首页
社区
课程
招聘
[转帖]虎嗅服务器“保卫战”实录
发表于: 2013-3-2 18:48 1353

[转帖]虎嗅服务器“保卫战”实录

2013-3-2 18:48
1353
虎嗅服务器“保卫战”实录
http://www.enet.com.cn/security/ 2013年03月01日19:06 来源:虎嗅网
【文章摘要】2月27、28日,虎嗅页面访问出现异常。原来是虎嗅服务器经遭到攻击,并演绎出这么一场服务器“保卫战”。

  原标题:【实录】2月27、28日,虎嗅经历了这么一场服务器反击战

  2月27日18时整,虎嗅收到4个监控平台的各种监控报警,提示异常:

  1、tcp链接数升速异常
  2、cpu使用率飙升
  3、http响应时间过长
  4、带宽利用率异常
  5、数据库压力升高

  我们随即登陆服务器查看,18时4分,网站开始出现服务异常,开始收到故障报警:

  1、tcp链接数超限
  2、cpu使用率100%
  3、http服务失去响应
  4、带宽利用率100%
  5、icmp无响应

  远程直接链接直接失去响应,我们只能绕道进入服务器继续查看服务器状况,初步确认虎嗅受到的攻击方式为 ack flood + icmp flood + udp flood +cc。这种组合式攻击复杂程度比较高,可以确信对方做了十足的准备。虎嗅随即对服务器做了相应调整,但攻击流量过大,已经超过我们的总带宽。

  实际上,虎嗅前段时间已经遭遇了很多莫名其妙的扫瞄和密码破解。看上去,伏击者准备已久了。

  18:05,根据阿里云的流量清洗规则,“云盾”被触发,阿里云对攻击虎嗅的流量进行清洗,我们接到各种恢复提示,看起来一切正常了,虎嗅的流量只剩下被攻击时的1-3%,攻击者的流量基本稳定在虎嗅带宽10倍多点的流量上。

  19:50,攻击者开始加压。攻击流量飙升到云盾清洗上限(云盾免费清洗上限),服务器瞬间倒地。

  在阿里云同学的帮助下,21点左右,虎嗅开始恢复正常。而同时,攻击者再次加压。

  虎嗅网跟阿里盾接受了第二次考验,最高流量一度达到虎嗅网总带宽接近40倍,但在阿里云的服务支持下,始终未对虎嗅网造成致命打击。

  随后攻击者改变了攻击方式,嗅哥再次倒地。这时,远在杭州的阿里云团队协助虎嗅网使用了阿里的负载均衡(slb)。虎嗅网再次站了起来。攻击失效后,流量渐渐退去。

  第二天白天,虎嗅再次遭受各种形势的攻击,但每次一遭受短暂的影响,我们的云服务商阿里云就及时提供协助,外部攻击始终没有对虎嗅造成太大的影响。

  到3月1日攻击还在持续,但已经对虎嗅造不成什么威胁。这次虎嗅服务器反击战基本就收在了2013年2月。

  借着这次虎嗅保卫战,我们感受到的是,云时代的攻击与防护方式与传统服务器托管时代有着鲜明的对比。

  几年前网站遇到外部攻击,如果是小量,就提高自己的抗攻击能力,从性能和过滤方面着手;如果量级比较大,只能联系机房加大带宽、联系防火墙厂商提供更强大的过滤设备、增加物理服务器数量;攻击再猛烈一些,只能举白旗投降。

  传统服务器托管时代,因为办公场所与托管机房之间有物理距离,所以整个过程折腾下来,至少需要6小时。

  而在云时代,反击时间已经大大缩短:小攻击自动被过滤;云服务商们的弹性计算也可以提供无缝的性能提升来临时低于攻击,响应速度、资源匹配上都更快更灵活,这使得网络攻击在未来可能再形不成恶意力量。

  深度感谢靠谱的阿里云。感谢期间主动关心、给虎嗅伸出援手的安全宝、绿盟、湖盟、乌云、360以及诸多行内朋友,你们是嗅哥的安全感。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//