memcached

作者：百度安全实验室 原文链接： https://mp.weixin.qq.com/s/Ye_AuMDLQotv3M5rv9OmOA 0x00概述 德国软件公司Anaxco GmbH的Marco Hofmann首次发现黑客利用Citrix ADC网关上的DTLS服务（UDP：443）作为反射源实施DDoS放大攻击，之后国内多个安全团队针对此类攻击进行过解读。 百度智云盾团队在2021年1月也捕获到此类攻击，经过深入分析，我们确认了这次攻击是黑客利用DTLS协议未启用HelloVerifyRequest安全认证机制的漏洞发起的反射放大攻击。 0x01 事件回顾 2020年12月19日，德国软件公司Anaxco GmbH的Marco Hofmann在公司的监控系统上发现异常流量告警，在公司防火墙上进行抓包分析，发现流量中有同一客户端IP的大量请求和海量响应，随后跟踪到流量来源为Citrix ADC设备上的DTLS服务（UDP 443）。由于异常流量已经影响到了公司网络，他决定阻断针对UDP 443端口的请求，从而缓解了这次攻击对公司网络的影响。之后他将这次攻击信息发布到社交网站，不久有其他安全研究人员在EUC社区及社交网站上发帖表示也遭受到了这种攻击。 Citrix ADC是Citrix（思杰）公司的一系列网络产品的统称，ADC的中文名为应用程序交付控制器，也被人称为NetScaler

如今企业在防御DDoS攻击的时候，通常会面临两个问题：接入DDoS防护服务后的代理模式将攻击流量引导至第三方，不可避免增加延时；防护能力越强防护成本越高，回源带宽也是一笔很高的成本。 从技术角度来讲，DDoS攻击不是一种攻击，而是一大类攻击的总称，它有几十种类型及变种，而且新的攻击方法还在不断被发明出来，像病毒一样会发生变异。对于不同种类的攻击，一般服务器采用的防御措施也不尽相同。因此，多种类及变种的DDoS攻击，加大了人们防御DDoS的难度。 DDoS攻击一般来说可以分成两大类，一类是协议攻击，一类是流量攻击。所谓协议攻击，最常见的是syn flood攻击，即攻击者通过发送大量的syn包建立大量半开连接，耗尽用户主机的资源，从而导致用户的主机崩溃，不能够正常对外提供服务；流量攻击，就是采用大流量的攻击，占满用户的带宽，使得用户的正常流量被丢弃。举一个比较典型的例子：2018年GitHub遭遇到了史上最严重的一次DDoS攻击，其峰值带宽高达1.35T，这次攻击就是黑客利用了memcached的反射漏洞，发起了一次反射的流量攻击。 而防御DDoS的方式一般来说有以下两种。第一种就是在业务机房边缘去做流量清洗，此时业务机房需要具备足够大的上联带宽，将正常流量和攻击流量全部收进来之后，在业务机房的边缘还需要有一套分析设备和一套清洗设备，分析设备通过对流量的镜像分析

本文收录在 Linux运维企业架构实战系列 　　今天想起当初研究nginx反向代理负载均衡时，nginx自身的upstream后端配置用着非常不舒服； 当时使用的淘宝基于nginx二次开发的Tengine，今天总结一下。 1、认识Tengine 1.1 介绍 Tengine是由淘宝网发起的Web服务器项目。它 在Nginx的基础 上，针对大访问量网站的需求，添加了很多高级功能和特性。它的目的是打造一个高效、安全的Web平台。 Tengine的性能和稳定性已经在大型的网站如淘宝网，天猫商城等得到了很好的检验。 它的最终目标是打造一个高效、稳定、安全、易用的Web平台。 从2011年12月开始，Tengine成为一个开源项目。 现在，它由Tengine团队开发和维护。Tengine团队的核心成员来自于淘宝、搜狗等互联网企业。 1.2 功能 继承Nginx-1.6.2的所有特性， 兼容Nginx的配置 ； 动态模块加载（DSO）支持 。加入一个模块不再需要重新编译整个Tengine； 支持SO_REUSEPORT选项， 建连性能 提升为官方nginx的三倍； 支持SPDY v3协议，自动检测同一端口的SPDY请求和HTTP请求； 流式上传到HTTP后端服务器或FastCGI服务器，大量减少机器的I/O压力； 更加强大的负载均衡能力 ，包括一致性hash模块、会话保持模块

本文收录在 Linux运维企业架构实战系列 　　 今天想起当初研究 nginx 反向代理负载均衡时， nginx 自身的 upstream 后端配置用着非常不舒服； 当时使用的淘宝基于 nginx二次 开发的 Tengine ，今天总结一下。 1、认识Tengine 1.1 介绍 Tengine 是由淘宝网发起的 Web 服务器项目。它 在 Nginx 的基础 上，针对大访问量网站的需求，添加了很多高级功能和特性。它的目的是打造一个高效、安全的 Web 平台。 Tengine 的性能和稳定性已经在大型的网站如淘宝网，天猫商城等得到了很好的检验。 它的最终目标是打造一个高效、稳定、安全、易用的 Web 平台。 从 2011 年 12 月开始， Tengine 成为一个开源项目。 现在，它由 Tengine 团队开发和维护。 Tengine 团队的核心成员来自于淘宝、搜狗等互联网企业。 1.2 功能 继承 Nginx-1.6.2 的所有特性， 兼容 Nginx 的配置 ； 动态模块加载（ DSO ）支持 。加入一个模块不再需要重新编译整个 Tengine ； 支持 SO_REUSEPORT 选项， 建连性能 提升为官方 nginx 的三倍； 支持 SPDY v3 协议，自动检测同一端口的 SPDY 请求和 HTTP 请求； 流式上传到 HTTP 后端服务器或 FastCGI 服务器

典型 Web App 架构 以下是一个典型的高负载 web 应用示例： 上图展示了一个典型的，三层架构的高性能 Web 应用。这种成熟的架构多年以来已被广泛部署于包括 Google、Yahoo、Facebook、Twitter、Wikipedia 在内的诸多大型 Web 应用中。 　 反向代理服务 位于三层构架中最外层的反向代理服务器负责接受用户的接入请求，在实际应用中，代理服务器通常至少还要完成以下列表中的一部分任务： 连接管理 ：分别维护客户端和应用服务器的连接池，管理并关闭已超时的长连接。 　 攻击检测和安全隔离 ：由于反向代理服务无需完成任何动态页面生成任务，所有与业务逻辑相关的请求都转发至后端应用服务器处理。因此反向代理服务几乎不会被应用程序设计或后端数据漏洞所影响。反向代理的安全性和可靠性通常仅取决于产品本身。在应用服务的前端部署反向代理服务器可以有效地在后端应用和远程用户间建立起一套可靠的安全隔离和攻击检测机制。 如果需要的话，还可以通过在外网、反向代理、后端应用和数据库等边界位置添加额外的硬件防火墙等网络隔离设备来实现更高的安全性保证。 　 负载均衡 ：通常使用轮转（Round Robin）或最少连接数优先等策略完成基于客户请求的负载均衡；也可以使用 SSI 等技术将一个客户请求拆分成若干并行计算部分分别提交到多个应用服务器。 　 分布式的 cache 加速

网站架构中 最核心 的几个要素包括： 性能 ， 可用性 ， 伸缩性 ， 扩展性 和 安全性， 而性能又是其中最为重要的，本篇简要说下网站性能优化方面所需做的一些事情； 1. 网站性能问题概要 性能问题 说明 产生原因 大都是在用户高并发访问时产生的 主要工作 改善高并发用户访问情况下的网站访问速度 主要目的 改善用户体验，让用户觉得网站很快，一切的产品都必须站在用户的角度考虑问题 2. 网站性能测试 站在不同的视角，所关注的网站性能是不一致的： 视角 关注点 说明 用户视角 用户打开浏览器网页的响应速度，网页能再多长时间内打开，一般超过3秒就会感觉比较慢了 用户感受到的时间主要包括网络通信、服务器处理、浏览器解析时间 开发视角 主要关注应用程序本身及其子系统的性能 例如应用程序本身各业务耗时、并发量、程序是否稳定等 运维视角 更关注基础设施性能和资源利用率 如运营商带宽能力，服务器硬件配置，网络、服务器资源利用率等 站在开发、测试人员角度，性能测试的主要指标： 响应时间 、 并发数 、 吞吐量 、 服务器各性能指标 ； 性能指标 说明 测试方法 响应时间 从发出请求开始到收到最后响应数据所花费的时间 一般计算多次重复请求所花费的总响应时间，再除以请求次数 并发数 系统能够同时处理请求的数目，也代表了同时发起请求的用户数 多线程模拟并发用户 吞吐量 单位时间内系统处理的请求数量