CC和Ddos到底是什么？如果遭到99Gbps的Ddos攻击，如何化险为夷！（一）

2019年4月某日晚8点，驾车20公里刚到家突然收到阿某云“站点探测工具”的服务不可用报警短信，打开app是永远转不停的“菊花”，紧接着是同事的来电，老板的来电。

和所有IT工作者一样，迅速地从公文包里拿出那擦的铮亮的MAC笔记本电脑，肯定是刚刚打过蜡。早就形成了肌肉记忆，这种情况的无非那么几种：服务挂了，云机宕了，压力大了，网络瘫痪了。”ping client.xxx.com”,机械性的敲入了电脑入门命令，返回的是一串板着脸的“Request timeout for icmp_seq n+1”，第一反应当然就是Ucloud云香港的网络节点瘫痪了（在之前使用使用Ucloud的过程中遇到过网络瘫痪的故障，那么关于为什么会选择Ucloud香港节点会在其他文章中更新）。登陆那设计的看上去像个高科技的服务器管理后台，一看状态当然是那让人放心的绿色，接着ping了在同一机房的备用出口返回的是亲切的延时数字。那还等什么，域名直接解析到了备用出口，在Ucloud的技术支持群里报障，在公司客服群里报告服务恢复的“战报”，一气呵成，洋洋洒洒。

喝着茶坐等Ucloud恢复网络，然后鸣金收兵…嘿嘿嘿。然而等来的不是Ucloud技术支持的网络恢复喜讯，等来的是公司客服群里又一次炸锅，等来的是打了鸡血的业务员的diss。看看时间已经是过了8点过半了，业务高峰马上就要到了。坐立不安，豪无头绪，接下来的几个小时如果服务不可用那损失的将会是上百万的销售额。Ucloud技术支持群里终于有人呼吸了，“你好王总（反正见人就叫总），您香港某区某ip遭到了大量的Ddos攻击”。what the fuck…

Ddos攻击？好像是听说过，早些年面试的时候还被问过这样的问题呢，分布式拒绝服务攻击Distributed denial of service attack。本来以为是黑天鹅事件，对，天鹅今天飞到我们家了，飞到我们这些不重视安全的人眼里了。

可以想象那样的环境，一个人在家战友也不在身边，发虚呀。病急肯定是得乱投医的，双黄连喝喝也是好的，销售肯定是借机发挥的。技术支持群里从不缺自告奋勇的人才，但他们不是一线的战士。在远程技术的指导下自掏腰包购买了最高抵御30Gbps的高防ip，保证服务是我们的天职呀，年终奖咱也还是想要的，10分钟后服务再一次恢复了。

虚惊一场，化险为夷，故事到此结束…

不，剧本却不是这样的。服务再一次宕了，所有人的忍耐都到了极限了，用户退单了，销售罢工了，所有的东西都乱成了一锅粥。此时的服务器状态表现为：服务器压力大，网络带宽占用。那么问题来了按照云服务商的说法不是遭到了Ddos攻击么？那解决问题不就是使用高防服务器么？花钱买平安，当晚在同行交流群里也是得到这样的答案。很明显这都不是解决问题的办法，这些伙伴们都不在战场，也听不到炮火声。

在焦急中，在业务断断续续中，时间马上到了晚上11点，当天销售业务结束，客户流失，损失惨重。驱车回了公司，相关人员早已就位，开始了复盘大会。在晚上11点当天业务截止，攻击停止了，很明显这是一次有预谋有组织的攻击行为。假如在接下来的20小时内不做好有效的防御，攻击很可能会再一次到来。我在明，敌在暗，我们不知道对方是谁，甚至不知道攻击到底是什么攻击（如果是Ddos，那就用高防呀，但是没有效果？？），自己团队在安全方面的知识储备又很有限。

临危受命，背水一战，我有20小时的时间和5万的预算。
在西游记中总是这样的：一个妖怪非常厉害，大家也不知道它是谁，孙悟空只能请佛主，回来的时候拿着葫芦一喊妖怪的小名，妖怪就乖乖现身了。那么第一步得知道攻击到底是什么来头，知己知彼尤其的重要。这个时候通过查找资料，快速的，系统性的掌握相关领域的知识就非常的重要。

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，DDoS可以简单分为三类。

第一类大力出奇迹：无限多的数据包从互联网的各个角落蜂拥而来，直接把家门口堵上，如ICMP Flood和UDP Flood，现在已不常见。（比如一群电脑ping一个服务器，百度被发生过）

第二类四两拨千斤：如Slowloris攻击、Hash冲突攻击等，需要特定环境机缘巧合下才能出现（咱也没有见过）。

第三类是前两种的结合，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood攻击、DNS Query Flood攻击，HTTP Flood攻击，是当前的主流攻击方式。其中SYN Flood一句话说清楚就是假装有很多ip和服务器进行tcp连接，但是又连接不上，不给别人机会。DNS Query Flood攻击简单点讲就是把DNS服务器打垮了（这有点难吧，吃力不讨好）。HTTP Flood攻击一句话讲就是假装很多人来访问你的http服务器，又是下载图片，又是请求接口，不一会儿服务器吃不消了。

通过这样查阅学习和总结，那么我们遭到HTTP Flood的可能性应该是最大的，面具是不是就摘下了一半呢？既然有可能是HTTP Flood，那么咱们直接看日志（nginx日志，tail -n 10000 /home/logs/nginx/access.log|cut -d’-’ -f1 | sort |uniq -c | sort -nr -k 1 | head -n 100），一看日志都是一些俄罗斯，还有非洲兄弟们的ip，现在知道了我们肯定是遭到了HTTP Flood攻击，但不仅限于HTTP Flood。

那么关于市面上的防御产品有哪些呢，以阿某云为例有Web应用防火墙（WAF，用来防御HTTP Flood，有很多地域塞选还有智能防御功能），DDoS防护包（让你的IP在遭遇Ddos的时候晚点进小黑屋），DDoS高级防护（让你的IP在遭遇Ddos的时候再晚点进小黑屋），游戏盾（让你的IP在遭遇Ddos的时候永远不进小黑屋，价格600000多一年）

那有组织有攻击的攻击者总得是同行吧？同行咱也没有听说有这么好的技术可以抓到这么多“鸡”来攻击我们呀。然后又通过网络找了一些养鸡专业户，对方会给你一个群控软件，给你一个500只鸡的入门套餐，主要能做的操作只有CC攻击（应该就是HTTP Flood，需要输入需要攻击的url），还有Ddos攻击（应该就是类似一些SYN Flood，需要输入要攻击的ip）。

鸡是什么鸡，笼是什么笼也就清清楚楚的了。起初在技术人员的推荐下买了Ddos高防当然也就是没有效果的，这玩意的作用就是不把你放进黑屋子，在防御SYN Flood类似的低层攻击是非常有效的，但人家现在是用CC，C死我们呀。这个时候需要使用得的是Web应用防火，web防火墙可以根据地域拒绝流量，根据正则拒绝流量等。然后优化了nginx配置，关闭了有大压力的后台接口（登陆后才能请求）。

我们现在也是有鸡的人了，用自己的鸡C自己的服务器，那当然是没有问题的，和考试做检查一样，总是检查不出自己的问题的。第二天夜幕降临，那些在黑暗中活动的人如期出现，这次我们有准备，他们没有准备，一夜无事，成功防御。
事情总不会这么顺利，这样才有后续的故事，请听下回。