2018年4月11-12日，2018亞太CDN峰會在北京隆重召開，大會由亞太CDN領(lǐng)袖論壇、電視云論壇、短視頻論壇、視頻云論壇、新技術(shù)論壇、運營商論壇、國際云論壇等7大部分組成。在視頻云論壇上，騰訊云CDN技術(shù)專家團隊負責(zé)人黎文彥作了題為《騰訊云SCDN：云計算時代的安全和CDN解決方案》的主題致辭。

圖為：騰訊云CDN技術(shù)專家團隊負責(zé)人黎文彥

一、騰訊CDN 3大優(yōu)勢解析

黎文彥首先介紹了一下騰訊云CDN的發(fā)展歷程，2017年（騰訊云CDN元年，靜態(tài)內(nèi)容平臺）；2009年（第一個下載大客戶騰訊游戲）；2010年（流媒體平臺搭載）；2013年（騰訊云CDN對外服務(wù)）；2014年（自建CDN帶寬量突破20T）；2016年（云CDN帶寬年增長達到300%）；2018年（儲備帶寬正式超過100T）。

據(jù)黎文彥介紹，騰訊CDN具有3大優(yōu)勢：

第一，騰訊自有業(yè)務(wù)形態(tài)豐富、完整，從國內(nèi)甚至全球來看都是比較少見的，包括QQ、微信一些靜態(tài)類下載、網(wǎng)站素材下載、大游戲包下載、騰訊視頻點播/直播，還包括早期的電商和現(xiàn)在的金融業(yè)務(wù)，所有業(yè)務(wù)形態(tài)都包括在內(nèi)。據(jù)統(tǒng)計，國內(nèi)大概Top100視頻客戶80%已經(jīng)加入到了騰訊云。

第二， 騰訊云一直強調(diào)穩(wěn)定性和可用性。騰訊在穩(wěn)定性和可用性上的思路是：1）部署隔離。例如下載類客戶和點播/直播業(yè)務(wù)形態(tài)都是分開部署的，并且有些重要的客戶完全物理上獨立。2）騰訊有近20年的海量運營經(jīng)驗，使得在容災(zāi)切換上積累了非常豐富的經(jīng)驗。例如，網(wǎng)絡(luò)的波動對CDN來說非常關(guān)鍵，騰訊所有業(yè)務(wù)一起聯(lián)動，對全國網(wǎng)絡(luò)或全球網(wǎng)絡(luò)進行大數(shù)據(jù)分析，能夠在第一時間內(nèi)判斷網(wǎng)絡(luò)擁塞狀況，做到秒級切換，用戶無感知。3）安全防護。4）低水位，CDN負載較低。騰訊CDN始終維持在相對低的水位，所以任何一個突發(fā)狀況都能從容應(yīng)對。

第三，性能強，2018年2月份，Gartenr核心指標(biāo)領(lǐng)先，如加速能力、流媒體支持能力、內(nèi)容管理能力等核心指標(biāo)領(lǐng)先于國內(nèi)廠商。1）CDN架構(gòu)，包括緩沖、負載均衡，所有CDN傳統(tǒng)架構(gòu)都是自主研發(fā)的。2）操作系統(tǒng)，騰訊Tlinux目前超過100萬內(nèi)核。3）協(xié)議棧優(yōu)化是CDN一個關(guān)鍵武器，通過近幾年TCP協(xié)議戰(zhàn)，包括單邊和雙邊優(yōu)化，TCP協(xié)議棧優(yōu)化效果在國內(nèi)目前遙遙領(lǐng)先。4）對新的quic支持開始上線。5）TGP圖片/超分辨率。6）
智享高清。

二、騰訊云在安全領(lǐng)域的布局

1、騰訊云WAF

在WAF方面，面對XSS跨站腳本/SQL注入/非法HTTP請求/webshell、開源漏洞/命令注入等等安全問題，傳統(tǒng)的解決方案基本都是基于規(guī)則匹配、規(guī)則定期維護，不能保證誤報率和漏報率。

騰訊在WAF應(yīng)用安全里有怎樣的積累呢？黎文彥表示，首先，騰訊自有業(yè)務(wù)19年來基本上每天攻擊超過上千起，所有自有業(yè)務(wù)防護經(jīng)驗和數(shù)據(jù)沉淀在國內(nèi)是非常龐大的庫；其次，騰訊有七大安全實驗室，始終專注安全技術(shù)研究和一些防護體系搭建，目前已經(jīng)涵蓋到互聯(lián)網(wǎng)整個鏈條所有領(lǐng)域；再次，WAF基于機器學(xué)習(xí)一些語義理解新的WAF引擎目前全面上線。

2、CC/DDoS集中式的高防技術(shù)

從DDoS被攻擊國家來看，中國已經(jīng)成為重災(zāi)區(qū)，85%的攻擊發(fā)生在中國，UDP flood/ACK flood占95%。目前超過100G以上的攻擊愈發(fā)頻繁，占到6%左右，200G以上攻擊接近3%。云主機廉價易用，IoT逐漸成熟，這兩個基礎(chǔ)條件使得僵尸主機有越來越多的溫床。

黎文彥介紹了騰訊云CC/DDoS集中式的高防技術(shù)。DDoS高防架構(gòu)：外部流量進來以后有一個分光器，清洗中心和檢測中心背后都是大數(shù)據(jù)分析能力，清洗完畢之后才導(dǎo)入到IaaS上來。目前騰訊在高防節(jié)點上全程有20個節(jié)點。騰訊正在雄安建設(shè)全新的防護中心，把大數(shù)據(jù)和AI等能力注入到安全中心來，目前已經(jīng)建設(shè)成1T級別的BGP帶寬，未來將持續(xù)擴大。

三、CDN和安全如何結(jié)合？

如何將CDN加速和安全防護結(jié)合起來呢？騰訊云推出了SCDN解決方案。SCDN到底要解決什么問題？第一，CDN單節(jié)點要具備最大的400G防護能力；第二，與高防T級節(jié)點聯(lián)動的快速切換能力；第三，被DDoS攻擊的域名識別能力。

圖為：騰訊云SCDN整體架構(gòu)

1）高性能CC防護技術(shù)

以往的做法，是在應(yīng)用層，針對單個域名具體的url做統(tǒng)計。當(dāng)超過某個提前設(shè)置好的閾值，就拒絕。這種模式下，單臺設(shè)備能到10萬QPS就很不錯了。

但是在動輒百萬千萬的CC攻擊面前，10萬嚴(yán)重不夠。具體到我們的做法是這樣的：在Tlinux內(nèi)核中，把判斷過濾的邏輯，前置，并且重點優(yōu)化了查找算法。并提供了黑、白名單兩種模式。額外的，也支持HTTPs的解析。整個下來，單機的能力就有上百倍的提升。輕松達到硬件的極限。

   
 

2）高性能DDoS防護

數(shù)據(jù)區(qū)分配比較晚，對性能提升比較大，這是常規(guī)DDoS的防護辦法，大概單機器能到100萬包，實際上這種能力遠遠不夠。騰訊云SCDN在協(xié)議棧前面做了前置判斷，算法改進，對往返包做了非常大的優(yōu)化。經(jīng)過這些技術(shù)優(yōu)化，極限是物理網(wǎng)卡。

3）與高防聯(lián)動的調(diào)度

單節(jié)點防護能力如何提升？CC是非常正常的請求，如何防止這種請求，在應(yīng)用層判斷這個域名來的請求超過某個閾值時就拒絕。目前大部分市面上服務(wù)器在應(yīng)用層做這個事情的話，10萬QPS就到極限了。騰訊云SCDN在內(nèi)核層來做，首先把CC的判斷前置到最前面的節(jié)點；改進很多算法，有黑名單和白名單的過濾，現(xiàn)在也支持HTTPs的解析。這種方式相對應(yīng)用層來說，至少是上百倍的性能提升，輕輕松松到達硬件的極限。

4）DDoS攻擊域名識別

未來防止攻擊，一個域名獨享一個IP是可以的，但代價非常大。比如騰訊100萬個域名，如果都要分配100個節(jié)點的話，就是100個IP地址，需要有1億個地址，基本沒有可行性。騰訊云SCDN的做法是首先盡量充分獨立部署，當(dāng)然復(fù)用肯定是有的，最關(guān)鍵的是基于大數(shù)據(jù)分析目前做到分鐘級別快速識別，有了這些才為后續(xù)CDN上客戶的分級、商業(yè)化作出最關(guān)鍵的一步。