自研防火墙技术解析
2025-2-5
CDN已全线接入自研防火墙 ✅
⚠ 请注意!由于涉及专有技术和策略
具体的技术实现细节并不公开 🚫
1. 技术概述
-
针对应用层DDoS攻击的防御系统,主要防护HTTP/HTTPS协议的CC攻击
-
本系统基于请求特征分析、行为模式识别和机器学习构建多层防护体系
-
收集请求特征时间颗粒度为 1秒,累计收集时间高达一年
-
收集请求特征高达亿亿次!
-
针对恶意流量的清洗拦截率达 99%
(测试时的平均清洗拦截率为 99.74%)
2. 核心技术架构
流量入站 --> 自研防火墙(一级防御) --> Nginx WAF(二级防御) --> 流量出站
正常用户 --> 边缘节点 --> 源站
|
|
+----------------------v-------------------------------------------------------+
| 流量入站 --✅--> 自研防火墙 --✅--> Nginx WAF --✅--> Nginx --✅--> 流量出站 |
+------------------------------------------------------------------------------+
恶意流量 --> 边缘节点 --> 清率99%,拒绝恶意流量回源
|
| (拦截率大约90%)
+----------------------v-------------------------+-----------------------------+
| 流量入站 --❌--> 自研防火墙 --❌--> Nginx WAF --❌--> Nginx --❌--> 流量出站 |
+------------v-----------------v---------------------------------v-------------+
| (拦截率大约90%) (清率99%)
v
(一二级检测到将IP同步至ipset拦截PREROUTING)
流量监控模块 --> 请求分析模块 --> 规则引擎模块 --> 防御策略模块
注:Nginx WAF 非CDN系统自带的WAF,是 SpeedOnline 团队自研的 WAF
-
对于正常的用户访问,流量将通过边缘节点直接到达源站;而对于检测到的恶意流量,则会在边缘节点处即被清洗,避免其回源
-
在遇到攻击时,系统能够立即缓存源站的数据,以减少对源站的请求次数并降低其负载。同时,通过同步一二级防御中检测到的恶意IP地址同步到ipset,进一步在PREROUTING阶段拦截这些IP,从而加强了防御效果
3. 技术实现
-
0 影响访问以及回源速度
-
检测到攻击立即缓存全站数据(不影响任何业务正常运行),减少回源次数降低源站负载
-
攻击结束后,系统将清理缓存的数据,并恢复默认的用户配置缓存状态
-
对于恶意流量,系统不仅拒绝其访问请求,还会阻止其尝试回源
-
此方案能够高效地清洗高达99%的攻击流量,并可将源站负载降低最多达90%
-
保证误拦截率低于0.01%
4. 后记
-
不要以为加了我们的CDN就是无敌的存在了
-
虽然我们的清洗拦截率高达 99%,但如果攻击量很大,也会对源站造成一定影响
-
即使恶意请求被我们清洗以后大概还会有 1%的请求会被发送到源站
-
我们查看了我们的清洗日志,被攻击以后成功回源记录最高为 50W,平均 2W
-
如果你是1-1/2-2的机子,你itdog测速都能给你测爆,你有什么资本来抗CC?真心建议你加钱稍微换配置高一点的机子,或者我们也提供代托管 网站/程序/游戏 服务(详细请看控制台)
-
没有任何防御是能做到百分百全拦截的!
-
我们会尽全力保护接入我们CDN的所有用户,防止被恶意攻击