腾讯的“绝境长城”与“守夜人”

长夜将至，我从今开始守望，至死方休。

我将不娶妻，不封地，不生子。

我将不戴宝冠，不争荣宠。

我将尽忠职守，生死于斯。

…….

今夜如此，夜夜皆然。

这是《权力的游戏》中守夜人军团的誓词。

在远古时代，先人构筑“绝境长城”将北方妖魔与南方的维斯特洛大陆隔离，守卫长城的就是“守夜人”。

在网络世界里，像异鬼入侵般针对企业的黑客攻击却从来没有停止过。

今天，我们要讲的就是另外一群“守夜人”，他们筑起守护业务安全的 “绝境长城”——名叫 “洋葱” 。

这是一款腾讯自研的安全反入侵系统，覆盖腾讯公司 100W+服务器，涵盖 微信、QQ、腾讯云、腾讯游戏等业务，提供7*24小时应急安全支持的系统。

45秒，史上最快入侵来袭

这是一个再正常不过的星期天。

12点25分13秒。

腾讯安全平台部反入侵团队的“守夜人”鬼叔，边吃饭，边打开视频网站。

此刻，另一栋大楼的一台业务服务器正嗡嗡作响，准备启动重装系统。

12点25分58秒。

没有一丝防备，鬼叔刚吞下第一口盒饭。

洋葱系统发出预警通知。

服务器入侵警告！

一切发生的太快，甚至60秒视频广告都没放完。

鬼叔惊觉，这怕是鹅厂有史以来经历过的最快入侵，从开机到被植入木马，历时仅45秒！

但，它遇到了“洋葱”。

鬼叔紧急联系值守的伙伴，通知业务，紧急断开服务器网络，成功将黑客拦截向内渗透之前，及时止损。

随后迅速开启排查。很快，定位到问题并堵住了漏洞。

“无利不起早，能够这么快的入侵，说明黑客盯了很久了，公司业务量级非常大，很多人天天盯着。”鬼叔说。

“我们配备了7*24小时反入侵小组，俗称“守夜军团”，服务器一上线，系统就跟反入侵系统绑定，这样能最大程度降低风险。”

然而，这仅仅是无数攻击浪潮中的一波。

十年磨一剑，打造“辛辣”洋葱

黑客攻击只需找到一个突破点。

一个忘打补丁的系统，一个随手输入的弱密码，甚至可能是一次无心的操作，带来的损失和后果都可能是毁灭性的。

早在2009年，腾讯安全中心就开始关注入侵防御系统建设，洋葱系统的搭建也始于此，开始漫漫10年的建设和运营。

敌众我寡，敌暗我明，防御要兼顾各方各面。

“企业防御关键在‘控’，坚壁清野步步为营，层层设防，让黑客即使入侵进来，也在我们可控的位置活动。”守夜军团的lake补充道。

“腾讯设立了多层防线，像Waf作为最外层，就像安检门应对的是海量的‘自动化’攻击；而拥有完备工具的专业黑客，通过层层防护网，最后会遇到一堵绝境长城。对，洋葱要做的就是，对抗这种专业攻击。”

洋葱系统部署在腾讯每一台服务器上，针对每一台服务器做到服务稳定。

“公司业务形态多元（游戏、社交、云计算、视频等），环境复杂（物理机、虚拟机、容器、多种OS平台、海量数据处理、高并发）。洋葱要能兼容每个系统且保持高稳定性，解决了非常严苛的问题 。 ”

为什么叫洋葱呢，lake抹了抹眼睛。

“剥开洋葱的外衣，一定会被呛到流泪。但凡被洋葱发现的，都要确保没有造成损失。”

在这条叫“洋葱”的绝境长城上， 分工明确。

有鬼叔这样的守夜人，以防万一；也有像侦察兵一样为业务和投后做安全评估和预警的同学；更多的人集中在底层系统的研发上。

“ 7*24小时，黑客来了，我们冲在最前面。”鬼叔说。

洋葱系统自动且强大，专职守夜人只需3个即可。顺应黑客攻击的喜好，晚睡早起。夜里只要有危情，电话直接报警，凌晨2、3点叫醒所有人一起抗击黑客是常有的事。

一张图片也可以变成核弹

又是一个凌晨。

2016年5月5日，覆盖量最大的图片处理组件之一ImageMagick，爆出一个“核弹级”的0day漏洞，因为是通用的图片处理系统，国内大型互联网公司基本无一幸免。

“这意味着，哪怕是一个入门级的小黑客，只需上传一张包含恶意代码的图片，可就能远程操控存在漏洞的任何一家公司服务器，并且可以潜伏下来长期盯着，窃取相关资料，篡改页面等等。”鬼叔谈及也免不了心有余悸。

漏洞刚一爆发，就有黑客跟进，利用各公司修复漏洞的空隙想来渗透和入侵。

“漏洞刚发布，就被我们的情报捕获，第一时间知会了各个业务线。同时，外部攻击量暴增，很多被最外层的防护（Waf）挡住了，躲过多层防线的家伙侵入，遇到最后防线洋葱，马上被发现，及时挡住。等于他还没来得及做实质性破坏，就已经暴露了。”

整个入侵不是拦住、断网就完结，是需要清理干净的。

止损、定位、排查、清理、恢复。所有工作迅速推进。

腾讯各大业务线安全团队，通宵了2个晚上，第一时间修复了4万台服务器的漏洞，在1003台服务器上成功抵御了数万次的攻击。

黑客利用0day发起猛烈攻击

洋葱既要保证稳定，又要做到给黑客反入侵提供足够的数据源，这是一件非常困难的事情。 “ 国内少有公司像我们一样拥着一套这样大规模量级可实际运营的反入侵系统，10年之功，不断加固。”

内外兼修，不断升级

除了外部攻击，守夜人团队还要面临来自内部的“挑战”。

他们经常要找蓝军来，试试绝境长城的“皮实”程度。

书接上回的 红蓝对抗 。

鬼叔磨刀霍霍的小眼神在闪烁： “蓝军的口号是生死看淡，不服就战，我们回击就是，红军不服，求王者峡谷一战！”

蓝军找一个点，不断的攻破，作为红军需要守住每一个面，不能遗漏。真的模拟作战的时候，那就要干的，彼此不服，相爱相杀。