摘要：目前阿里云也推出了云盾產品，將自家的技術輸出給廣大的互聯網企業，詳細內容可參考下面上的公開分享。云盾的一項新技術叫態勢感知，通過阿里云上的大數據來發現網絡安全的各項趨勢漏洞，還在不斷進化中。

上次CDN沒有測試蘋果的，這次我們把手機掛上charles proxy，試一下瀏覽下Apple網站，這是一個圖片的response頭：

X-Apple-Jingle-Correlation-Key: F7XANLWI2HDSCRVIOE
X-Apple-Request-UUID: 2fee0697-d1c72146a871
apple-seq: 0
apple-tk: false
Apple-Originating-System: AIImageService
Content-Length: 3193
Content-Type: image/jpeg

Server: ATS/4.1.0
Age: 1
X-Cache: HIT from cache.51cdn.com
X-Via: 1.1 ych60:9 (Cdn Cache Server V2.0), 1.1 fuyangxiazai15:1 (Cdn Cache Server V2.0)
Connection: keep-alive

上面能看到蘋果的Response也有不少自定義的Header：包括X-Apple-Request-UUID，X-Apple-Jingle-Correlation-Key，apple-seq， apple-tk， Apple-Originating-System，這些到底是用來干什么的，我們并不知道，但這個肯定跟ios系統與蘋果服務器的交互有關系。

再往下看，能看到該圖片文件命中了域名為cache.51cdn.com上的緩存文件。這個51cdn是哪家公司？我們下面會介紹。

先說下這個更讓人感興趣的ATS字樣的東西，響應的緩存服務器是ATS Server，那么ATS是什么呢？就是Apache Traffic Server，網址是http://trafficserver.apache.org/。

關于ATS能查到的公開歷史也很有意思，其原來是做高性能緩存代理的，后在2003年被yahoo收購，在yahoo內部用了4年，2009年捐給Apache基金會，2010年成為Apache的頂級項目。

還找到以下一則介紹：

ATS故事就是一個悲劇。當年03年，雅虎收購了inktomi，當時公司已經徹底把ATS相關產品、代碼、資料、人員全部K掉了，資產接手工程師發現在某個角落有個機器，好多土，就問問這機器干嘛的，然后某個還在公司的老員工介紹了一下，雅虎的人還挺實在，就開機看看，發現機器是一個開發測試機器，機器里的系統還能跑，里面有一些不太齊全的代碼，然后測試了一下程序，看性能比squid應該好，就把代碼入庫到雅虎的cvs，cvs tag名字：ts-gold。代碼checkin時間，2003年6月20號左右，這就是當年的yts-1.4= i ts-1.4，是ATS的祖宗。后來，ATS發展到09年，1.17版本，砍掉50%代碼后，開源出來的yts1.17就是ATS2.0版本。完全是垃圾堆撿回來的，只有一個臨時的像是開發測試export出來的代碼，沒cvs歷史，沒文檔。據猜測，這個機器是因為放角落，不顯眼所以沒被燒掉，其他能燒的都燒了。

那么就是說51cdn這個域名的CDN服務器用的技術就是ATS。

再去Apple Store下一個APP試試：

HTTP/1.1 200 OK
Content-Type: application/octet-stream
Connection: keep-alive
X-Apple-Request-UUID: 1be3d51e-cf06fb081f02
Date: Sat, 27 Aug 2016 00:09:28 GMT
Cache-Control: max-age=31536000
ETag: "H26MRpqeMdxBt7daDg=="
Apple-Originating-System: ar-resolver-origin
X-Cache-Remote: PENDING from CHN-LG-d-3WF.3
apple-tk: false
Powered-By-ChinaCache: HIT from CHN-TH-3-3WD
Last-Modified: Sat, 27 Aug 2016 00:08:44 GMT
Content-Length: 25791960
Access-Control-Allow-Origin: *
Expires: Sun, 27 Aug 2017 00:09:28 GMT
Switch: FSCS
apple-seq: 0
X-Apple-Jingle-Correlation-Key: DPR5KHV4LREMEK
Age: 50799
Accept-Ranges: bytes
Server: ATS/4.1.0
X-Cache: TCP_HIT
CC_CACHE: TCP_HIT

以上是服務器上下了一個25MB的APP的響應頭，跟Cache相關的我們能看到命中了ChinaCache，ChinaCache就是國內另一家CDN廠家藍訊，有興趣的可以訪問www.chinacache.com觀摩觀摩。

最后我們看下這個51cdn域名的cache是誰：

dig cache.51cdn.com
...
;; QUESTION SECTION:
;cache.51cdn.com.              IN         A

;; AUTHORITY SECTION:
51cdn.com.             300        IN         SOA        ns1.chinanetcenter.com. webmaster.lxdns.com. 1107011041 10800 3600 64800 60

返回了一條SOA記錄，所以此域名還掛了主備DNS。

51cdn屬于哪個組織？看下工信部的備案查詢結果：

就是網宿科技的備案域名。

所以蘋果在國內用的cdn服務器，網站上的圖片加速用了網宿的，應用商店用了藍訊。

lxdns.com是個什么公司呢？

dig webmaster.lxdns.com

;; AUTHORITY SECTION:
lxdns.com.             264        IN         SOA        dns1.lxdns.org. webmaster.lxdns.com. 1107011041 10800 3600 64800 60

whois lxdn.org

Domain Name: LXDN.ORG
Domain ID: D126232091-LROR
WHOIS Server:
Referral URL: http://www.joker.com
Updated Date: 2015-03-10T16:51:26Z
Creation Date: 2006-07-22T19:17:30Z
Registry Expiry Date: 2017-07-22T19:17:30Z
Sponsoring Registrar: CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH
Sponsoring Registrar IANA ID: 113
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: CORG-160681
Registrant Name: Hal Eisen
Registrant Organization:
Registrant Street: 2611 Etna St
Registrant City: Berkeley
Registrant State/Province: CA
Registrant Postal Code: 94704
Registrant Country: US
Registrant Phone: +1.4153367182

看得出來注冊地是加州的伯克利，域名很有意思，joker.com，讓我想起了跟蝙蝠俠作對的小丑。 不過打開這個域名一看，是跟萬網一樣的域名提供商。

一個域名提供商用這個名字，是暗示注冊域名的都是小丑嗎？

CDN還有一種用途用來硬抗DDos攻擊，對于經常被攻擊的大網站，網站的最前端可以部署高防CDN服務器，通過CDN服務器對流量進行清洗，并將清洗過的流量引回到真實服務器集群。一般中小流量（例如幾十G）的攻擊購買有防護能力的CDN機房都能擋住。防DDos攻擊的成本比攻擊要高很多，廠家為此花的錢還是要平衡收入和產出比。

2015年的錘子新品發布會，與老羅演講同時進行的官網預售也幾近癱瘓，原因是遭到了DDos攻擊，據披露其攻擊峰值是130Gbps,平均流量是幾十Gbps。估計錘子科技并沒有想到會有同行利用這種手段來進行競爭，亦或是之前老羅數次發布會對于同行的冷嘲熱諷引來了如此報復，所以可能根本沒有準備應付這種情況。由騰訊云的新聞看出，錘子是在出了問題后緊急聯系騰訊云對接他們的大禹系統的，可參考：http://www.itbear.com.cn/n139...

阿里作為老牌互聯網廠商，在對抗DDos上也有很豐富的經驗，阿里云曾經在2014年成功防住了全球互聯網最大的一次攻擊453.8Gbps，可以說當時參與的安全人員都見證了歷史。下面是公開分享資料的一些截圖，介紹了攻擊的細節和阿里的防DDos技術。



目前阿里云也推出了云盾產品，將自家的技術輸出給廣大的互聯網企業，詳細內容可參考下面infoq上的公開分享。云盾的一項新技術叫態勢感知，通過阿里云上的大數據來發現網絡安全的各項趨勢漏洞，還在不斷進化中。

參考資料：

CDN緩存服務器現狀,squid、nginx、trafficserver、ATS性能測試
http://www.dnsdizhi.com/cdnca...
互聯網全球最大DDoS攻擊防御實戰分享
http://www.infoq.com/cn/prese...