記一次DDOS攻擊防護實錄

前言

    筆者所在單位是一家小型創業公司，目前產品正在成長階段，日活躍用戶只有區區幾萬人次，併發只有日均 85/QPS，自建機房，帶寬 100MB。在這樣的背景下，徹底沒想過一個小產品會招來黑客的光顧，並且一來就是好幾天。

原由

    事情的原由來源於某個愜意的下午，從市場接收到客戶反饋，部分地區客戶沒法打開產品頁面，因爲是週末且以前也發生過機房網絡故障，運維並未引發重視，覺得是網絡問題，放置無論。可是到傍晚19點左右，狀況忽然變得很嚴重，90%的客戶都在反饋沒法打開產品頁面；
這一會兒就炸鍋了。

    首先，立刻安排運維人員排查機房網絡問題，而後技術人員查看服務日誌、流量監控是否正常。立刻就發現了問題，服務器CPU運行平穩，流量只有 3次/s，很明顯，流量未進入服務器，被攔截在防火牆外面了；過了5分鐘，收到運維人員反饋：機房反饋，忽然收到大量數據包請求，
流量高達30GB，目前已啓動限流措施！
事情很是明瞭，服務遭到了 DDOS 攻擊！
怎麼辦，怎麼辦，怎麼辦！

防護

    你們都在乾等着，什麼也作不了，等機房處理，這是運維人員的處理意見。等機房處理是很是愚蠢的想法，後面會講到。

    攻擊持續了大約 3 個小時，晚上 22：00 左右，攻擊中止，服務恢復，這期間，市場只能一直安撫客戶，而你們也一致認爲這是一場隨機的攻擊，竟然也都洗洗睡了，事實證實大錯特錯。
次日白天流量恢復正常，你們還認爲這就是個惡做劇，而後傍晚 17 點左右，又有部分客戶反饋沒法打開產品頁面，此次持續了 10 分鐘後中止，機房也未收到任何警報（小機房坑爹啊），
晚上 19：00 又準時開始攻擊，此次持續了 10 個小時，整個產品線幾乎癱瘓，只有微信端很小的流量進來。

    此次狀況就很難受了，你們都很差過，個人建議是立刻上高防IP，聯繫機房，說是提供 3000RMB/月 的流量防護，最高 30GB，我說好，先上着，寥勝於無吧。次日，立刻安排財務付款購買，上了機房自帶的高防IP後，果真奏效了，產品瀏覽正常，好事多磨，這是誰說的，
下午的攻擊又準時的出現，此次高防IP發揮了左右，扛住了 10 分鐘，而後也癱瘓了！！！

換IP!

    立刻安排運維人員更換 IP 地址，而後扛住了 30 分鐘，新IP也宣告淪陷，我就奇怪了，黑客也太厲害了，這麼快就找到新 IP 了？，機房告知：更換 IP 只支持更換 C 段，我....
流量不夠，IP暴露，事情的發展對我方很不利。

    這個時候我在想，要是認了個爸爸該多好！爸爸，哎爸爸，馬爸爸啊，找阿里雲啊，此時已經是週四了，距離收到攻擊報告已過去了3天了。

    立刻到阿里雲查看高防IP服務，果真有，果斷買；聯繫客服，下單，拉了個釘釘羣，技術專家對接；
準備接入的時候發現，要接入高防IP服務，域名必須在阿里備案，沒問題，咱們的域名都在在阿里買的，可是備案的時候須要服務器，運維安排買！買了之後發現，仍是沒法備案，提示購買時長必須是 3 個月以上，他們買了 1 個月，哈哈啊哈哈，個人天啊。財務外出，沒法續費。
聯繫阿里高防IP服務技術專家，說能夠內部提供加速服務（不收費），我說好，大家溝通一下，我立刻去提個工單，把工單號發給技術專家內部安排溝通，備案問題得以順利解決。
接下來就是接入高防IP服務。

    不得不說，阿里的敬業精神，對接羣裏面分別拉了技術、商務、運維、客服，各類問題全方位快速響應，在週五下班前，完美接入了高防IP服務，基礎 30GB，彈性 60GB。

波瀾又起

    下班後，我坐在電腦前想，IP暴露的問題仍是沒有解決，這個是很是大的隱患啊，還沒來得及細想，攻擊就來了 仍是 30GB流量，不過，高防IP服務所有都清洗過去了，只形成了些許困擾，你們認爲，確定是沒有問題了，都下班走人。到了晚上，部分客戶反饋，安卓客戶端沒法瀏覽部分網頁，
報證書鏈不完整的問題，釘釘電話聯繫阿里技術專家，彼時技術專家已下班，從電話裏依稀聽到孩子嬉戲的聲音。

    通過詳細溝通後，從新上傳 https 證書，合併證書鏈後解決。
次日週六，一如往常的平靜，到下午 14：00 ，忽然收到阿里高防IP服務警報，服務黑洞中....登陸雲盾查看流量，收到DDOS流量包超過 60GB，最高達到 100 GB，高防IP服務自動中止防護，發送警報短信，聯繫技術專家後，解決方案是提示防護彈性到 300GB，手動
解除黑洞，故障解除，接下來的週日、週一，又收到幾波攻擊，最高達到 150GB，可是都有驚無險的安全度過。

起色

    事情的起色出如今某個夜深人靜的晚上，從遙遠的華中地區來的一個電話，某個市場區域代理反饋，接到一個自稱黑客要求合做的電話，已將錄音發送給技術團隊，咱們一聽，就是勒索啊，說這幾天都在因爲他們在「測試」，幫咱們產品找漏洞，若是付錢給他們，
他們能夠保證咱們的產品在「全球」範圍內不會再發生這種事情，咱們商量了一下，以爲和他進一步的接觸。

    通過兩天的溝通，仍是沒法獲得對方的有效信息，就此做罷，黑客約定次日「展現實力」，次日，預定的時間，攻擊沒有到來，1個小時後，收到阿里高防IP服務短信反饋，監控到一波 30GB的流量攻擊，已平穩度過，截至發文時，服務運行平穩，流量穩定，無攻擊，阿門！

總結

• 今後事件中能夠看出，我方對安全問題不重視，這也是初創企業廣泛存在的問題，運維人員意識出現倖存者誤差，有僥倖內心。
• 在攻擊初始出現的時候，沒有預案，沒法應對，被動等待機房處理，而機房能力和服務水平較弱，沒法應對這種小規模的攻擊。
  惟一能作的就是將我方業務下線，俗稱「拔線」，徹底不理我方感覺，簡單粗暴，因此在初創時期，千萬不要做死自建機房，除非有成熟的機房運做經驗
• 我方只有單機房，沒法更換B段以上IP，IP地址直接暴露，更是本身找死。
• 經此事件後，我方決定部分業務上雲，特別要創建堡壘機方案，全面排查系統、業務、應用級別漏洞。
• 創建多機房備災和故障轉移方案，創建應對突發事件的預案，創建預警方案。
• 在事故處理期間還檢測出防火牆老化產生的問題，更換了防火牆、IP地址，增強運維人員管理意識，提高業務水平。

結語

    系統的升級非一朝一夕，意識最重要，不怕事故，就怕沒有處理方案，出了事情千萬不能瞞報、誤報，主管領導要全方位的瞭解各類狀況，深挖問題，結合實際，作出最快、最優的處理決定。 從業者都應該保持對這份職業的敬重。