摘要:目前阿里云也推出了云盾產(chǎn)品,將自家的技術(shù)輸出給廣大的互聯(lián)網(wǎng)企業(yè)��,詳細(xì)內(nèi)容可參考下面上的公開分享�。云盾的一項新技術(shù)叫態(tài)勢感知,通過阿里云上的大數(shù)據(jù)來發(fā)現(xiàn)網(wǎng)絡(luò)安全的各項趨勢漏洞�����,還在不斷進(jìn)化中����。
上次CDN沒有測試蘋果的,這次我們把手機(jī)掛上charles proxy�,試一下瀏覽下Apple網(wǎng)站,這是一個圖片的response頭:
X-Apple-Jingle-Correlation-Key: F7XANLWI2HDSCRVIOE
X-Apple-Request-UUID: 2fee0697-d1c72146a871
apple-seq: 0
apple-tk: false
Apple-Originating-System: AIImageService
Content-Length: 3193
Content-Type: image/jpeg
Server: ATS/4.1.0
Age: 1
X-Cache: HIT from cache.51cdn.com
X-Via: 1.1 ych60:9 (Cdn Cache Server V2.0), 1.1 fuyangxiazai15:1 (Cdn Cache Server V2.0)
Connection: keep-alive
上面能看到蘋果的Response也有不少自定義的Header:包括X-Apple-Request-UUID,X-Apple-Jingle-Correlation-Key��,apple-seq���, apple-tk, Apple-Originating-System����,這些到底是用來干什么的,我們并不知道����,但這個肯定跟ios系統(tǒng)與蘋果服務(wù)器的交互有關(guān)系。
再往下看��,能看到該圖片文件命中了域名為cache.51cdn.com上的緩存文件����。這個51cdn是哪家公司?我們下面會介紹��。
先說下這個更讓人感興趣的ATS字樣的東西����,響應(yīng)的緩存服務(wù)器是ATS Server,那么ATS是什么呢?就是Apache Traffic Server���,網(wǎng)址是http://trafficserver.apache.org/����。
關(guān)于ATS能查到的公開歷史也很有意思���,其原來是做高性能緩存代理的�,后在2003年被yahoo收購��,在yahoo內(nèi)部用了4年�,2009年捐給Apache基金會,2010年成為Apache的頂級項目�。
還找到以下一則介紹:
ATS故事就是一個悲劇。當(dāng)年03年�����,雅虎收購了inktomi��,當(dāng)時公司已經(jīng)徹底把ATS相關(guān)產(chǎn)品�����、代碼、資料�、人員全部K掉了,資產(chǎn)接手工程師發(fā)現(xiàn)在某個角落有個機(jī)器�����,好多土�,就問問這機(jī)器干嘛的�,然后某個還在公司的老員工介紹了一下,雅虎的人還挺實在�����,就開機(jī)看看����,發(fā)現(xiàn)機(jī)器是一個開發(fā)測試機(jī)器,機(jī)器里的系統(tǒng)還能跑�,里面有一些不太齊全的代碼,然后測試了一下程序����,看性能比squid應(yīng)該好,就把代碼入庫到雅虎的cvs�����,cvs tag名字:ts-gold。代碼checkin時間����,2003年6月20號左右,這就是當(dāng)年的yts-1.4= i ts-1.4���,是ATS的祖宗��。后來�,ATS發(fā)展到09年��,1.17版本�,砍掉50%代碼后,開源出來的yts1.17就是ATS2.0版本����。完全是垃圾堆撿回來的,只有一個臨時的像是開發(fā)測試export出來的代碼�����,沒cvs歷史���,沒文檔��。據(jù)猜測����,這個機(jī)器是因為放角落,不顯眼所以沒被燒掉�����,其他能燒的都燒了����。
那么就是說51cdn這個域名的CDN服務(wù)器用的技術(shù)就是ATS��。
再去Apple Store下一個APP試試:
HTTP/1.1 200 OK
Content-Type: application/octet-stream
Connection: keep-alive
X-Apple-Request-UUID: 1be3d51e-cf06fb081f02
Date: Sat, 27 Aug 2016 00:09:28 GMT
Cache-Control: max-age=31536000
ETag: "H26MRpqeMdxBt7daDg=="
Apple-Originating-System: ar-resolver-origin
X-Cache-Remote: PENDING from CHN-LG-d-3WF.3
apple-tk: false
Powered-By-ChinaCache: HIT from CHN-TH-3-3WD
Last-Modified: Sat, 27 Aug 2016 00:08:44 GMT
Content-Length: 25791960
Access-Control-Allow-Origin: *
Expires: Sun, 27 Aug 2017 00:09:28 GMT
Switch: FSCS
apple-seq: 0
X-Apple-Jingle-Correlation-Key: DPR5KHV4LREMEK
Age: 50799
Accept-Ranges: bytes
Server: ATS/4.1.0
X-Cache: TCP_HIT
CC_CACHE: TCP_HIT
以上是服務(wù)器上下了一個25MB的APP的響應(yīng)頭�����,跟Cache相關(guān)的我們能看到命中了ChinaCache���,ChinaCache就是國內(nèi)另一家CDN廠家藍(lán)訊��,有興趣的可以訪問www.chinacache.com觀摩觀摩����。
最后我們看下這個51cdn域名的cache是誰:
dig cache.51cdn.com
...
;; QUESTION SECTION:
;cache.51cdn.com. IN A
;; AUTHORITY SECTION:
51cdn.com. 300 IN SOA ns1.chinanetcenter.com. webmaster.lxdns.com. 1107011041 10800 3600 64800 60
返回了一條SOA記錄,所以此域名還掛了主備DNS�。
51cdn屬于哪個組織?看下工信部的備案查詢結(jié)果:
就是網(wǎng)宿科技的備案域名����。
所以蘋果在國內(nèi)用的cdn服務(wù)器,網(wǎng)站上的圖片加速用了網(wǎng)宿的����,應(yīng)用商店用了藍(lán)訊。
lxdns.com是個什么公司呢�����?
dig webmaster.lxdns.com
;; AUTHORITY SECTION:
lxdns.com. 264 IN SOA dns1.lxdns.org. webmaster.lxdns.com. 1107011041 10800 3600 64800 60
whois lxdn.org
Domain Name: LXDN.ORG
Domain ID: D126232091-LROR
WHOIS Server:
Referral URL: http://www.joker.com
Updated Date: 2015-03-10T16:51:26Z
Creation Date: 2006-07-22T19:17:30Z
Registry Expiry Date: 2017-07-22T19:17:30Z
Sponsoring Registrar: CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH
Sponsoring Registrar IANA ID: 113
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: CORG-160681
Registrant Name: Hal Eisen
Registrant Organization:
Registrant Street: 2611 Etna St
Registrant City: Berkeley
Registrant State/Province: CA
Registrant Postal Code: 94704
Registrant Country: US
Registrant Phone: +1.4153367182
看得出來注冊地是加州的伯克利�����,域名很有意思��,joker.com�,讓我想起了跟蝙蝠俠作對的小丑。 不過打開這個域名一看����,是跟萬網(wǎng)一樣的域名提供商����。
一個域名提供商用這個名字�,是暗示注冊域名的都是小丑嗎?
CDN還有一種用途用來硬抗DDos攻擊�����,對于經(jīng)常被攻擊的大網(wǎng)站�,網(wǎng)站的最前端可以部署高防CDN服務(wù)器,通過CDN服務(wù)器對流量進(jìn)行清洗�,并將清洗過的流量引回到真實服務(wù)器集群。一般中小流量(例如幾十G)的攻擊購買有防護(hù)能力的CDN機(jī)房都能擋住����。防DDos攻擊的成本比攻擊要高很多��,廠家為此花的錢還是要平衡收入和產(chǎn)出比�����。
2015年的錘子新品發(fā)布會�����,與老羅演講同時進(jìn)行的官網(wǎng)預(yù)售也幾近癱瘓,原因是遭到了DDos攻擊���,據(jù)披露其攻擊峰值是130Gbps,平均流量是幾十Gbps����。估計錘子科技并沒有想到會有同行利用這種手段來進(jìn)行競爭��,亦或是之前老羅數(shù)次發(fā)布會對于同行的冷嘲熱諷引來了如此報復(fù)���,所以可能根本沒有準(zhǔn)備應(yīng)付這種情況����。由騰訊云的新聞看出����,錘子是在出了問題后緊急聯(lián)系騰訊云對接他們的大禹系統(tǒng)的,可參考:http://www.itbear.com.cn/n139...
阿里作為老牌互聯(lián)網(wǎng)廠商���,在對抗DDos上也有很豐富的經(jīng)驗�����,阿里云曾經(jīng)在2014年成功防住了全球互聯(lián)網(wǎng)最大的一次攻擊453.8Gbps����,可以說當(dāng)時參與的安全人員都見證了歷史。下面是公開分享資料的一些截圖�,介紹了攻擊的細(xì)節(jié)和阿里的防DDos技術(shù)。
目前阿里云也推出了云盾產(chǎn)品����,將自家的技術(shù)輸出給廣大的互聯(lián)網(wǎng)企業(yè),詳細(xì)內(nèi)容可參考下面infoq上的公開分享�����。云盾的一項新技術(shù)叫態(tài)勢感知���,通過阿里云上的大數(shù)據(jù)來發(fā)現(xiàn)網(wǎng)絡(luò)安全的各項趨勢漏洞�����,還在不斷進(jìn)化中。
參考資料:
CDN緩存服務(wù)器現(xiàn)狀,squid����、nginx����、trafficserver�����、ATS性能測試
http://www.dnsdizhi.com/cdnca...
互聯(lián)網(wǎng)全球最大DDoS攻擊防御實戰(zhàn)分享
http://www.infoq.com/cn/prese...
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/10948.html
