导语:如果你是做运营商商务拓展的都知道,目前带宽是这个生意中最大的成本,500G单线静态资源得上千万的成本。

0x00、设计初衷

目前云高防(排除运营商做的云堤)市场主要有以下几种产品形态:

8.png

备注:目前以对抗的形式存在的高防产品形态,也就是防御带宽要大于攻击者的流量。

如果你是做运营商商务拓展的都知道,目前带宽是这个生意中最大的成本,500G单线静态资源得上千万的成本。所以对用户来说,这种对抗的方式成本都需要互联网业务公司承担,很有可能出现,你今天赚的钱还不够付高防的费用(400G<X<500G 一天的费用大约4~5万)。作为安全人员需要寻找一种新的对抗方式。

从用户角度出发,根据某公有云基础防护数据

88.png

目前高防用户需求主要集中在游戏和云上SaaS系统。

但是问题是,大部分在中国运营的SaaS系统或者刚开始试水游戏用户是没有能力购买。

888.png

绝大部分用户都是以App形式存在的。

所以总结一下用户需求:

(1)此类用户需要的高防不是硬抗大流量攻击,在大流量攻击的场景下,在损失部分用户的情况下,保证优质或者付费用户高质量的接入。

(2)绝大多数的游戏或者SaaS用户都是以App方式接入,可以集成SDK通过逃逸的方式接入高防节点,同时,可以监控用户网络质量以及掉线原因。

(3)物美价廉,听说*里的游戏盾接入一年的费用要200万。擦,这个哪有人付得起呢?也就是棋牌类用户才付得起。

(4)最重要的一点是,后端调度系统和黑洞系统可以使用自己控制的路由器合作核心交换做本地黑洞实现。

0x01、系统详细设计

8888.png

业务流程

1、用户购买游戏盾产品

a)  根据购买游戏盾IP数量计算消费额度

b)  游戏盾接入需要在业务方App上集成游戏盾SDK

2、云平台用户配置

a)  配置接入域名,游戏盾使用cname方式接入(需要DNS厂商支持)当然也可以使用HTTPDNS的方式,或者更直接,使用私有协议实现。

b)  配置4层7层转发部分(Neutron方式同步到lvs&tengine)

c)  配置业务组,业务组可以根据App的运营数据进行调节,例如:新来客户使用初级ip池(可以配置5个IP),一旦用户遭受攻击,会从客户端切换到没被黑洞的IP。

3、黑洞防御实现

a)   通过sflow或者全流量采样的方式获取对应IP采样的数据

b)   一旦统计发现攻击到阈值通过路由软件对核心交换机发本地空路由黑洞

c)   根据封禁算法判断其封禁时间段,到时间取消黑洞操作。

4、用户在控制台观察业务状态

a)  攻击告警

b)  客户端调度状态

0x02、山寨游戏盾SDK API

7.png

0x03、系统整体逻辑架构图

77.png

源链接

Hacking more

...