原標(biāo)題：軍備競(jìng)賽：DDoS攻擊防護(hù)體系構(gòu)建

前言

DDoS攻擊（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）的歷史可以追溯到1996年（還記得經(jīng)典的Ping of Death嗎）,，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展了二十多年,，DDoS的攻擊手法也在不斷演進(jìn)，目前它仍然是最活躍的黑客攻擊方式之一：每天互聯(lián)網(wǎng)都會(huì)發(fā)生不計(jì)其數(shù)的DDoS攻擊 —— 這種攻擊方式簡單粗暴直接有效,，深受攻擊者們的青睞,。

隨著時(shí)代的發(fā)展，黑客技術(shù)已經(jīng)滋生黑色產(chǎn)業(yè)鏈,，從最初的技術(shù)炫耀到惡意報(bào)復(fù),、敲詐勒索乃至商業(yè)競(jìng)爭(zhēng) —— DDoS攻擊也不例外，互聯(lián)網(wǎng)公司特別是知名的或者特定行業(yè)的互聯(lián)網(wǎng)公司最容易遭受DDoS攻擊威脅,。騰訊自然也深受其害,，在DDoS攻擊防護(hù)體系構(gòu)建的過程中積累了一些經(jīng)驗(yàn)和血淚教訓(xùn),，特整理成文供同行參考。

緊急應(yīng)戰(zhàn)：采購商業(yè)化防護(hù)設(shè)備

網(wǎng)絡(luò)游戲是最容易遭到DDoS攻擊的業(yè)務(wù)模式之一,。在2008年左右,，當(dāng)時(shí)騰訊的幾個(gè)主流游戲（QQ堂、QQ炫舞,、QQ音速等）開始頻繁遭遇DDoS攻擊,，其他業(yè)務(wù)有時(shí)候也莫名其妙的被攻擊（印象最深刻的就是有一次某個(gè)網(wǎng)站被攻擊，團(tuán)隊(duì)忙活了大半天終于頂住了,，調(diào)查的時(shí)候發(fā)現(xiàn)是一個(gè)私服網(wǎng)站被DDoS后干脆破罐子破摔把域名解析過來,，簡直是無妄之災(zāi)）。

為了解決日益頻繁的DDoS攻擊問題,，安全團(tuán)隊(duì)需要一套DDoS攻擊防護(hù)方案,，于是宙斯盾項(xiàng)目（項(xiàng)目內(nèi)部代號(hào)，意為像美國宙斯盾系統(tǒng)那樣強(qiáng)力保衛(wèi)騰訊）就誕生了,。

宙斯盾項(xiàng)目的技術(shù)方案就是從網(wǎng)絡(luò)入口鏡像流量到分析系統(tǒng),，分析系統(tǒng)分析流量，如果發(fā)現(xiàn)異常就通過BGP將被攻擊IP的流量牽引到防護(hù)系統(tǒng)進(jìn)行清洗,，完成后回注回去,。整個(gè)方案要在網(wǎng)絡(luò)入口檢測(cè)機(jī)房入流量，如檢測(cè)到異常數(shù)據(jù)包就丟棄,。攻擊流量檢測(cè)相對(duì)簡單，流量突增（這個(gè)策略有個(gè)坑,，要考慮到業(yè)務(wù)搞活動(dòng)等流量突增情況,，不然會(huì)誤殺）或某類報(bào)文如syn比例過大或格式不對(duì)即視為異常。只需要將流量鏡像過來分析數(shù)據(jù)包即可,，這個(gè)相對(duì)容易可以自己寫代碼搞定,，但防護(hù)系統(tǒng)相對(duì)復(fù)雜，通過采購現(xiàn)成的商業(yè)設(shè)備來實(shí)現(xiàn),。

整體架構(gòu)示意圖如下：

防護(hù)系統(tǒng)采購的是綠盟的黑洞和華三的AFC,，防護(hù)效果都還不錯(cuò)。還記得當(dāng)時(shí)攻擊最激烈的時(shí)候,，團(tuán)隊(duì)協(xié)調(diào)多個(gè)部門緊急采購緊急上架,，著實(shí)忙碌了一番。

那個(gè)時(shí)候機(jī)房帶寬都不大（不超過20G）,，不過攻擊流量也不大,，一般幾百M(fèi)到幾個(gè)G（基本沒見過超過10G的），攻擊類型也單一,，主要是SYN Flood和UDP Flood,。

方案定好后，接下來就是實(shí)施，主要涉及運(yùn)維團(tuán)隊(duì)的工作了,。團(tuán)隊(duì)先從經(jīng)常被攻擊的機(jī)房開始部署,，很快有游戲業(yè)務(wù)的幾個(gè)機(jī)房都已經(jīng)全部覆蓋。下圖就是2010年幾個(gè)主流游戲的DDoS攻擊防護(hù)統(tǒng)計(jì)數(shù)據(jù),。

下圖是2009年某個(gè)游戲業(yè)務(wù)被DDoS攻擊的流量圖,，可以看到當(dāng)年肆虐互聯(lián)網(wǎng)的大流量攻擊才800M而已，而宙斯盾的響應(yīng)時(shí)間非常慢（完全人工操作,，效率非常低下）,，各種環(huán)節(jié)耗費(fèi)了數(shù)小時(shí)。

后來通過不斷的運(yùn)營迭代優(yōu)化,，宙斯盾系統(tǒng)的配套運(yùn)營工具也趨于完善,，自動(dòng)化需求排上日程并實(shí)現(xiàn)，終結(jié)了人工應(yīng)急的原始局面,。

順帶提一下,，經(jīng)過團(tuán)隊(duì)的分析，我們發(fā)現(xiàn)黑客針對(duì)某款游戲DDoS的最終目的居然是“炸房”后搶占第一個(gè)位置售賣廣告位,。后來通過業(yè)務(wù)模式修改,，大大降低了掛廣告的效果，攻擊自然就減少了,，也算是從產(chǎn)品設(shè)計(jì)層面降低安全風(fēng)險(xiǎn)的一個(gè)案例,。

精益求精：自研防護(hù)設(shè)備

DDoS攻擊威脅形勢(shì)越來越嚴(yán)峻。

通過對(duì)某年的DDoS攻擊防護(hù)數(shù)據(jù)進(jìn)行分析可以看到,，業(yè)務(wù)遭受到的超過4G的攻擊就有200多次,，而當(dāng)時(shí)大部分機(jī)房的防護(hù)能力為4G（一個(gè)重點(diǎn)機(jī)房部署一臺(tái)商業(yè)設(shè)備），也就是說有200多次攻擊超過了機(jī)房防護(hù)能力而讓整個(gè)機(jī)房帶寬擁塞進(jìn)而影響到該機(jī)房所有業(yè)務(wù),。

為了應(yīng)對(duì)這個(gè)問題,，就需要各機(jī)房補(bǔ)齊資源，簡單的辦法就是堆砌設(shè)備：將5臺(tái)商業(yè)設(shè)備堆砌起來使得防護(hù)能力提升到20G —— 這就意味著要大量補(bǔ)充設(shè)備,。一臺(tái)防護(hù)設(shè)備可以說是價(jià)格昂貴,，這里的成本壓力非常大；商業(yè)設(shè)備對(duì)于一些業(yè)務(wù)特定場(chǎng)景的定制化需求響應(yīng)緩慢甚至無法滿足,；再就是設(shè)備增加之后,，需要統(tǒng)計(jì)運(yùn)營數(shù)據(jù)和統(tǒng)一調(diào)度，但當(dāng)時(shí)的商業(yè)設(shè)備只能寫腳本來一臺(tái)一臺(tái)登錄處理,，非常復(fù)雜和低效,。

成本壓力、定制化需求和運(yùn)營需求最終讓宙斯盾選擇了自研,。

自研一套DDoS攻擊防護(hù)系統(tǒng)是個(gè)巨大的工程,，由于是在網(wǎng)絡(luò)核心出入位置,，對(duì)性能會(huì)有較高的要求，其中涉及到網(wǎng)絡(luò)架構(gòu),、硬件架構(gòu),、軟件架構(gòu)、安全攻防策略,、TCP/IP協(xié)議等技術(shù)領(lǐng)域和難點(diǎn),，需要一支對(duì)網(wǎng)絡(luò)、硬件,、研發(fā),、安全都非常熟悉的團(tuán)隊(duì)，好在公司愿意在安全領(lǐng)域不惜血本并且有各個(gè)領(lǐng)域的高手：coolc（sponsor,，現(xiàn)在已經(jīng)是部門負(fù)責(zé)人）,、chair（“宙斯盾之父”、第一代負(fù)責(zé)人,、系統(tǒng)網(wǎng)絡(luò)方面的專家）,、熾天使（第二代負(fù)責(zé)人，安全專家,，現(xiàn)任UCloud安全中心負(fù)責(zé)人）,、apple（研發(fā)高手）、plan9（老一輩的人應(yīng)該看過他的文章《高級(jí)shellcode設(shè)計(jì)技巧》）,、老牛（主力研發(fā),，現(xiàn)在是數(shù)據(jù)保護(hù)項(xiàng)目負(fù)責(zé)人）、球頭人牛長（主力研發(fā),，現(xiàn)在已接班成為新一代宙負(fù)責(zé)人）,、xenos（系統(tǒng)網(wǎng)絡(luò)方面的專家）、BigHy（主力運(yùn)營,，現(xiàn)在負(fù)責(zé)大疆的安全）、julang3,、honker,、瓜哥（不是阿里那個(gè)papaya瓜哥）、creative（第三代負(fù)責(zé)人）,、XX,、panday、二帥…… —— 當(dāng)年宙斯盾的同事們,，在項(xiàng)目中得以成長,，今天仍然在更為廣闊的戰(zhàn)場(chǎng)繼續(xù)默默地為互聯(lián)網(wǎng)安全做著貢獻(xiàn)。

半年后,，宙斯盾防護(hù)設(shè)備已經(jīng)初具雛形,，單臺(tái)設(shè)備最大防護(hù)能力10G,，能成功防護(hù)SYN Flood、ACK Flood,、UDP Flood,、ICMP Flood等常見攻擊手法，成本僅為商業(yè)設(shè)備的十分之一,，并且在實(shí)戰(zhàn)使用中取得勝利,。

于是在2011年初開始灰度部署，新建機(jī)房的DDoS防護(hù)設(shè)備中商業(yè)設(shè)備和宙斯盾各占一半,，存量機(jī)房擴(kuò)容全部使用宙斯盾,。到了2014年，宙斯盾基本上全部覆蓋了所有機(jī)房,，接下來所有新建機(jī)房都是自研設(shè)備,，這里累計(jì)節(jié)省的成本初步估計(jì)就上億元。

隨著實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)的增加,，宙斯盾系統(tǒng)和團(tuán)隊(duì)基本上能夠控制住公司層面的DDoS攻擊威脅,。這部分工作也可以參考團(tuán)隊(duì)主力同學(xué)們當(dāng)時(shí)寫的系列文章：《宙斯盾系統(tǒng)構(gòu)建之路——系統(tǒng)介紹》、《宙斯盾——DDoS大眼檢測(cè)系統(tǒng)簡介》,、《論持久戰(zhàn)——帶你走進(jìn)騰訊DDoS防護(hù)體系》,。

同時(shí)宙斯盾團(tuán)隊(duì)也鍛煉成為一支身經(jīng)百戰(zhàn)的常勝之師，不僅為公司業(yè)務(wù)保駕護(hù)航,，還會(huì)對(duì)合作伙伴施以援手,。當(dāng)年滴滴剛剛接入微信支付的時(shí)候，大量用戶涌入流量突增,，一度懷疑遭到DDoS攻擊,，團(tuán)隊(duì)立即連夜支持，迅速查明原因解決了問題,。

由于在網(wǎng)絡(luò)層有了設(shè)備,，等于是可以對(duì)流量進(jìn)行分析和處置，除DDoS防護(hù)外還可以擴(kuò)展一些其他能力,，比如宙斯盾在緊急情況下還對(duì)SSL HeartBleed 0day漏洞進(jìn)行過臨時(shí)防護(hù)（彌補(bǔ)應(yīng)用層防火墻的能力不足）,，對(duì)Web業(yè)務(wù)進(jìn)行防刷，對(duì)網(wǎng)絡(luò)劫持情況進(jìn)行分析以及網(wǎng)絡(luò)層檢測(cè)木馬……這些都取得了不錯(cuò)的效果,，也是流量應(yīng)用和網(wǎng)絡(luò)防護(hù)設(shè)備的一個(gè)發(fā)展方向,，有機(jī)會(huì)另外探討。

外傳：C/L游戲保衛(wèi)戰(zhàn)

游戲行業(yè)歷來是DDoS攻擊的重災(zāi)區(qū),。C/L游戲一上線就非?；鸨菢浯笳酗L(fēng),，DDoS攻擊也隨之而來,。宙斯盾團(tuán)隊(duì)在這里與攻擊者對(duì)抗了數(shù)年之久,，期間系統(tǒng)大重構(gòu)一次，防護(hù)策略至少更新幾十輪,，產(chǎn)生技術(shù)專利十幾個(gè),，孵化出產(chǎn)品方案若干，保衛(wèi)戰(zhàn)的慘烈程度可見一斑,。

現(xiàn)試描述一二,。

資源消耗之SYN Flood

最開始的時(shí)候攻擊者只是簡單的采用典型的SYN Flood攻擊，這種攻擊主要是產(chǎn)生虛假的TCP連接消耗目標(biāo)服務(wù)器CPU,，防護(hù)辦法就是以性能強(qiáng)大的防護(hù)設(shè)備代替服務(wù)器去進(jìn)行TCP連接,，把虛假連接硬扛住，本質(zhì)上是攻防雙方性能的比拼,。

SYN Flood的防護(hù)方案已經(jīng)比較成熟了,，不管是用syn cookie算法還是丟棄重傳還是其他什么策略，開啟性能強(qiáng)大的防護(hù)設(shè)備就可以輕松搞定,。另外,，隨著各大運(yùn)營商對(duì)偽造源IP地址的數(shù)據(jù)包的治理，很多偽造源IP的包都被路由器丟棄了,，威力大打折扣,。

資源消耗型的SYN Flood攻擊被防住后，攻擊者又在基礎(chǔ)上衍生出一種流量型SYN Flood,，就是直接發(fā)syn大包,，以大流量阻塞網(wǎng)絡(luò)為目的，防護(hù)方案也簡單,，丟掉這種無效syn包即可,。后來又出現(xiàn)混合型的SYN Flood，既有資源消耗型SYN Flood又有流量型syn大包,。

僵尸傀儡之流量攻擊

大流量UDP Flood也是常見的攻擊方式,，通過大流量阻塞機(jī)房帶寬，不過也是比較容易防護(hù)的：丟棄掉這些非業(yè)務(wù)端口或者特定格式的UDP包即可,。同樣隨著運(yùn)營商的治理,，偽造源IP的UDP包威力也大減，所以導(dǎo)致攻擊者必須依靠龐大的僵尸網(wǎng)絡(luò)實(shí)施真實(shí)IP的攻擊,。

隨著物聯(lián)網(wǎng)時(shí)代到來，越來越多IoT設(shè)備也連接到了互聯(lián)網(wǎng),，但是這種傳統(tǒng)的線下廠商顯然沒有應(yīng)對(duì)互聯(lián)網(wǎng)安全威脅的經(jīng)驗(yàn),，這些設(shè)備存在各種安全問題，被黑客控制后成為DDoS肉雞,。有了IoT僵尸（如著名的Mirai及其變種）加持,，DDoS攻擊的流量不斷刷新紀(jì)錄,，動(dòng)輒500+G，上T也不鮮見,。

宙斯盾團(tuán)隊(duì)對(duì)攻擊源IP進(jìn)行分析發(fā)現(xiàn),，近幾年的攻擊源來自IoT/智能設(shè)備（如智能路由器、攝像頭,、智能插座,、智能門鎖）的數(shù)量呈上升趨勢(shì)，也是從一個(gè)側(cè)面反映出萬物互聯(lián)時(shí)代的到來,。我們把這部分被黑客利用的IP作為黑名單庫,，防護(hù)的時(shí)候直接丟棄，甚至還用到其他安全系統(tǒng)去（看,，這是威脅情報(bào)應(yīng)用）,。

另外，流量大了之后就帶來一個(gè)問題,，流量已經(jīng)超過機(jī)房物理帶寬,，換句話說就是機(jī)房已經(jīng)被打爆了（這是完全超過，還不算那種達(dá)到帶寬百分之七八十就抖動(dòng)的狗血情況）,。這種攻擊的應(yīng)對(duì)就非常消耗資源：要么繼續(xù)投資源建設(shè)超大帶寬的機(jī)房（帶寬很貴的）,，然后防護(hù)資源滿配，要么就讓運(yùn)營商在上一層做清洗（比如電信的云堤,。我們也有和一些運(yùn)營商合建DDoS高防服務(wù)）,。

“天下熙熙，皆為利來,；天下攘攘,，皆為利往”，我們的數(shù)據(jù)還監(jiān)測(cè)到一個(gè)有意思的現(xiàn)象：隨著一個(gè)階段的實(shí)施DDoS攻擊成本的增加,、刑事風(fēng)險(xiǎn)的增加以及獲利減少,，好多肉雞不再進(jìn)行DDoS而是用于挖礦了。

以小博大之反射型DDoS攻擊

自從DNS反射型DDoS攻擊被實(shí)戰(zhàn)應(yīng)用之后,，這種攻擊就一直在進(jìn)化,，各種協(xié)議（DNS、SNMP,、LDAP,、SSDP、NTP,、Memcached,、IPMI）都陸續(xù)被挖掘出來并實(shí)際攻擊，放大系數(shù)也越來越大,，整合起來的流量也越來越大,，從12年的65G到后來的650G,。

反射型攻擊防護(hù)起來比較容易，因?yàn)榇蟛糠直还舻臉I(yè)務(wù)是不會(huì)需要這些協(xié)議的（呃,，DNS Server是個(gè)特例）,，按協(xié)議特征或者來源/目的端口過濾掉就行了 —— 還是那個(gè)問題，如果攻擊流量超過帶寬就會(huì)比較麻煩,。

我們看到的某一時(shí)期的反射型DDoS攻擊分類比例：

我們看到的某一時(shí)期SNMP反射型DDoS攻擊源全球分布：

終極對(duì)戰(zhàn)之協(xié)議模擬攻擊

深入業(yè)務(wù)邏輯的對(duì)抗來了,，是時(shí)候展示真正的技術(shù)了。

攻擊者繼續(xù)變招,，采取了小流量UDP Flood攻擊業(yè)務(wù)端口,，當(dāng)流量在一定區(qū)間的時(shí)候可以阻塞業(yè)務(wù)端口，該端口對(duì)應(yīng)的游戲房間會(huì)崩潰,，但是又不至于對(duì)游戲整體有影響 —— 與之前的入流量陡增及掉線數(shù)突增不同,，這種攻擊讓數(shù)據(jù)在大的面上不會(huì)有波動(dòng)，需要通過精細(xì)化運(yùn)營來發(fā)現(xiàn),。

團(tuán)隊(duì)發(fā)現(xiàn)上述情況后對(duì)策略進(jìn)行了升級(jí),，針對(duì)業(yè)務(wù)端口僅允許符合該游戲協(xié)議格式的UDP包通過，攻擊又被緩解了,。

攻擊者繼續(xù)變招,，這次他們直接模擬正常的游戲協(xié)議格式然后向業(yè)務(wù)端口發(fā)包 —— 這就是四層的CC攻擊。

這次怎么緩解呢,？一個(gè)方案是檢測(cè)IP的狀態(tài)（即該IP之前應(yīng)該登陸過所以要跟游戲Server打通維護(hù)一個(gè)IP狀態(tài)表,，不在表中的的IP發(fā)來的數(shù)據(jù)包不管格式如何直接丟棄）；另一個(gè)方案就是“安全水印”（即游戲客戶端動(dòng)態(tài)生成token,，防護(hù)設(shè)備校驗(yàn)數(shù)據(jù)包里的token是否合法）,。

從原理上看這種方案跟下發(fā)JavaScript防護(hù)CC攻擊的方案類似，只是針對(duì)B/S架構(gòu)的CC攻擊可以下發(fā)JavaScript讓瀏覽器實(shí)時(shí)執(zhí)行去生成“水印”,，而C/S架構(gòu)就只能預(yù)埋邏輯到客戶端了,。

無論哪種方案都需要防護(hù)設(shè)備能夠快速響應(yīng)需求，迅速迭代版本,，自研的優(yōu)勢(shì)就體現(xiàn)出來了,。同時(shí)我們也把在業(yè)務(wù)穩(wěn)定運(yùn)營的“安全水印”輸出為產(chǎn)品，為騰訊云上客戶提供服務(wù),。

重裝升級(jí)：云中鏖戰(zhàn)

安全團(tuán)隊(duì)的價(jià)值是降低業(yè)務(wù)風(fēng)險(xiǎn),，進(jìn)一步價(jià)值是提升業(yè)務(wù)的核心競(jìng)爭(zhēng)力，終極價(jià)值是成為盈利單元,。把內(nèi)部業(yè)務(wù)服務(wù)好了,，下一步就是能力輸出。

隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)企業(yè)也要擁抱互聯(lián)網(wǎng)開展線上業(yè)務(wù)（互聯(lián)網(wǎng)+傳統(tǒng)行業(yè) = 產(chǎn)業(yè)互聯(lián)網(wǎng)）,，使用云計(jì)算是一個(gè)方便低成本的解決方案，同時(shí)也為安全服務(wù)提供了一個(gè)入口,。

云上的DDoS情況跟自研差異較大,，長尾客戶多、技術(shù)架構(gòu)復(fù)雜,、特殊情況頻發(fā) —— 老革命遇到了新問題,，于是宙斯盾從技術(shù)架構(gòu)、系統(tǒng)運(yùn)營,、數(shù)據(jù)分析,、產(chǎn)品設(shè)計(jì)等方面全面重構(gòu)以適應(yīng)云時(shí)代的需要?；苏荒?，宙斯盾系統(tǒng)終于重裝升級(jí)，不僅是架構(gòu),、運(yùn)營,、數(shù)據(jù)、產(chǎn)品層面得到提升,，而且還嘗試引入機(jī)器學(xué)習(xí)基線模型去智能地判斷攻擊,，新架構(gòu)基本控制住了這里的問題，同時(shí)也實(shí)現(xiàn)了安全的終極價(jià)值 —— 以宙斯盾為底層支撐的騰訊云大禹和宙斯盾DDoS防護(hù)服務(wù)牛刀小試,，收入可觀,。

云上客戶與公司業(yè)務(wù)同事不同，云上客戶人數(shù)多而且容忍度低,，所以不能把粗獷的內(nèi)部系統(tǒng)給客戶,，而是要注重產(chǎn)品體驗(yàn)。另一個(gè)需要注意的就是云上業(yè)務(wù)復(fù)雜,，很多時(shí)候過往經(jīng)驗(yàn)并不適用,。我們見過一些客戶的系統(tǒng)健壯性不足，很小流量的攻擊系統(tǒng)就崩潰了,，根本來不及觸發(fā)防護(hù)閾值,。針對(duì)這種情況，我們就把一些通用配置下放到客戶側(cè),，客戶按實(shí)際情況來配置,。此外，一些復(fù)雜配置也可以以專家模式提供給用戶,。

云上業(yè)務(wù)的復(fù)雜性導(dǎo)致云上的DDoS攻防比自營業(yè)務(wù)還激烈,，尤其是近幾年隨著云業(yè)務(wù)的發(fā)展，DDoS攻擊數(shù)量、攻擊手法,、最大峰值,、業(yè)務(wù)數(shù)都超過了自營業(yè)務(wù)（比如某個(gè)云客戶遭遇到的1.2T攻擊），這些挑戰(zhàn)是好事,，通過對(duì)這些攻擊的不斷運(yùn)營優(yōu)化反過來又促進(jìn)了宙斯盾系統(tǒng)的迭代優(yōu)化,。

我們看看被DDoS攻擊的行業(yè)分布，很有代表性,。

未來還在繼續(xù),，云上宙斯盾還在不斷迭代優(yōu)化。

后記

DDoS攻擊和防護(hù)的本質(zhì)是攻防雙方資源的對(duì)抗,，一方要不斷囤積大量資源具備超大流量輸出,，一方要不斷建設(shè)能夠抗住超大流量的帶寬，對(duì)抗的成本和激烈程度甚至可以用軍備競(jìng)賽來形容（每年我們的服務(wù)器運(yùn)營成本就是數(shù)千萬）,。跟入侵一樣,，大部分普通攻擊比較容易防護(hù)，真正厲害的是頂尖高手（比如利用核心交換路由系統(tǒng)bug進(jìn)行DoS的幾十字節(jié)數(shù)據(jù)包,，再比如針對(duì)防護(hù)設(shè)備本身的DDoS……）,。

技術(shù)對(duì)抗是一方面，在技術(shù)之外的刑事打擊和震懾必不可少,。

就在寫作本文時(shí),，宙斯盾的100G高性能支持IPv6版本已經(jīng)在全面部署中，400G以及具備邊緣計(jì)算能力的智能網(wǎng)卡新設(shè)備預(yù)研已在路上,。時(shí)代變遷,，技術(shù)發(fā)展飛快，但是我們始終要記得,，安全是一個(gè)過程,，建設(shè)系統(tǒng)永遠(yuǎn)是第一步，通過運(yùn)營來不斷迭代優(yōu)化才是安全體系的核心,。

附錄

Lake2的企業(yè)安全九部曲（未完待續(xù)）：

自研之路：騰訊漏洞掃描系統(tǒng)的十年歷程

企業(yè)安全應(yīng)急響應(yīng)中心建設(shè)理論與實(shí)踐

捻亂止于河防——淺談企業(yè)入侵防御體系建設(shè)