阿里雲DDoS高防的演進：防護效果成核心

分佈式拒絕服務(DDoS)攻擊這一網絡公敵，是任何互聯網業務的重大威脅。隨着DDoS攻擊工具化的發展，不管是簡單野蠻的流量型攻擊，仍是複雜精巧的應用型攻擊，黑客發起DDoS攻擊變得愈來愈簡單和自動化。面對頻發的以T爲單位的DDoS攻擊，大多數互聯網服務組織沒有足夠的帶寬資源來有效抵禦攻擊，頗感無奈和絕望。

阿里雲高防誕生之初的願景就是消滅互聯網DDoS。面對不斷加強的DDoS攻擊，魔高一尺，道高一丈，在過去的2018年，阿里云云盾高防在網絡、攻防對抗、數據可視化等方面作了持續創新和升級，爲用戶的安全保駕護航。

全球網絡升級:T級BGP帶寬，提升響應速度和穩定性

網絡&帶寬是DDoS防禦的首要考慮因素。目前國內主流高防機房分爲：靜態單線機房和BGP多線機房。靜態單線機房購買成本適中，防禦帶寬較大，但訪問質量通常，容災不足；BGP多線機房訪問質量最優，支持自動容災，但購買成本昂貴，防禦帶寬相對較小。低成本T級BGP高防逐步成爲DDoS防禦的首選。

目前，阿里雲已在全球範圍內升級雲盾高防網絡，以提升響應速度和穩定性。在國內，雲盾主推新BGP高防，突破了現有BGP高防防禦帶寬小、購買成本昂貴等不足。相比傳統靜態高防優點更明顯，主要體如今更好的網絡穩定性和交付體驗上。

在國際上，雲盾高防全面升級成BGP Anycast高防網絡。充分利用阿里雲全球清洗中心的能力，採用分佈式技術將DDoS攻擊流量自動牽引至距離攻擊源最近的清洗中心進行清洗，同時也具有多機房自動容災的能力。

防禦智能化升級:提升接入場景覆蓋面和防禦成功率，下降成本

層出不窮的互聯網新業務場景推進着技術的快速發展：爲了更安全，大多數網站都從HTTP過渡到HTTPS；伴隨社交類APP、彈幕、視頻直播類、共享單車、智能物聯網等低延遲，高實時性業務的興起， websocket、websockets 、http2.0應運而生。新業務場景進行DDoS防禦遇到的最大問題是如何快速接入高防產品。目前，阿里雲對雲盾高防產品進行了全面防禦升級，接入場景覆蓋更加全面，支持狀況以下：

同時，業務範圍越廣的企業遭遇的DDoS攻擊就越複雜。面對來勢洶洶的攻擊，雲盾高防產品在防禦智能化方面作了全新升級，四招「禦敵」，遠可攻近可守，防禦成功率更高：

1. 近源清洗：與運營商合做創建防禦生態圈，在源頭上進行清洗，近攻擊點的第一層防禦；
2. 流量封禁：可按區域或協議進行自定義封禁，或根據僵屍網絡威脅情報進行自動封禁，近攻擊點的第二層防禦；
3. 智能四層防禦：自動學習正常業務流量並創建模型，攻擊流量無所遁形；
4. 智能WEB防禦：智能識別攻擊報文特徵，精準匹配過濾攻擊流量。

在提高防禦效果的同時，進一步下降用戶成本，讓愈來愈多的互聯網服務組織選擇將業務常態化經過高防進行防禦和轉發。

數據可視化升級:攻防數據實現數據化、可視化、透明化

不少企業在遇到DDoS攻擊的時候但願能完整記錄下攻擊的詳細日誌，一方面能夠進行快速有效的實時分析，進一步改進防禦效果；另外一方面也便於後續取證和溯源，變被動防守爲主動對抗。這種「看得見」的能力愈來愈獲得企業客戶的青睞。

目前，雲盾高防依託於日誌服務提供網站業務全量日誌的實時採集、秒級查詢和深度分析，實現DDoS攻擊防禦數據化、透明化和可視化。實時展現被保護網站的整體運營情況和被訪問情況，包括有效請求情況、流量趨勢、CC攻擊分佈、PV/UV趨勢、訪問者分佈、流量線路分佈等數據，幫助用戶在遭遇DDoS攻擊時完整地記錄下詳細日誌，並對關鍵業務或攻擊進行深刻分析。

阿里雲的一直致力於在下降客戶使用成本的同時提高產品能力。在五年前的安全市場上，客戶防護300G DDoS攻擊的費用須要上百萬，而今天，成本已經降低了數十倍，而且能夠實現自助購買。在成本下降的同時，阿里雲承諾實現無限抗，目標是幫助用戶有效防住DDoS攻擊，而不是單純的以防護流量模式售賣產品。

若是您被DDoS攻擊勒索，阿里雲提供免費的24小時技術支持服務，爲用戶業務保駕護航。

 

---

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。