此前，阿里雲釋出了SCDN安全加速解決方案，在CDN加速的基礎上，將專業的安全能力賦能 CDN，實現既有加速又有安全的服務。在本次杭州雲棲-飛天技術匯CDN與邊緣計算專場中，阿里雲高階技術專家趙偉從業務背景、架構設計和客戶案例幾個方面對SCDN的設計進行了闡述。

“由於我平時本身就在負責CDN的安全工作，所以接觸到很多來自客戶的安全訴求比較多。”趙偉說到：“最常見的場景，就是客戶反饋攻擊請求比較大，已經打得源站扛不住了，這種都是以動態或者穿透快取的請求來攻擊源站，由於客戶源站的能力相對有限，回源QPS一旦高起來，源站就很有可能易扛不住，進而導致整個服務受到影響。第二個場景就是部分 CDN 客戶具有很強的安全意識。所以購買CDN服務的同時會考慮購買其他安全服務產品，當客戶需要新增一個域名時，就需要逐個產品新增一遍。有的客戶域名可能是幾十個甚至上百個，多個產品都新增一遍，工作量會比較大，客戶也會吐槽，為什麼不能在一個地方集中接入一次，這樣逐個產品新增太痛苦了。”

“還有的客戶會面臨當前攻擊手段的變換，通過肉雞直接訪問網站的一些大檔案，短時間內域名的服務頻寬從幾百兆到上G甚至幾十G，這會產生大量的費用。或者網站內容被被人爬去，包括重要的資料，網站的風格等等，給網站的原創者帶來損失。”

面對著這些客戶的反饋和訴求，趙偉所在的團隊認為，首先要將安全功能下沉到邊緣，安全防護在第一道防線部署；其次，邊緣節點上的安全功能需要高效的集中在一起，可以讓客戶一站式的方便接入。最後，近幾年來CDN已經成為了網際網路流量的主要入口，所以攻擊也會相應達到CDN的邊緣服務上，所以在CDN上賦能安全是自然而然的事情。因為，阿里雲推出了SCDN安全加速解決方案，將安全功能賦能給CDN，成為擁有專業安全防護能力的CDN服務。

安全加速SCDN的架構

從架構圖上可以看到，邊緣節點一定是同時具有 DDoS、CC攻擊清洗能力的節點，並且具備更多應用層防護能力的節點。此外，隨著近幾年 DDoS 攻擊的頻寬量越來越大，而且去年到今年的大流量DDoS攻擊已經突破 1T 的量級，這個攻擊量超過了普通CDN節點的防護能力，架構中的抗 D 中心就是為了解決超大流量攻擊而設計的。

還有一個環節不容忽視，就是DNS。一旦域名的 DNS 伺服器被攻擊導致無法正常解析，那麼對應域名的 CDN 正常服務也就無從談起。

SCDN 整個架構中，核心的功能包括流量統計模組、攻擊檢測模組，智慧排程模組，具體下圖中所示。

其中流量統計模組會將四層流量、七層流量等及時的上傳給安全中心即安全大腦。 安全大腦對於邊緣節點的DDoS 攻擊，根據流量的嚴重程度做出決策。一旦 DDoS 攻擊的流量打滿整個邊緣節點，導致正常請求無法進入節點，安全大腦會通過智慧排程機制，將攻擊流量遷移到SCDN 專用抗 D 中心。抗D中心具備 300G~1T 的攻擊清洗能力。對於 CC 攻擊以更多應用層攻擊行為，安全大腦會具體針對不同的攻擊行為，動態下發不同的防禦策略給各個邊緣節點。因此，經過邊緣節點的層層防護以及抗D中心的大流量清洗，正常的請求就可以繼續得到服務，動態的請求會最終安全的到達源站。

針對DDoS防護與應用層防護

對於 DDoS 防護，是和邊緣節點集中部署在一起，而且串聯的部署在快取之前。相比於傳統的旁路部署，SCDN 邊緣節點架構簡潔。同時，節點設計之初就考慮好了橫向擴容方案，後期SCDN節點會根據業務擴容需求，實現快速的橫向擴容，並且具備線性提升的 DDoS 和 CC 防護能力。因為 DDoS 實時檢測訪問流量，對於任何異常行為，可以實時進行清洗，達到秒級防護。

對於 CC 防護，通過 SCDN 實際服務客戶中不斷的進行攻防對抗，積累彙總了多種防護機制。人機識別是可以快速識別通過僵屍網路機器人發起的攻擊，並將攻擊請求進行攔截。至於那些嘗試繞過人機識別機制的機器人，SCDN特有的陷阱演算法為這類機器人量身定做了識別機制。Client 指紋驗證可適用兩種場景：一種是通過批量代理髮起了攻擊的惡意行為；一種是 IPv4 地址緊張的情況下，很多高校和企業常用的 NAT 做法，這種請求大多數是正常的訪問。Client 指紋驗證根據識別出來的真實 Client 的行為，做出不同的防護處理。SCDN 會實時採集和分析域名的多個維度的流量，包括URL、IP 等，一旦檢測到異常的流量行為，實時下發動態防禦機制，阻斷刷流量行為。最後，SCDN 還開放了自定義的 CC 防護規則，滿足特殊需要場景下的手動配置防護策略。

SCDN的優勢與應用場景

由於 SCDN 是構建於 CDN 之上，因此自然集成了CDN的分散式優勢，所以說SCDN具備分散式的防護優勢，加速和安全兩者兼得。DDoS 的防護實現了秒級清洗，並在大流量攻擊下實現分鐘級智慧排程。七層防護的多種防護演算法，可以有效果防護各種應用層的攻擊行為。

SCDN 可以適用大部分既需要加速有需要安全的場景，包括理財類、電商類、遊戲類、房產類、醫療類等等。

SCDN服務模式

SCDN 當前提供兩種防護模式： 一種是基礎防護，側重於七層防護，提供有限四層 DDoS 防護。這種防護模式適用於 CC 攻擊頻發，但是 DDoS 攻擊較少的場景。 另外一種就是標準防護，兼顧七層和四層防護。對於大流量的四層DDoS防護，可以通過抗 D 中心進行清洗。標準防護可以選擇彈性防護頻寬。超過 300G 的防護頻寬可以進行定製。

SCDN客戶案例

為了讓觀眾更好的理解SCDN的服務模式和應用場景，趙偉老師為大家介紹了幾個典型的客戶服務案例。

第一個客戶案例，採用的是基礎防護。A 客戶在 6月29日被 DDoS 攻擊，攻擊波及電信聯通移動三大運營商共 9 個地區，單個地區峰值頻寬最大超過 37G，總攻擊頻寬峰值接近 250G。 SCDN 在一分鐘以內完成了所有節點攻擊的處理。同時鑑於攻擊規模和強度，建議客戶升級標準防護。

客戶採納我們的建議，並且及時升級到標準防護。7月2日，抗D中心成功攔截了該客戶的大流量 DDoS 攻擊，攻擊頻寬為 150G。當時看這個攻擊量還是不小的，不過結合最近 SCDN 客戶的 DDoS 攻擊規模來看，攻擊超過 300G 甚至 600G 以上的攻擊也在不斷髮生。

第二個客戶案例是 CC 攻擊。B 客戶的域名在 8 月 13 日遭遇多次 CC 攻擊。SCDN 進行了自動化防護。圖中邊緣 L1 就是攻擊者攻擊的邊緣節點，QPS 超過 3w。經過 SCDN 的清洗，回源到 L2 節點最終到客戶源站的 QPS 基本上只有幾十，超過 99.9% 的請求都被自動化防禦。

同樣是B 的客戶於 8 月 14 日反饋，源站頻寬有 5Mbps，希望有更嚴格的防禦策略。相比於現在很多家庭頻寬都已經超過 100Mbps的，5Mbps 的頻寬是很容易跑滿的。一旦跑滿，源站的響應時間就變長，進而影響整個服務質量。我們立即分析並配置了更嚴格的策略。從圖中可以看出，12 點之後的邊緣 L1 攻擊 QPS 還是不時的超過 2w，但是回源到源站的請求，已經非常平穩，和攻擊之前的基本一致，防禦效果也得到客戶的肯定。

第三個客戶案例是DNS 防護，這個案例是內測階段發生的。當時接入內測服務的 C 客戶是一個遊戲客戶。趙偉說到：“遊戲類域名是攻擊的重災區。當時客戶接入服務後，發現仍然不可服務。經過快速分析，定位到客戶用的 NS 已經不給解析結果了。客戶使用的是第三方面免費的 NS 服務，登陸控制檯後發現，是有大流量 DNS 攻擊，導致 NS服務商直接將客戶的遊戲域名拉黑了。客戶向我們尋求解決方案，我們建議接入我們的 NS 防護。接入之後，發現 DNS 的攻擊持續在 1.2億QPS 的規模。不過在我們的防護之下，這個規模的攻擊已經不再影響服務，DNS 解析正常。客戶也反映遊戲進行很順利。後面攻擊者見攻擊沒有效果，也停止了 DNS 攻擊。”

SCDN未來規劃

SCDN從2017年 9 月份釋出內測，2017年12月份釋出公測，到 2018年5月份正是商業化。阿里雲CDN希望每一個階段將產品做得更加穩定高效。尤其是在今天DDoS 攻擊規模越來越大的情況下，只有更全面的打磨好安全防護的能力，才可以給更多客戶提供更穩定的服務。那麼在未來，SCDN的規劃如何？

SCDN 下一步的規劃包括以下四個方面： 1） 海外SCDN。目前包括國內出海客戶以及海外使用 CDN的客戶，都又很明確的安全訴求。這是 SCDN 下一步的規劃重點。 2） 按量付費。雖然已經有了基礎防護和標準防護兩個版本，但是為了滿足更多客戶的訴求，SCDN 計劃推出適用更多客戶的按量付費版本，將阿里雲的技術提升轉化為給客戶的紅利。 3） 行業解決方案，將阿里雲服務的多個行業的客戶的防禦方式進行梳理和沉澱，彙總出對應行業的解決方案，讓後續接入的客戶快速應用起來。 4） IPv6 攻防，國家今年已經開展全面支援 IPv6計劃。接下來國內 IPv6 的服務一定會多起來，SCDN 也會及時開展 IPv6 攻防。

在分享的最後，趙偉老師表達了對 SCDN 終局的思考，他認為：從長遠看，基礎安全能力應該會成為 CDN 的預設屬性。客戶一旦接入 CDN 服務，自然具備基礎的安全防護能力。同時，包括大流量抗 D 以及更多應用層防護高階功能會通過元件的方式提供，也就是高階安全功能元件化。客戶可以選擇CDN，然後在根據自己的安全需求，新增一到多個高階安全元件，自行定製出適合對應業務的安全方案。

原文連結 本文為雲棲社群原創內容，未經允許不得轉載。