一、行業(yè)現(xiàn)象

1.1 為什么要攻擊？

常見的，一個(gè)是同行惡意競爭，一個(gè)是敲詐勒索。

無論是傳統(tǒng)行業(yè)的線下門店，還是互聯(lián)網(wǎng)行業(yè)的門戶網(wǎng)站、APP產(chǎn)品，都存在著競爭關(guān)系，爭相獲得更多客源，究其目的，無非是為了賺錢。

1.2 被攻擊有什么癥狀？

傳統(tǒng)行業(yè)線下門店來講，你開了一家飯店，正正經(jīng)經(jīng)做生意，生意也還不錯(cuò)。這兩天經(jīng)常有一大堆人進(jìn)飯店，但是不點(diǎn)菜就占著位置不消費(fèi)，或者動(dòng)不動(dòng)有乞丐在門口守著，有人在飯菜里面吃到蟲子等等，這就是傳統(tǒng)行業(yè)的惡意競爭。

互聯(lián)網(wǎng)行業(yè)同理，你的門戶網(wǎng)站或者APP產(chǎn)品一直正常運(yùn)行，也沒有做推廣導(dǎo)流大量用戶，但是系統(tǒng)突然無法訪問，或者卡的要死，技術(shù)檢查說是服務(wù)器流量暴增，導(dǎo)致服務(wù)器崩潰，阿里云ECS被拉入黑洞，無法訪問。

用戶無法正常使用你的產(chǎn)品，自然會(huì)覺得你的系統(tǒng)不穩(wěn)定，導(dǎo)致用戶流失。

1.3 惡意競爭的對(duì)手一般是不會(huì)攻擊，那他是怎么做到的？

“發(fā)單者”，發(fā)起惡意競爭的對(duì)手，或者是敲詐勒索的主，即“老板”；

“攻擊者”，收到發(fā)單者的訂單，通過專業(yè)技術(shù)手段對(duì)目標(biāo)進(jìn)行攻擊操作，即“項(xiàng)目經(jīng)理”；

“肉雞供應(yīng)商”，即給攻擊者提供資源的供應(yīng)商，資源即“搗亂者”；

另，本圖只是簡單介紹攻擊產(chǎn)業(yè)鏈，還有其他角色此處就不做詳細(xì)介紹，后續(xù)我們?cè)俪鰧ｎ}討論。

1.4 哪些行業(yè)更有可能被攻擊？

游戲（棋牌、網(wǎng)游私服）類

某顏色類網(wǎng)站類

金融類

虛擬貨幣類

簡單分析下上述類行業(yè)，他們至少有一個(gè)非常關(guān)鍵的共同點(diǎn)：有錢！

二、常見攻擊方式

2.1 DDoS攻擊

DDoS攻擊是利用網(wǎng)絡(luò)上被攻陷的電腦作為“肉雞”，通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對(duì)多的方式進(jìn)行控制，向目標(biāo)系統(tǒng)同時(shí)提出服務(wù)請(qǐng)求，超出服務(wù)器的承載量，導(dǎo)致服務(wù)器崩潰的攻擊技術(shù)。

簡單的說，就是你的飯館最多承載100個(gè)客人在店里面消費(fèi)，當(dāng)被人家惡意攻擊時(shí)，突然有很多人往店里擠，不光是從大門進(jìn)，還有后門，爬窗，各式各樣的，導(dǎo)致店里沒辦法控制，并且人滿為患，真正的消費(fèi)者無法進(jìn)入飯店消費(fèi)，最后歇菜。

一般DDoS攻擊有 NTP Flood、ICMP Flood、UDP Flood、SYN Flood、DNS Query Flood 等，由于專業(yè)描述過于復(fù)雜，此處不做詳細(xì)介紹。

2.2 cc攻擊

cc攻擊主要分代理cc和肉雞cc，其目的都是通過控制大量的請(qǐng)求，訪問受害主機(jī)的合法網(wǎng)頁或接口，導(dǎo)致服務(wù)端應(yīng)用層（如java的tomcat）無法正常響應(yīng)，服務(wù)器CPU長時(shí)間處于100%狀態(tài)，網(wǎng)絡(luò)帶寬被占滿，數(shù)據(jù)庫被拖死等情況。

簡單的說，當(dāng)你的飯館被惡意cc攻擊時(shí)，突然來了很多客人，他們雖然不爬窗不抄后門，但是仍然把你的大門給擠滿堵死，真正的客人無法進(jìn)入，人又多，飯館的服務(wù)員忙不過來，最后歇菜。

這種攻擊技術(shù)性含量高，見不到真實(shí)源IP，見不到特別大的異常流量，但服務(wù)器就是無法進(jìn)行正常連接。所以cc攻擊成本也相對(duì)高一些，如果不是真的有什么深仇大恨，一般不會(huì)持續(xù)多久。

三、DDoS攻擊防護(hù)

3.1 理解DDoS攻擊原理

首先我們要知道，最基礎(chǔ)的網(wǎng)站部署是怎么實(shí)現(xiàn)的，用戶通過瀏覽器訪問域名，域名再轉(zhuǎn)發(fā)到你的源服務(wù)器。

然后我們要了解DDoS攻擊原理，他們攻擊的，是你的源服務(wù)器，也就是你的飯館門店。因?yàn)橐话阌蛎际秋@示指向服務(wù)器的ip，也就是你的門店定位是暴露給客戶的，所以攻擊者是可以直接找到門店進(jìn)行攻擊。

3.2 前置路由服務(wù)器，保護(hù)源服務(wù)器

所以要防護(hù)DDoS攻擊第一步，是要保護(hù)好我們的源服務(wù)器，不讓對(duì)方知道我們的源服務(wù)器地址，即加一個(gè)前置路由服務(wù)器，一般我們是使用NGINX、Apache等軟路由，部署如下圖。

3.3 路由服務(wù)器被打死怎么辦

上述架構(gòu)圖中，只是保證了源服務(wù)器不被影響，但是前置路由服務(wù)器被打死，用戶依然訪問不了，所以有的朋友已經(jīng)想到了，我們?cè)贀Q一個(gè)路由服務(wù)器，部署如下圖。

但這種方式，必須要人工將域名轉(zhuǎn)發(fā)配置重新改成新的路由服務(wù)器，并且域名轉(zhuǎn)發(fā)最慢可能要10分鐘，所以存在部分用戶短時(shí)間內(nèi)無法正常訪問的弊端。

3.4 高富帥的完美做法

前面講到的多路由服務(wù)器的方式，存在明顯的體驗(yàn)差的弊端，那么有沒有更好的方式呢？當(dāng)然有，就是費(fèi)點(diǎn)錢。比如阿里云，就有他們自己的高防服務(wù)，20000元包月，打底30G流量，超出的流量按量付費(fèi)。 舉個(gè)例子，這個(gè)月，你被攻擊了5次，每次平均流量時(shí)100G，那么也就是說，你要額外再出 70G * 5 * 平均小時(shí) 的額外流量費(fèi)用。（我一個(gè)搞游戲的朋友被同行惡意攻擊，一個(gè)晚上的功夫，就是1萬多的超額費(fèi)用。。。），部署架構(gòu)圖如下。

3.5 想要有阿里云高防IP的服務(wù)又想節(jié)省成本

阿里云高防IP的做法，其實(shí)就是自己做了一套清洗規(guī)則，我們百度阿里云高防可以看到，很多競價(jià)排名在前面的都是一些機(jī)房，他們的做法跟阿里云的做法原理也是差不多的，并且價(jià)格要比阿里云便宜不少，那么靠譜嗎？

競價(jià)排名嘛，羊毛出在羊身上，所以對(duì)于他們的同行來說，價(jià)格肯定也是偏高的，穩(wěn)不穩(wěn)定得看口碑了。我們之前做互聯(lián)網(wǎng)金融的時(shí)候，被別人敲詐勒索，最后也是找到一個(gè)比較靠譜的機(jī)房做的防護(hù)，他們24小時(shí)在線查處問題，后面也一直處于比較清靜的狀態(tài)。

四、cc攻擊防護(hù)

4.1 理解cc攻擊原理

cc攻擊不同于普通的DDoS攻擊，玩的是合法的網(wǎng)絡(luò)請(qǐng)求，也就是說他就是通過域名網(wǎng)頁請(qǐng)求過去的，也是因?yàn)樗旧砭筒恍枰@過門面直接攻擊源服務(wù)器，那么即使加上普通的前置路由服務(wù)器，也是沒用的。

既然不需要隱式保護(hù)源服務(wù)器，那要怎么處理呢？

一般cc攻擊都是有策略的，通過識(shí)別出當(dāng)時(shí)攻擊的策略，防護(hù)修改對(duì)應(yīng)的應(yīng)對(duì)策略即可。（當(dāng)然，沒點(diǎn)專業(yè)技術(shù)能力的，這個(gè)應(yīng)對(duì)策略也是做不到的）

4.2 如何找到專業(yè)的cc攻擊策略防護(hù)

同樣，也是使用類阿里云的高防IP，當(dāng)服務(wù)器被攻擊時(shí)，會(huì)提示你的服務(wù)器當(dāng)前在被什么策略的cc攻擊，對(duì)應(yīng)的人為在高防管理后臺(tái)修改防護(hù)策略即可應(yīng)對(duì)。

另一個(gè)就是前面說的機(jī)房，他們也是同樣的方式，只是因?yàn)榻尤肓藱C(jī)房，被攻擊的對(duì)象就是他們的服務(wù)器，所以就讓他們機(jī)房自己修改策略應(yīng)對(duì)就好了，你只需要觀察你的客戶是否可以正常訪問即可。

五、防護(hù)方式用戶體驗(yàn)與成本對(duì)照表