從保障淘寶到全球市場「第一陣營」，阿里雲的DDoS防禦之路走了多遠？

摘要： 2年前，很多技術圈的朋友，讀過論壇裏的一篇解讀文章：DDoS，阿里爲何要走本身的一條路（https://bbs.aliyun.com/read/271764.html?pos=13），文章講述了阿里巴巴爲何決定研發本身的DDoS清洗系統，阿里雲DDoS防禦業務的誕生，以及阿里雲Anti-DDoS產品團隊 在雲上DDoS檢測、防護的一些思考。

2年後，Forrester發佈Now Tech: DDoS Mitigation Solutions, Q2 2018報告，阿里雲、A10 Networks、Akamai、Arbor和Radware進入「第一市場陣營」 —— 誕生3年，年輕的咱們與老牌DDoS服務提供商一塊兒，共同接受全球市場的檢驗。這也意味着，全球大型企業開始承認雲上DDoS防禦的綜合實力。

回望成長曆程，2年前那篇博文中有一句話讓人感觸頗深： 「在長期跟DDoS對抗中，咱們踩過無數的坑，走過無數彎路。但在這個過程當中，也積累了更多的對抗經驗」。實戰，是全部安全產品最重要的成長之道。

現在，Anti-DDoS已經是企業安全產品/服務中的「剛需」。就像Forrester在Now Tech報告中所說：數字化轉型中，企業對應用、雲、網絡寬帶依賴程度只會愈來愈高，DDoS防禦愈來愈成爲保持業務收入、連續性、企業體驗的基礎堡壘。

然而，許多企業對於DDoS服務選型仍處於「盲目期」。對此，Forrester建議企業去多看看服務提供商的規模、功能，從兩個維度，結合企業自身的體量、風險、預算來選。結合報告的內容，本文會對阿里雲DDoS 防禦的技術亮點，和成長思考，作一一解讀。

注：Now Tech報告收集兩百多家CSO或CIO的真實需求，劃定主流廠商的名單和分類，最後從規模、功能、技術三個維度全面評估明星廠商。

從Now Tech報告出發。Forrester把全球主流DDoS服務商分爲：CDN /DNS Providers，DDoS Pure Plays，Security Vendors和Service Providers（雲+運營商）這四種，並指出了各自的優劣對比。主要強調了DDoS緩解方案的四大所需能力（也是企業應該考慮的四大指標）：

對業務的深度理解：互聯網中任何業務都存在被攻擊的風險，只有對業務的理解更深刻才能針對不一樣業務提供更精細有效的防禦方案，保障業務在DDoS防禦的同時平穩無感知運行，真正達到防禦的目的。

DDoS攻擊威脅檢測能力：從企業角度，DDoS攻擊是被動無預知地發生的，而且攻擊是突發的，因此，如何快速檢測攻擊並清洗攻擊流量是DDoS緩解方案的核心能力之一。

全球化部署：DDoS攻擊之因此稱之爲‘分佈式’拒絕服務攻擊，正是由於DDoS攻擊是從互聯網中各個區域匯聚起來針對同一個受害目標，形成資源不對等堵塞業務入口或耗盡有限的計算資源。因此，更好的DDoS防禦方案，也須要全球化部署來‘分佈式’地對抗各個區域產生的攻擊，爲被保護的全球化業務提供最佳方案。

防禦方案完整度：近些年來，雲化DDoS防禦方案逐漸凸顯了其自身的優點，於此同時，部署在企業機房出口的傳統DDoS防禦方案，也是總體防禦流程中能與雲端防禦造成互補的重要組成部分。

在這四大能力的打磨上，阿里雲DDoS防禦的技術、業務，走的是一條100%自研、自成長的道路。雖然對外商業化的時間是3年，但10多年對內保障的經歷，讓咱們厚積薄發，藉助雲上優點，作到業界領先 (https://www.aliyun.com/product/ddos)。

1、從保護阿里到保護客戶：從業務實戰中來，再到業務實戰中去創新

阿里巴巴最先的DDoS防禦系統是從電子商務淘系業務保障中發展而來的，隨後又相繼保障了像支付寶、優酷、新浪微博、陌陌、還有高德地圖等翹楚企業，業務遍佈全行業。

通過多年實踐驗證和技術積累以後，孵化出了阿里雲DDoS高防產品，可輕鬆應對不一樣行業的各類複雜需求和場景。現在，咱們在技術、業務和架構上，還不斷保持着「實戰、創新」的基因。從去年開始，咱們正在發揮自身雲計算的優點，針對政府、金融、遊戲、互聯網的多維需求，推出「一體化方案」。

例如遊戲行業，咱們藉助阿里雲自研「彈性安全網絡」技術，推出了深刻遊戲業務的解決方案‘遊戲盾’ —— 遊戲盾獨有的「分層而治」的思想，使用端上的秒級調度技術，讓黑客在龐大的遊戲盾安全大網中找不到攻擊的目標，不用儲備海量的帶寬，也可讓業務的影響下降到很小的地步。（遊戲盾的三次技術演進：https://linux.cn/thread-16530-1-1.html）

在架構上，基於阿里雲CDN平臺，結合 DDoS高防清洗資源，造成了一張分佈式的安全加速網絡，兼顧加速和大流量清洗防禦需求。

2、清洗技術徹底自主研發，根據業務需求快速更新迭代

基於自有技術，阿里雲DDoS防禦在雲上構建了三大系統：檢測、清洗、調度。

DDoS攻擊檢測系統：

自主研發DPI集羣流量檢測系統Beaver，提供DPI級別的秒級攻擊檢測能力，爲攻擊發現和攻擊分析提供了最細粒度的數據基礎，強大的集羣可針對T級流量達到秒級識別攻擊的能力，這也是阿里雲能夠更快的清洗大流量攻擊的前提。

DDoS大流量清洗系統：

自主研發的T級清洗系統集羣AliGuard，能夠針對各類DDoS攻擊類型提供相對應的防禦算法。Aliguard部署在阿里巴巴多個業務場景中，其中豐富的防禦算法和運營系統，能夠高效的處理海量攻擊，這套體系最爲創新的地方在於其極高的效率，常見的流量型攻擊幾乎能夠全自動作到100%的清洗。

智能調度系統：

實時流量檢測，業務監測，自主研發的智能調度系統，能夠根據線路質量實時地自動調度流量到最優轉發線路，最快速度避免各級網絡擁塞或突發的鏈路抖動對企業業務的影響，並具有多地災備機房調度能力，實現機房級別的分鐘級切換。

3、戰略佈局全球，將雲的優點發揮到極致

目前，阿里雲在全球18個地域創建了43個可用區，爲全球數十億用戶提供可靠的計算支持，是亞洲規模最大的雲計算平臺 —— DDoS防禦能力也成了全球企業的必備。目前，阿里雲DDoS防禦網絡已經覆蓋了全球主要區域，共13個大流量清洗中心，總清洗能力大於10Tbps。

雲服務提供商中，在國內阿里雲首家提供BGP高防，實現對超大流量攻擊的防護；在海外，阿里雲經過Anycast技術，整合分佈式清洗能力並提升了業務的可用性，爲全球企業保駕護航。

除了全球部署之外，阿里雲的Anti-DDoS還有一大特色就是「默認防禦」。也就是說，企業上雲以後，就具有基礎的「抗DDoS架構」，經過快速接入雲上DDoS防禦產品，就能快速開啓能力，不用等，沒有天花板。

攻擊威脅情報也是基於雲的優點實現的。阿里雲天天抵禦16億次攻擊，這些攻擊特徵背後的黑客情報，僵屍網絡信息，輸入到機器學習算法模型中，生成最新的攻擊特徵的分析，制定相應的防禦策略。

4、廠商攜手構築生態鏈，實現雲上雲下結合

DDoS攻擊是資源與資源的對抗，更是人與人的對抗。當黑客手中掌握着全球的僵屍網絡資源，在對抗中每每須要聯合更多的廠商一塊兒協同，這也是做爲服務商的一份責任。

阿里雲很是重視全球合做夥伴的拓展，包括中國電信、中國聯通、香港電訊盈科（PCCW）、綠盟、安恆在內的運營商和服務商，均與阿里雲在Anti-DDoS領域達成緊密合做，一塊兒爲企業提供專業、一體化服務。（http://www.g.com.cn/tech/20523107/）

總結

目前，阿里雲DDoS防禦產品平均天天抵禦 3000+起DDoS攻擊事件，2017年，成功抵禦的最大攻擊峯值爲758.6Gbps。然而，數字對咱們來講，只是昨天的一個腳印而已，真正須要咱們關注的是將來的威脅，和如何解決它。

咱們發現，近幾年來，隨着反射型DDoS攻擊的爆發，發起大流量DDoS攻擊的成本愈來愈低，攻擊也愈來愈大 —— 意味着攻防資源上的不平等狀況將進一步被放大。

做爲服務商，一方面，DDoS防禦須要能調動全球資源，用分佈式的方法，處理分佈式的攻擊；另外一方面，要深刻到行業、業務自己，「低到泥土中去」，才能想出創新的辦法，提煉出有針對性的方案。最終，阿里雲的DDoS防禦想帶來的改變是：撬動DDoS攻防的天平，讓企業用更小的成本，在更安全的互聯網中拓展業務。http://finance.jrj.com.cn/tech/2017/08/17152222954754.shtml

原文連接