记一次DDOS攻击防护实录

前言

    笔者所在单位是一家小型创业公司，目前产品正在成长阶段，日活跃用户只有区区几万人次，并发只有日均 85/QPS，自建机房，带宽 100MB。在这样的背景下，彻底没想过一个小产品会招来黑客的光顾，并且一来就是好几天。

原由

    事情的原由来源于某个惬意的下午，从市场接收到客户反馈，部分地区客户没法打开产品页面，因为是周末且以前也发生过机房网络故障，运维并未引发重视，觉得是网络问题，放置无论。可是到傍晚19点左右，状况忽然变得很严重，90%的客户都在反馈没法打开产品页面；
这一会儿就炸锅了。

    首先，立刻安排运维人员排查机房网络问题，而后技术人员查看服务日志、流量监控是否正常。立刻就发现了问题，服务器CPU运行平稳，流量只有 3次/s，很明显，流量未进入服务器，被拦截在防火墙外面了；过了5分钟，收到运维人员反馈：机房反馈，忽然收到大量数据包请求，
流量高达30GB，目前已启动限流措施！
事情很是明了，服务遭到了 DDOS 攻击！
怎么办，怎么办，怎么办！

防护

    你们都在干等着，什么也作不了，等机房处理，这是运维人员的处理意见。等机房处理是很是愚蠢的想法，后面会讲到。

    攻击持续了大约 3 个小时，晚上 22：00 左右，攻击中止，服务恢复，这期间，市场只能一直安抚客户，而你们也一致认为这是一场随机的攻击，竟然也都洗洗睡了，事实证实大错特错。
次日白天流量恢复正常，你们还认为这就是个恶做剧，而后傍晚 17 点左右，又有部分客户反馈没法打开产品页面，此次持续了 10 分钟后中止，机房也未收到任何警报（小机房坑爹啊），
晚上 19：00 又准时开始攻击，此次持续了 10 个小时，整个产品线几乎瘫痪，只有微信端很小的流量进来。

    此次状况就很难受了，你们都很差过，个人建议是立刻上高防IP，联系机房，说是提供 3000RMB/月 的流量防护，最高 30GB，我说好，先上着，寥胜于无吧。次日，立刻安排财务付款购买，上了机房自带的高防IP后，果真奏效了，产品浏览正常，好事多磨，这是谁说的，
下午的攻击又准时的出现，此次高防IP发挥了左右，扛住了 10 分钟，而后也瘫痪了！！！

换IP!

    立刻安排运维人员更换 IP 地址，而后扛住了 30 分钟，新IP也宣告沦陷，我就奇怪了，黑客也太厉害了，这么快就找到新 IP 了？，机房告知：更换 IP 只支持更换 C 段，我....
流量不够，IP暴露，事情的发展对我方很不利。

    这个时候我在想，要是认了个爸爸该多好！爸爸，哎爸爸，马爸爸啊，找阿里云啊，此时已经是周四了，距离收到攻击报告已过去了3天了。

    立刻到阿里云查看高防IP服务，果真有，果断买；联系客服，下单，拉了个钉钉群，技术专家对接；
准备接入的时候发现，要接入高防IP服务，域名必须在阿里备案，没问题，咱们的域名都在在阿里买的，可是备案的时候须要服务器，运维安排买！买了之后发现，仍是没法备案，提示购买时长必须是 3 个月以上，他们买了 1 个月，哈哈啊哈哈，个人天啊。财务外出，没法续费。
联系阿里高防IP服务技术专家，说能够内部提供加速服务（不收费），我说好，大家沟通一下，我立刻去提个工单，把工单号发给技术专家内部安排沟通，备案问题得以顺利解决。
接下来就是接入高防IP服务。

    不得不说，阿里的敬业精神，对接群里面分别拉了技术、商务、运维、客服，各类问题全方位快速响应，在周五下班前，完美接入了高防IP服务，基础 30GB，弹性 60GB。

波澜又起

    下班后，我坐在电脑前想，IP暴露的问题仍是没有解决，这个是很是大的隐患啊，还没来得及细想，攻击就来了 仍是 30GB流量，不过，高防IP服务所有都清洗过去了，只形成了些许困扰，你们认为，确定是没有问题了，都下班走人。到了晚上，部分客户反馈，安卓客户端没法浏览部分网页，
报证书链不完整的问题，钉钉电话联系阿里技术专家，彼时技术专家已下班，从电话里依稀听到孩子嬉戏的声音。

    通过详细沟通后，从新上传 https 证书，合并证书链后解决。
次日周六，一如往常的平静，到下午 14：00 ，忽然收到阿里高防IP服务警报，服务黑洞中....登陆云盾查看流量，收到DDOS流量包超过 60GB，最高达到 100 GB，高防IP服务自动中止防护，发送警报短信，联系技术专家后，解决方案是提示防护弹性到 300GB，手动
解除黑洞，故障解除，接下来的周日、周一，又收到几波攻击，最高达到 150GB，可是都有惊无险的安全度过。

起色

    事情的起色出如今某个夜深人静的晚上，从遥远的华中地区来的一个电话，某个市场区域代理反馈，接到一个自称黑客要求合做的电话，已将录音发送给技术团队，咱们一听，就是勒索啊，说这几天都在因为他们在“测试”，帮咱们产品找漏洞，若是付钱给他们，
他们能够保证咱们的产品在“全球”范围内不会再发生这种事情，咱们商量了一下，以为和他进一步的接触。

    通过两天的沟通，仍是没法获得对方的有效信息，就此做罢，黑客约定次日“展现实力”，次日，预定的时间，攻击没有到来，1个小时后，收到阿里高防IP服务短信反馈，监控到一波 30GB的流量攻击，已平稳度过，截至发文时，服务运行平稳，流量稳定，无攻击，阿门！

总结

• 今后事件中能够看出，我方对安全问题不重视，这也是初创企业广泛存在的问题，运维人员意识出现幸存者误差，有侥幸内心。
• 在攻击初始出现的时候，没有预案，没法应对，被动等待机房处理，而机房能力和服务水平较弱，没法应对这种小规模的攻击。
  惟一能作的就是将我方业务下线，俗称“拔线”，彻底不理我方感觉，简单粗暴，因此在初创时期，千万不要做死自建机房，除非有成熟的机房运做经验
• 我方只有单机房，没法更换B段以上IP，IP地址直接暴露，更是本身找死。
• 经此事件后，我方决定部分业务上云，特别要创建堡垒机方案，全面排查系统、业务、应用级别漏洞。
• 创建多机房备灾和故障转移方案，创建应对突发事件的预案，创建预警方案。
• 在事故处理期间还检测出防火墙老化产生的问题，更换了防火墙、IP地址，增强运维人员管理意识，提高业务水平。

结语

    系统的升级非一朝一夕，意识最重要，不怕事故，就怕没有处理方案，出了事情千万不能瞒报、误报，主管领导要全方位的了解各类状况，深挖问题，结合实际，作出最快、最优的处理决定。 从业者都应该保持对这份职业的敬重。