摘要：目前，阿里云防護(hù)網(wǎng)絡(luò)已經(jīng)覆蓋了全球主要區(qū)域，共個(gè)大流量清洗中心，總清洗能力大于。除了全球部署以外，阿里云的還有一大特點(diǎn)就是默認(rèn)防護(hù)?？偨Y(jié)目前，阿里云防護(hù)產(chǎn)品平均每天抵御起攻擊事件，年，成功抵御的最大攻擊峰值為。

2年前，不少技術(shù)圈的朋友，讀過(guò)論壇里的一篇解讀文章：DDoS，阿里為什么要走自己的一條路（https://bbs.aliyun.com/read/2...），文章講述了阿里巴巴為什么決定研發(fā)自己的DDoS清洗系統(tǒng)，阿里云DDoS防護(hù)業(yè)務(wù)的誕生，以及阿里云Anti-DDoS產(chǎn)品團(tuán)隊(duì)在云上DDoS檢測(cè)、防御的一些思考。

2年后，F(xiàn)orrester發(fā)布Now Tech: DDoS Mitigation Solutions, Q2 2018報(bào)告，阿里云、A10 Networks、Akamai、Arbor和Radware進(jìn)入“第一市場(chǎng)陣營(yíng)” —— 誕生3年，年輕的我們與老牌DDoS服務(wù)提供商一起，共同接受全球市場(chǎng)的檢驗(yàn)。這也意味著，全球大型企業(yè)開(kāi)始認(rèn)可云上DDoS防護(hù)的綜合實(shí)力。

回望成長(zhǎng)歷程，2年前那篇博文中有一句話讓人感觸頗深： “在長(zhǎng)期跟DDoS對(duì)抗中，我們踩過(guò)無(wú)數(shù)的坑，走過(guò)無(wú)數(shù)彎路。但在這個(gè)過(guò)程中，也積累了更多的對(duì)抗經(jīng)驗(yàn)”。實(shí)戰(zhàn)，是所有安全產(chǎn)品最重要的成長(zhǎng)之道。

如今，Anti-DDoS已是企業(yè)安全產(chǎn)品/服務(wù)中的“剛需”。就像Forrester在Now Tech報(bào)告中所說(shuō)：數(shù)字化轉(zhuǎn)型中，企業(yè)對(duì)應(yīng)用、云、網(wǎng)絡(luò)寬帶依賴(lài)程度只會(huì)越來(lái)越高，DDoS防護(hù)越來(lái)越成為保持業(yè)務(wù)收入、連續(xù)性、企業(yè)體驗(yàn)的基礎(chǔ)堡壘。

然而，許多企業(yè)對(duì)于DDoS服務(wù)選型仍處于“盲目期”。對(duì)此，F(xiàn)orrester建議企業(yè)去多看看服務(wù)提供商的規(guī)模、功能，從兩個(gè)維度，結(jié)合企業(yè)自身的體量、風(fēng)險(xiǎn)、預(yù)算來(lái)選。結(jié)合報(bào)告的內(nèi)容，本文會(huì)對(duì)阿里云DDoS 防護(hù)的技術(shù)亮點(diǎn)，和成長(zhǎng)思考，做一一解讀。

注：Now Tech報(bào)告收集兩百多家CSO或CIO的真實(shí)需求，劃定主流廠商的名單和分類(lèi)，最后從規(guī)模、功能、技術(shù)三個(gè)維度全面評(píng)估明星廠商。

從Now Tech報(bào)告出發(fā)。Forrester把全球主流DDoS服務(wù)商分為：CDN /DNS Providers，DDoS Pure Plays，Security Vendors和Service Providers（云+運(yùn)營(yíng)商）這四種，并指出了各自的優(yōu)劣對(duì)比。主要強(qiáng)調(diào)了DDoS緩解方案的四大所需能力（也是企業(yè)應(yīng)該考慮的四大指標(biāo)）：

對(duì)業(yè)務(wù)的深度理解：互聯(lián)網(wǎng)中任何業(yè)務(wù)都存在被攻擊的風(fēng)險(xiǎn)，只有對(duì)業(yè)務(wù)的理解更深入才能針對(duì)不同業(yè)務(wù)提供更精細(xì)有效的防護(hù)方案，保障業(yè)務(wù)在DDoS防護(hù)的同時(shí)平穩(wěn)無(wú)感知運(yùn)行，真正達(dá)到防護(hù)的目的。

DDoS攻擊威脅檢測(cè)能力：從企業(yè)角度，DDoS攻擊是被動(dòng)無(wú)預(yù)知地發(fā)生的，并且攻擊是突發(fā)的，所以，如何快速檢測(cè)攻擊并清洗攻擊流量是DDoS緩解方案的核心能力之一。

全球化部署：DDoS攻擊之所以稱(chēng)之為‘分布式’拒絕服務(wù)攻擊，正是因?yàn)镈DoS攻擊是從互聯(lián)網(wǎng)中各個(gè)區(qū)域匯聚起來(lái)針對(duì)同一個(gè)受害目標(biāo)，造成資源不對(duì)等堵塞業(yè)務(wù)入口或耗盡有限的計(jì)算資源。所以，更好的DDoS防護(hù)方案，也需要全球化部署來(lái)‘分布式’地對(duì)抗各個(gè)區(qū)域產(chǎn)生的攻擊，為被保護(hù)的全球化業(yè)務(wù)提供最佳方案。

防護(hù)方案完整度：近些年來(lái)，云化DDoS防護(hù)方案逐漸凸顯了其自身的優(yōu)勢(shì)，于此同時(shí)，部署在企業(yè)機(jī)房出口的傳統(tǒng)DDoS防護(hù)方案，也是整體防護(hù)流程中能與云端防護(hù)形成互補(bǔ)的重要組成部分。

在這四大能力的打磨上，阿里云DDoS防護(hù)的技術(shù)、業(yè)務(wù)，走的是一條100%自研、自成長(zhǎng)的道路。雖然對(duì)外商業(yè)化的時(shí)間是3年，但10多年對(duì)內(nèi)保障的經(jīng)歷，讓我們厚積薄發(fā)，借助云上優(yōu)勢(shì)，做到業(yè)界領(lǐng)先 (https://www.aliyun.com/produc...。

阿里巴巴最早的DDoS防護(hù)系統(tǒng)是從電子商務(wù)淘系業(yè)務(wù)保障中發(fā)展而來(lái)的，隨后又相繼保障了像支付寶、優(yōu)酷、新浪微博、陌陌、還有高德地圖等翹楚企業(yè)，業(yè)務(wù)遍及全行業(yè)。

經(jīng)過(guò)多年實(shí)踐驗(yàn)證和技術(shù)積累之后，孵化出了阿里云DDoS高防產(chǎn)品，可輕松應(yīng)對(duì)不同行業(yè)的各種復(fù)雜需求和場(chǎng)景。如今，我們?cè)诩夹g(shù)、業(yè)務(wù)和架構(gòu)上，還不斷保持著“實(shí)戰(zhàn)、創(chuàng)新”的基因。從去年開(kāi)始，我們正在發(fā)揮自身云計(jì)算的優(yōu)勢(shì)，針對(duì)政府、金融、游戲、互聯(lián)網(wǎng)的多維需求，推出“一體化方案”。

例如游戲行業(yè)，我們借助阿里云自研“彈性安全網(wǎng)絡(luò)”技術(shù)，推出了深入游戲業(yè)務(wù)的解決方案‘游戲盾’ —— 游戲盾獨(dú)有的“分層而治”的思想，使用端上的秒級(jí)調(diào)度技術(shù)，讓黑客在龐大的游戲盾安全大網(wǎng)中找不到攻擊的目標(biāo)，不用儲(chǔ)備海量的帶寬，也可以讓業(yè)務(wù)的影響降低到很小的地步。（游戲盾的三次技術(shù)演進(jìn)：https://linux.cn/thread-16530...）

在架構(gòu)上，基于阿里云CDN平臺(tái)，結(jié)合 DDoS高防清洗資源，形成了一張分布式的安全加速網(wǎng)絡(luò)，兼顧加速和大流量清洗防護(hù)需求。

基于自有技術(shù)，阿里云DDoS防護(hù)在云上構(gòu)建了三大系統(tǒng)：檢測(cè)、清洗、調(diào)度。

DDoS攻擊檢測(cè)系統(tǒng)：

自主研發(fā)DPI集群流量檢測(cè)系統(tǒng)Beaver，提供DPI級(jí)別的秒級(jí)攻擊檢測(cè)能力，為攻擊發(fā)現(xiàn)和攻擊分析提供了最細(xì)粒度的數(shù)據(jù)基礎(chǔ)，強(qiáng)大的集群可針對(duì)T級(jí)流量達(dá)到秒級(jí)識(shí)別攻擊的能力，這也是阿里云可以更快的清洗大流量攻擊的前提。

DDoS大流量清洗系統(tǒng)：

自主研發(fā)的T級(jí)清洗系統(tǒng)集群AliGuard，可以針對(duì)各種DDoS攻擊類(lèi)型提供相對(duì)應(yīng)的防護(hù)算法。Aliguard部署在阿里巴巴多個(gè)業(yè)務(wù)場(chǎng)景中，其中豐富的防護(hù)算法和運(yùn)營(yíng)系統(tǒng)，可以高效的處理海量攻擊，這套體系最為創(chuàng)新的地方在于其極高的效率，常見(jiàn)的流量型攻擊幾乎可以全自動(dòng)做到100%的清洗。

智能調(diào)度系統(tǒng)：

實(shí)時(shí)流量檢測(cè)，業(yè)務(wù)監(jiān)測(cè)，自主研發(fā)的智能調(diào)度系統(tǒng)，可以根據(jù)線路質(zhì)量實(shí)時(shí)地自動(dòng)調(diào)度流量到最優(yōu)轉(zhuǎn)發(fā)線路，最快速度避免各級(jí)網(wǎng)絡(luò)擁塞或突發(fā)的鏈路抖動(dòng)對(duì)企業(yè)業(yè)務(wù)的影響，并具備多地災(zāi)備機(jī)房調(diào)度能力，實(shí)現(xiàn)機(jī)房級(jí)別的分鐘級(jí)切換。

目前，阿里云在全球18個(gè)地域建立了43個(gè)可用區(qū)，為全球數(shù)十億用戶(hù)提供可靠的計(jì)算支持，是亞洲規(guī)模最大的云計(jì)算平臺(tái) —— DDoS防護(hù)能力也成了全球企業(yè)的必備。目前，阿里云DDoS防護(hù)網(wǎng)絡(luò)已經(jīng)覆蓋了全球主要區(qū)域，共13個(gè)大流量清洗中心，總清洗能力大于10Tbps。

云服務(wù)提供商中，在國(guó)內(nèi)阿里云首家提供BGP高防，實(shí)現(xiàn)對(duì)超大流量攻擊的防御；在海外，阿里云通過(guò)Anycast技術(shù)，整合分布式清洗能力并提高了業(yè)務(wù)的可用性，為全球企業(yè)保駕護(hù)航。

除了全球部署以外，阿里云的Anti-DDoS還有一大特點(diǎn)就是“默認(rèn)防護(hù)”。也就是說(shuō)，企業(yè)上云之后，就具備基礎(chǔ)的“抗DDoS架構(gòu)”，通過(guò)快速接入云上DDoS防護(hù)產(chǎn)品，就能快速開(kāi)啟能力，不用等，沒(méi)有天花板。

攻擊威脅情報(bào)也是基于云的優(yōu)勢(shì)實(shí)現(xiàn)的。阿里云每天抵御16億次攻擊，這些攻擊特征背后的黑客情報(bào)，僵尸網(wǎng)絡(luò)信息，輸入到機(jī)器學(xué)習(xí)算法模型中，生成最新的攻擊特征的分析，制定相應(yīng)的防護(hù)策略。

DDoS攻擊是資源與資源的對(duì)抗，更是人與人的對(duì)抗。當(dāng)黑客手中掌握著全球的僵尸網(wǎng)絡(luò)資源，在對(duì)抗中往往需要聯(lián)合更多的廠商一起協(xié)同，這也是作為服務(wù)商的一份責(zé)任。

阿里云非常重視全球合作伙伴的拓展，包括中國(guó)電信、中國(guó)聯(lián)通、香港電訊盈科（PCCW）、綠盟、安恒在內(nèi)的運(yùn)營(yíng)商和服務(wù)商，均與阿里云在Anti-DDoS領(lǐng)域達(dá)成緊密合作，一起為企業(yè)提供專(zhuān)業(yè)、一體化服務(wù)。（http://www.g.com.cn/tech/2052...）

目前，阿里云DDoS防護(hù)產(chǎn)品平均每天抵御 3000+起DDoS攻擊事件，2017年，成功抵御的最大攻擊峰值為758.6Gbps。然而，數(shù)字對(duì)我們來(lái)說(shuō)，只是昨天的一個(gè)腳印而已，真正需要我們關(guān)注的是未來(lái)的威脅，和如何解決它。

我們發(fā)現(xiàn)，近幾年來(lái)，隨著反射型DDoS攻擊的爆發(fā)，發(fā)起大流量DDoS攻擊的成本越來(lái)越低，攻擊也越來(lái)越大 —— 意味著攻防資源上的不平等情況將進(jìn)一步被放大。

作為服務(wù)商，一方面，DDoS防護(hù)需要能調(diào)動(dòng)全球資源，用分布式的方法，處理分布式的攻擊；另一方面，要深入到行業(yè)、業(yè)務(wù)本身，“低到泥土中去”，才能想出創(chuàng)新的辦法，提煉出有針對(duì)性的方案。最終，阿里云的DDoS防護(hù)想帶來(lái)的改變是：撬動(dòng)DDoS攻防的天平，讓企業(yè)用更小的成本，在更安全的互聯(lián)網(wǎng)中拓展業(yè)務(wù)。http://finance.jrj.com.cn/tec...

本文作者：云安全2016

原文鏈接

本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。