这是7月22日的一个炎热的星期一，世界现场音乐之都德克萨斯州奥斯汀的气温飙升至37摄氏度（99华氏度）。就在几个小时前，最后的人群从历史悠久的东六街娱乐区散去。几个街区外，云端人开始向办公室走去。在不知不觉中，他们很快就会意识到，在一个新的节日里，他们会很荣幸地参与到这些服务中狂野。东方德克萨斯州奥斯汀市第六街（这张照片是我在参观Cloudflare奥斯汀办公室时与团队一起外出的照片）Dogfooding是一个组织使用其自有产品。在本例中，我们使用了最新的云服务Magic Transit，它不仅保护并加速了客户的整个网络基础设施，而不仅仅是他们的web属性或TCP/UDP应用程序。借助Magic Transit，Cloudflare通过BGP宣布您的IP前缀，将您的流量吸引（路由）到我们的全球网络边缘，阻止坏数据包，并通过Anycast向您的数据中心提供良好的数据包格雷斯，我们决定使用Austin的网络是因为我们想在一个真实的网络上测试新的服务，这个网络有来自真实人物和应用程序的真实流量。目标确定后，我们开始在一个始终在线的路由拓扑中登录奥斯汀办公室。在始终在线的路由模式下，Cloudflare数据中心不断地宣传Austin的前缀，从而实现更快、几乎立即的缓解。与传统的网络有限的按需清洗中心解决方案不同，Cloudflare在发达国家99%的互联网连接人口的100毫秒内运行。对于我们的客户来说，这意味着始终在线的DDoS缓解不会因为次优路由而牺牲性能。相反，由于我们的网络，Magic Transit实际上可以提高您的性能到达。云闪我们已经完成了从Austin到Magic Transit的全球网络，我们只需要一个有动机的攻击者发起DDoS攻击。幸运的是，我们在我们的站点可靠性工程（SRE）团队中找到了一些愿意执行攻击的志愿者。当这些队伍仍在世界各地集结时，我们的SRE志愿者从一个秘密的地方开始向我们的目标开火位置。没有魔法运输，奥斯汀的办公室会直接受到包裹泛滥的打击。在这种情况下可能会发生两件事（并非互斥）：奥斯汀的内部设备（路由器、防火墙、服务器，这两种情况都会导致非常糟糕的一天所有人。CloudflareDDoS缓解未启动，当我们的SRE攻击者发起洪水攻击时，数据包通过BGP自动路由到Cloudflare的网络。这些数据包通过Anycast到达最近的数据中心，遇到了XDP、eBPF和iptables等多种防御措施。这些防御由预先配置的静态防火墙规则和DDoS缓解系统生成的动态规则填充。静态规则可以从简单的IP阻塞和速率限制到与特定数据包属性匹配的更复杂的表达式。另一方面，动态规则是实时自动生成的。为了公平对待我们的攻击者，我们没有预先配置任何针对攻击的特殊规则。我们想给我们的袭击者一个公平的机会把奥斯汀打倒。虽然由于我们的多层次保护方法，可能性实际上从来没有在他们赞成。来源: https://imgflip.com生成动态规则作为我们多层保护方法的一部分，动态规则是通过分析通过我们的网络路由的数据包动态生成的。当数据包被路由时，流数据被两个主要的检测系统异步地采样、收集和分析。第一个称为Gatebot，运行在整个Cloudflare网络中；第二个是我们新部署的DoSD（拒绝服务守护程序），它在每个数据中心本地运行。DoSD是一个令人兴奋的改进，我们最近刚刚推出，我们期待着在这里写更多关于它的技术细节。与Gatebot相比，DoSD以更快的速度（1/100包）进行采样，而Gatebot以较低的速率（约1/8000包）进行采样，这使得它能够检测到更多的攻击并阻止它们快一点异步攻击检测生命周期在下图中用虚线表示。检测到攻击超出路径，以确保我们不会添加任何延迟，并将缓解规则推送到行中并作为需要。多个在分析和检测过程中考虑了数据包的属性和相关性。Gatebot和DoSD搜索新的网络异常和已知的攻击。一旦检测到攻击，规则将自动生成、传播，并在10秒内应用到最佳位置。为了让您了解一下规模，我们讨论的是在整个Cloudflare网络中每秒应用和删除的数十万条动态规则。Gatebot和DoSD的优点之一是它们不需要学习流量。一旦有客户被接收，他们会立即得到保护。他们不需要在几周前对流量进行采样。虽然我们可以在客户要求时应用特定的防火墙规则，但客户或我们的团队不需要手动配置。只是有用。什么这个缓解过程看起来就像practiceLet在奥斯汀发生的事情，当时我们的一个SRE试图在奥斯汀进行DDoS攻击，但失败了。在DoSD在全球推广之前的第一次尝试中，在Gatebot出现之前的几秒钟内，Austin员工在视频通话中的音频和视频质量下降。然而，Gatebot一上场，质量就立刻恢复了。如果我们没有Magic Transit在线，服务的退化会恶化到完全拒绝服务的地步。奥斯汀会离线，我们的奥斯汀同事也不会有很高的生产力天。开在部署DoSD之后，我们的SRE向奥斯汀发起了SYN洪水攻击。攻击目标是Austin前缀中的多个IP地址，峰值每秒仅超过25万个数据包。多斯德发现了攻击，并在大约3秒钟内阻止了它。DoSD的快速反应没有导致奥斯汀团队的服务质量下降。攻击快照绿线=攻击流量到Cloudflare边缘，黄线=从Cloudflare到源站的干净流量，我们所学的Dogfooding Magic Transit为我们提供了一个有价值的实验，从工程和程序两个方面吸取了很多经验教训。在工程方面，我们微调了我们的缓解措施和优化了路线。从程序方面，我们训练了多个团队的成员，包括安全操作中心和解决方案工程团队，以帮助改进我们的运行手册。通过这样做，我们将入职时间缩短为数小时，而不是几天，以确保我们的入职体验快速流畅顾客。想要吗了解更多？请求演示并了解如何使用Cloudflare保护和加速网络。