网易5月11日被攻击后,一篇关于《从5月11号网易被攻击谈起:新型DDoS攻击LAF》的文章在专业技术网站广为传播。文章指出,网易遭遇学术界才提出的LFA攻击,LFA是一种新型的DDoS攻击,全称LinkFloodingAttack(链路洪泛攻击)。主要以瘫痪链路为目标,而不是以瘫痪服务器为目标。现在还没有关于LFA特别好的解决方案,不过文章提出了一个解决之道:对于这种攻击,在云计算时代,公司的服务器托管在同一个云服务商上,只能云服务商来解决这个问题,单个个体是没办法解决的。
这里需要补充一个背景,网易并没有采用公有云服务,网易的核心机房在广州,没有多地部署,出口带宽不够大。业内人士普遍认为,这是业务受攻击影响较大的主要原因。
这个问题可以延伸,针对这个事件,云服务商这一方是否有解决之道?腾讯云的安全工程师经过分析确认,攻击确实来自LFA—网易遭受的LFA,是以核心链路为攻击目标,阻塞核心链路造成拥塞,导致无法访问。工程师同时整理了应对方案,在这里分享给大家。
腾讯云的大禹系统(分布式DDoS防护系统)可以解决这个问题。原理是,大禹系统是部署在400+边缘节点上的防护体系(单个节点抗打击能力100G),因此没有核心链路,LFA攻击无法生效。其次,因为对每个边缘节点的攻击成本太高,无法达到全部拥塞的目的(攻击流量必须=100G*400+节点)。而100G+的DDoS攻击,腾讯云可以轻松防护。
不过,技术团队从更深层次问题剖析,从短期和长期来看,企业需要重新考虑改进网络的基础架构,才能解决这个问题。
改进网络的基础架构,对于任何企业来说都是一个大工程,主要涉及三大举措:提高基础网络能力、多建数据中心、加强灾备。这些建设需要高投入、强研发能力的支持,不少企业虽然意识到了,但实践中依然很难解决这个问题。如果采取保守改造,可能建设质量和效果又会有些折扣。
上云,是性价比最高的选择。
短时间内,企业可以快速获取完整的网络基础架构服务。以腾讯云为例做剖析。首先,在基础网络能力上,腾讯云基于服务腾讯亿级用户服务经验可实现全网调度,遇到网络攻击可以做到亿级用户的容灾切换,在十秒钟内可以为QQ、QQ空间等多个亿级应用进行几千万用户的切换,成就了QQ永不掉线的美名。
其次,在数据中心的部署上,腾讯云在天津、上海、深圳、香港和北美已经部署运营多个数据中心,具有丰富的数据中心实战经验。在灾备能力上,腾讯云在网络系统、数据处理系统、技术支持系统等方面已经积累很强的灾备能力。
为了服务游戏电商、P2P这类经常受攻击的用户,腾讯云构建一个高防机房,可以在单点提供超过500G的网络防护能力。对于愿意使用分布式防御的用户来讲,腾讯云可以提供高达两个T的防御带宽。
最后整体来看这个问题,如果使用云服务,可以快速抵御越来越凶猛的网络攻击,云服务抱团取暖显然比个体孤军作战更有效。