此前，阿里云發布了SCDN安全加速解決方案，在CDN加速的基礎上，將專業的安全能力賦能 CDN，實現既有加速又有安全的服務。在本次杭州云棲-飛天技術匯CDN與邊緣計算專場中，阿里云高級技術專家趙偉從業務背景、架構設計和客戶案例幾個方面對SCDN的設計進行了闡述。

“由于我平時本身就在負責CDN的安全工作，所以接觸到很多來自客戶的安全訴求比較多?！壁w偉說到：“最常見的場景，就是客戶反饋攻擊請求比較大，已經打得源站扛不住了，這種都是以動態或者穿透緩存的請求來攻擊源站，由于客戶源站的能力相對有限，回源QPS一旦高起來，源站就很有可能易扛不住，進而導致整個服務受到影響。第二個場景就是部分 CDN 客戶具有很強的安全意識。所以購買CDN服務的同時會考慮購買其他安全服務產品，當客戶需要添加一個域名時，就需要逐個產品添加一遍。有的客戶域名可能是幾十個甚至上百個，多個產品都添加一遍，工作量會比較大，客戶也會吐槽，為什么不能在一個地方集中接入一次，這樣逐個產品添加太痛苦了。”

?

“還有的客戶會面臨當前攻擊手段的變換，通過肉雞直接訪問網站的一些大文件，短時間內域名的服務帶寬從幾百兆到上G甚至幾十G，這會產生大量的費用?；蛘呔W站內容被被人爬去，包括重要的數據，網站的風格等等，給網站的原創者帶來損失?！?/p>

面對著這些客戶的反饋和訴求，趙偉所在的團隊認為，首先要將安全功能下沉到邊緣，安全防護在第一道防線部署；其次，邊緣節點上的安全功能需要高效的集中在一起，可以讓客戶一站式的方便接入。最后，近幾年來CDN已經成為了互聯網流量的主要入口，所以攻擊也會相應達到CDN的邊緣服務上，所以在CDN上賦能安全是自然而然的事情。因為，阿里云推出了SCDN安全加速解決方案，將安全功能賦能給CDN，成為擁有專業安全防護能力的CDN服務。

?

?

安全加速SCDN的架構

從架構圖上可以看到，邊緣節點一定是同時具有 DDoS、CC攻擊清洗能力的節點，并且具備更多應用層防護能力的節點。此外，隨著近幾年 DDoS 攻擊的帶寬量越來越大，而且去年到今年的大流量DDoS攻擊已經突破 1T 的量級，這個攻擊量超過了普通CDN節點的防護能力，架構中的抗 D 中心就是為了解決超大流量攻擊而設計的。

?

還有一個環節不容忽視，就是DNS。一旦域名的 DNS 服務器被攻擊導致無法正常解析，那么對應域名的 CDN 正常服務也就無從談起。

SCDN 整個架構中，核心的功能包括流量統計模塊、攻擊檢測模塊，智能調度模塊，具體下圖中所示。

?

其中流量統計模塊會將四層流量、七層流量等及時的上傳給安全中心即安全大腦。 安全大腦對于邊緣節點的DDoS 攻擊，根據流量的嚴重程度做出決策。一旦 DDoS 攻擊的流量打滿整個邊緣節點，導致正常請求無法進入節點，安全大腦會通過智能調度機制，將攻擊流量遷移到SCDN 專用抗 D 中心?？笵中心具備 300G~1T 的攻擊清洗能力。對于 CC 攻擊以更多應用層攻擊行為，安全大腦會具體針對不同的攻擊行為，動態下發不同的防御策略給各個邊緣節點。因此，經過邊緣節點的層層防護以及抗D中心的大流量清洗，正常的請求就可以繼續得到服務，動態的請求會最終安全的到達源站。

?

針對DDoS防護與應用層防護

?

對于 DDoS 防護，是和邊緣節點集中部署在一起，而且串聯的部署在緩存之前。相比于傳統的旁路部署，SCDN 邊緣節點架構簡潔。同時，節點設計之初就考慮好了橫向擴容方案，后期SCDN節點會根據業務擴容需求，實現快速的橫向擴容，并且具備線性提升的 DDoS 和 CC 防護能力。因為 DDoS 實時檢測訪問流量，對于任何異常行為，可以實時進行清洗，達到秒級防護。

對于 CC 防護，通過 SCDN 實際服務客戶中不斷的進行攻防對抗，積累匯總了多種防護機制。人機識別是可以快速識別通過僵尸網絡機器人發起的攻擊，并將攻擊請求進行攔截。至于那些嘗試繞過人機識別機制的機器人，SCDN特有的陷阱算法為這類機器人量身定做了識別機制。Client 指紋驗證可適用兩種場景：一種是通過批量代理發起了攻擊的惡意行為；一種是 IPv4 地址緊張的情況下，很多高校和企業常用的 NAT 做法，這種請求大多數是正常的訪問。Client 指紋驗證根據識別出來的真實 Client 的行為，做出不同的防護處理。SCDN 會實時采集和分析域名的多個維度的流量，包括URL、IP 等，一旦檢測到異常的流量行為，實時下發動態防御機制，阻斷刷流量行為。最后，SCDN 還開放了自定義的 CC 防護規則，滿足特殊需要場景下的手動配置防護策略。

?

SCDN的優勢與應用場景

?

由于 SCDN 是構建于 CDN 之上，因此自然集成了CDN的分布式優勢，所以說SCDN具備分布式的防護優勢，加速和安全兩者兼得。DDoS 的防護實現了秒級清洗，并在大流量攻擊下實現分鐘級智能調度。七層防護的多種防護算法，可以有效果防護各種應用層的攻擊行為。

SCDN 可以適用大部分既需要加速有需要安全的場景，包括理財類、電商類、游戲類、房產類、醫療類等等。

?

SCDN服務模式

SCDN 當前提供兩種防護模式：
一種是基礎防護，側重于七層防護，提供有限四層 DDoS 防護。這種防護模式適用于 CC 攻擊頻發，但是 DDoS 攻擊較少的場景。
另外一種就是標準防護，兼顧七層和四層防護。對于大流量的四層DDoS防護，可以通過抗 D 中心進行清洗。標準防護可以選擇彈性防護帶寬。超過 300G 的防護帶寬可以進行定制。

?

SCDN客戶案例

為了讓觀眾更好的理解SCDN的服務模式和應用場景，趙偉老師為大家介紹了幾個典型的客戶服務案例。

第一個客戶案例，采用的是基礎防護。A 客戶在 6月29日被 DDoS 攻擊，攻擊波及電信聯通移動三大運營商共 9 個地區，單個地區峰值帶寬最大超過 37G，總攻擊帶寬峰值接近 250G。 SCDN 在一分鐘以內完成了所有節點攻擊的處理。同時鑒于攻擊規模和強度，建議客戶升級標準防護。

客戶采納我們的建議，并且及時升級到標準防護。7月2日，抗D中心成功攔截了該客戶的大流量 DDoS 攻擊，攻擊帶寬為 150G。當時看這個攻擊量還是不小的，不過結合最近 SCDN 客戶的 DDoS 攻擊規模來看，攻擊超過 300G 甚至 600G 以上的攻擊也在不斷發生。

第二個客戶案例是 CC 攻擊。B 客戶的域名在 8 月 13 日遭遇多次 CC 攻擊。SCDN 進行了自動化防護。圖中邊緣 L1 就是攻擊者攻擊的邊緣節點，QPS 超過 3w。經過 SCDN 的清洗，回源到 L2 節點最終到客戶源站的 QPS 基本上只有幾十，超過 99.9% 的請求都被自動化防御。

?

同樣是B 的客戶于 8 月 14 日反饋，源站帶寬有 5Mbps，希望有更嚴格的防御策略。相比于現在很多家庭帶寬都已經超過 100Mbps的，5Mbps 的帶寬是很容易跑滿的。一旦跑滿，源站的響應時間就變長，進而影響整個服務質量。我們立即分析并配置了更嚴格的策略。從圖中可以看出，12 點之后的邊緣 L1 攻擊 QPS 還是不時的超過 2w，但是回源到源站的請求，已經非常平穩，和攻擊之前的基本一致，防御效果也得到客戶的肯定。

第三個客戶案例是DNS 防護，這個案例是內測階段發生的。當時接入內測服務的 C 客戶是一個游戲客戶。趙偉說到：“游戲類域名是攻擊的重災區。當時客戶接入服務后，發現仍然不可服務。經過快速分析，定位到客戶用的 NS 已經不給解析結果了?？蛻羰褂玫氖堑谌矫婷赓M的 NS 服務，登陸控制臺后發現，是有大流量 DNS 攻擊，導致 NS服務商直接將客戶的游戲域名拉黑了。客戶向我們尋求解決方案，我們建議接入我們的 NS 防護。接入之后，發現 DNS 的攻擊持續在 1.2億QPS 的規模。不過在我們的防護之下，這個規模的攻擊已經不再影響服務，DNS 解析正常。客戶也反映游戲進行很順利。后面攻擊者見攻擊沒有效果，也停止了 DNS 攻擊?！?/p>

?

SCDN未來規劃

SCDN從2017年 9 月份發布內測，2017年12月份發布公測，到 2018年5月份正是商業化。阿里云CDN希望每一個階段將產品做得更加穩定高效。尤其是在今天DDoS 攻擊規模越來越大的情況下，只有更全面的打磨好安全防護的能力，才可以給更多客戶提供更穩定的服務。那么在未來，SCDN的規劃如何？

SCDN 下一步的規劃包括以下四個方面：
1） 海外SCDN。目前包括國內出?？蛻粢约昂Ｍ馐褂?CDN的客戶，都又很明確的安全訴求。這是 SCDN 下一步的規劃重點。
2） 按量付費。雖然已經有了基礎防護和標準防護兩個版本，但是為了滿足更多客戶的訴求，SCDN 計劃推出適用更多客戶的按量付費版本，將阿里云的技術提升轉化為給客戶的紅利。
3） 行業解決方案，將阿里云服務的多個行業的客戶的防御方式進行梳理和沉淀，匯總出對應行業的解決方案，讓后續接入的客戶快速應用起來。
4） IPv6 攻防，國家今年已經開展全面支持 IPv6計劃。接下來國內 IPv6 的服務一定會多起來，SCDN 也會及時開展 IPv6 攻防。

在分享的最后，趙偉老師表達了對 SCDN 終局的思考，他認為：從長遠看，基礎安全能力應該會成為 CDN 的缺省屬性?？蛻粢坏┙尤?CDN 服務，自然具備基礎的安全防護能力。同時，包括大流量抗 D 以及更多應用層防護高級功能會通過組件的方式提供，也就是高級安全功能組件化?？蛻艨梢赃x擇CDN，然后在根據自己的安全需求，添加一到多個高級安全組件，自行定制出適合對應業務的安全方案。

?

原文鏈接
本文為云棲社區原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的阿里云高级技术专家赵伟：安全加速 SCDN 设计与案例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。