虎嗅服务器“保卫战”实录
http://www.enet.com.cn/security/ 2013年03月01日19：06 来源：虎嗅网
【文章摘要】2月27、28日，虎嗅页面访问出现异常。原来是虎嗅服务器经遭到攻击，并演绎出这么一场服务器“保卫战”。

　　原标题：【实录】2月27、28日，虎嗅经历了这么一场服务器反击战

　　2月27日18时整，虎嗅收到4个监控平台的各种监控报警，提示异常：

　　1、tcp链接数升速异常
　　2、cpu使用率飙升
　　3、http响应时间过长
　　4、带宽利用率异常
　　5、数据库压力升高

　　我们随即登陆服务器查看，18时4分，网站开始出现服务异常，开始收到故障报警：

　　1、tcp链接数超限
　　2、cpu使用率100%
　　3、http服务失去响应
　　4、带宽利用率100%
　　5、icmp无响应

　　远程直接链接直接失去响应，我们只能绕道进入服务器继续查看服务器状况，初步确认虎嗅受到的攻击方式为 ack flood + icmp flood + udp flood +cc。这种组合式攻击复杂程度比较高，可以确信对方做了十足的准备。虎嗅随即对服务器做了相应调整，但攻击流量过大，已经超过我们的总带宽。

　　实际上，虎嗅前段时间已经遭遇了很多莫名其妙的扫瞄和密码破解。看上去，伏击者准备已久了。

　　18：05，根据阿里云的流量清洗规则，“云盾”被触发，阿里云对攻击虎嗅的流量进行清洗，我们接到各种恢复提示，看起来一切正常了，虎嗅的流量只剩下被攻击时的1-3%，攻击者的流量基本稳定在虎嗅带宽10倍多点的流量上。

　　19：50，攻击者开始加压。攻击流量飙升到云盾清洗上限（云盾免费清洗上限），服务器瞬间倒地。

　　在阿里云同学的帮助下，21点左右，虎嗅开始恢复正常。而同时，攻击者再次加压。

　　虎嗅网跟阿里盾接受了第二次考验，最高流量一度达到虎嗅网总带宽接近40倍，但在阿里云的服务支持下，始终未对虎嗅网造成致命打击。

　　随后攻击者改变了攻击方式，嗅哥再次倒地。这时，远在杭州的阿里云团队协助虎嗅网使用了阿里的负载均衡（slb）。虎嗅网再次站了起来。攻击失效后，流量渐渐退去。

　　第二天白天，虎嗅再次遭受各种形势的攻击，但每次一遭受短暂的影响，我们的云服务商阿里云就及时提供协助，外部攻击始终没有对虎嗅造成太大的影响。

　　到3月1日攻击还在持续，但已经对虎嗅造不成什么威胁。这次虎嗅服务器反击战基本就收在了2013年2月。

　　借着这次虎嗅保卫战，我们感受到的是，云时代的攻击与防护方式与传统服务器托管时代有着鲜明的对比。

　　几年前网站遇到外部攻击，如果是小量，就提高自己的抗攻击能力，从性能和过滤方面着手；如果量级比较大，只能联系机房加大带宽、联系防火墙厂商提供更强大的过滤设备、增加物理服务器数量；攻击再猛烈一些，只能举白旗投降。

　　传统服务器托管时代，因为办公场所与托管机房之间有物理距离，所以整个过程折腾下来，至少需要6小时。

　　而在云时代，反击时间已经大大缩短：小攻击自动被过滤；云服务商们的弹性计算也可以提供无缝的性能提升来临时低于攻击，响应速度、资源匹配上都更快更灵活，这使得网络攻击在未来可能再形不成恶意力量。

　　深度感谢靠谱的阿里云。感谢期间主动关心、给虎嗅伸出援手的安全宝、绿盟、湖盟、乌云、360以及诸多行内朋友，你们是嗅哥的安全感。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课