到了，我們?cè)贀Q一個(gè)路由服務(wù)器，部署如下圖。

但這種方式，必須要人工將域名轉(zhuǎn)發(fā)配置重新改成新的路由服務(wù)器，并且域名轉(zhuǎn)發(fā)最慢可能要10分鐘，所以存在部分用戶短時(shí)間內(nèi)無(wú)法正常訪問(wèn)的弊端。

3.4 高富帥的完美做法

前面講到的多路由服務(wù)器的方式，存在明顯的體驗(yàn)差的弊端，那么有沒(méi)有更好的方式呢？當(dāng)然有，就是費(fèi)點(diǎn)錢。比如阿里云，就有他們自己的高防服務(wù)，20000元包月，打底30G流量，超出的流量按量付費(fèi)。 舉個(gè)例子，這個(gè)月，你被攻擊了5次，每次平均流量時(shí)100G，那么也就是說(shuō)，你要額外再出 70G * 5 * 平均小時(shí) 的額外流量費(fèi)用。（我一個(gè)搞游戲的朋友被同行惡意攻擊，一個(gè)晚上的功夫，就是1萬(wàn)多的超額費(fèi)用。。。），部署架構(gòu)圖如下。

3.5 想要有阿里云高防IP的服務(wù)又想節(jié)省成本

阿里云高防IP的做法，其實(shí)就是自己做了一套清洗規(guī)則，我們百度阿里云高防可以看到，很多競(jìng)價(jià)排名在前面的都是一些機(jī)房，他們的做法跟阿里云的做法原理也是差不多的，并且價(jià)格要比阿里云便宜不少，那么靠譜嗎？

競(jìng)價(jià)排名嘛，羊毛出在羊身上，所以對(duì)于他們的同行來(lái)說(shuō)，價(jià)格肯定也是偏高的，穩(wěn)不穩(wěn)定得看口碑了。我們之前做互聯(lián)網(wǎng)金融的時(shí)候，被別人敲詐勒索，最后也是找到一個(gè)比較靠譜的機(jī)房做的防護(hù)，他們24小時(shí)在線查處問(wèn)題，后面也一直處于比較清靜的狀態(tài)。

四、cc攻擊防護(hù)

4.1 理解cc攻擊原理

cc攻擊不同于普通的DDoS攻擊，玩的是合法的網(wǎng)絡(luò)請(qǐng)求，也就是說(shuō)他就是通過(guò)域名網(wǎng)頁(yè)請(qǐng)求過(guò)去的，也是因?yàn)樗旧砭筒恍枰@過(guò)門面直接攻擊源服務(wù)器，那么即使加上普通的前置路由服務(wù)器，也是沒(méi)用的。

既然不需要隱式保護(hù)源服務(wù)器，那要怎么處理呢？

一般cc攻擊都是有策略的，通過(guò)識(shí)別出當(dāng)時(shí)攻擊的策略，防護(hù)修改對(duì)應(yīng)的應(yīng)對(duì)策略即可。（當(dāng)然，沒(méi)點(diǎn)專業(yè)技術(shù)能力的，這個(gè)應(yīng)對(duì)策略也是做不到的）

4.2 如何找到專業(yè)的cc攻擊策略防護(hù)

同樣，也是使用類阿里云的高防IP，當(dāng)服務(wù)器被攻擊時(shí)，會(huì)提示你的服務(wù)器當(dāng)前在被什么策略的cc攻擊，對(duì)應(yīng)的人為在高防管理后臺(tái)修改防護(hù)策略即可應(yīng)對(duì)。

另一個(gè)就是前面說(shuō)的機(jī)房，他們也是同樣的方式，只是因?yàn)榻尤肓藱C(jī)房，被攻擊的對(duì)象就是他們的服務(wù)器，所以就讓他們機(jī)房自己修改策略應(yīng)對(duì)就好了，你只需要觀察你的客戶是否可以正常訪問(wèn)即可。

五、防護(hù)方式用戶體驗(yàn)與成本對(duì)照表