華為Anti-DDoS方案保障阿里巴巴雙11購物狂歡

　　350億的大交易

　　2013年11月11日（“雙11”）天，阿里巴巴交易額超過350億元，交易超過1.88億筆，峰值超過79萬人在一分鐘同時完成交易，1/4交易來自移動終端，阿里巴巴雙11交易的交易額是美國“黑色星期五”線上交易的4倍多，創(chuàng)造了阿里巴巴網(wǎng)絡(luò)交易新紀錄。

　　據(jù)阿里巴巴的統(tǒng)計數(shù)據(jù)顯示，2012年，阿里巴巴的電子商務(wù)與支付平臺平均每天處理2400萬筆交易，年處理交易額超過10000億元，是eBay和亞馬遜全年交易額之和。

　　除了阿里巴巴集團傳統(tǒng)淘寶、天貓、支付寶等關(guān)鍵的在線業(yè)務(wù)交易系統(tǒng)外，阿里巴巴云計算業(yè)務(wù)對外中小企業(yè)、開發(fā)者提供云服務(wù)。截至2013年11月，阿里巴巴云計算平臺已為超過10萬個業(yè)務(wù)系統(tǒng)提供服務(wù)，這些業(yè)務(wù)系統(tǒng)基本上覆蓋了互聯(lián)網(wǎng)上所能看到的所有的業(yè)務(wù)類型。如此巨大的業(yè)務(wù)量對阿里巴巴平臺的性能和可靠性提出了巨大的挑戰(zhàn)，平臺的穩(wěn)定性和安全性變得尤為突出。

　　“安保”方案，責任重大

　　阿里巴巴每天遭受上億次的惡意入侵與網(wǎng)絡(luò)攻擊，其中DDoS攻擊往往會造成，網(wǎng)絡(luò)中斷、服務(wù)器癱瘓等嚴重的后果，直接影響到其經(jīng)濟收益和品牌影響力，是對阿里巴巴業(yè)務(wù)危害最為嚴重的攻擊之一。“分層立體”是阿里巴巴安全防護架構(gòu)思想，防護DDoS攻擊是阿里整個安全防護體系的重中之重。

　　一次精心策劃的黑客攻擊，往往都是由DDoS攻擊開始，然后再伴隨著入侵、掛馬、數(shù)據(jù)竊取等深層次動作；而一些瘋狂的黑客，甚至會采用大流量DDoS攻擊擁塞網(wǎng)絡(luò)與系統(tǒng)資源來達到攻擊目的。因此對于阿里巴巴來說，選擇一個合適的DDoS防護方案是非常重要，條件也是非�？量痰模�

　　第一，要有快速發(fā)現(xiàn)DDoS，并進行精準防護的能力

　　阿里巴巴客戶主要以中小企業(yè)、電商、游戲運營開發(fā)者，全部業(yè)務(wù)是在線業(yè)務(wù)，對業(yè)務(wù)的連續(xù)性要求高，因此在眾多的訪問中，快速的定位出DDoS攻擊，并進行精準的防護，否則就會出現(xiàn)業(yè)務(wù)訪問延時大、中斷、客戶流失、經(jīng)濟損失等嚴重后果，甚至直接導(dǎo)致一個企業(yè)的滅亡。因此，適合阿里巴巴的 DDoS防護方案必須快速響應(yīng)，精準防護，而且能夠根據(jù)不同的業(yè)務(wù)，提供差異化的防護策略。只有這樣，該系統(tǒng)才能為更多的客戶提供更安全的土壤，為阿里巴巴帶來更多的客戶資源。

　　第二，必須具高性能和彈性的擴展能力

　　在DDoS攻擊來臨時，阿里巴巴云計算服務(wù)面臨僵尸網(wǎng)絡(luò)的海量惡意請求，服務(wù)器疲于響應(yīng)惡意請求，無法為正常用戶提供服務(wù)，甚至存在數(shù)據(jù)中心客戶業(yè)務(wù)中斷、云計算平臺癱瘓等風險。抗DDoS方案作為阿里云數(shù)據(jù)中心的大門守護神，必須將DDoS洪水阻擋在門外，同時更不能出現(xiàn)，在DDoS防護時自身性能不足，成為阿里整個平臺的性能瓶頸，會造用戶成時延增大、用戶訪問差，影響正常用戶的情況。此外，該方案要能夠隨著阿里巴巴云計算平臺彈性擴展需求進行防護性能的彈性擴展，滿足其業(yè)務(wù)3-5年的發(fā)展需求。

　　第三，快速部署，方便運營的能力

　　阿里巴巴的云計算平臺客戶業(yè)務(wù)已經(jīng)超過10萬個，后續(xù)還會快速增長，這些客戶的業(yè)務(wù)以社區(qū)網(wǎng)站、企業(yè)官網(wǎng)、電子商務(wù)網(wǎng)站、游戲等為主，業(yè)務(wù)流量大小規(guī)模相差懸殊，業(yè)務(wù)運營模式差異較大，因此，靈活的業(yè)務(wù)自助方式以及簡單方便的使用維護，對DDoS的安全服務(wù)起著決定性作用。

　　同時，能夠?qū)�DDoS安全業(yè)務(wù)無縫地適配到阿里云服務(wù)平臺，并對外提供，是阿里巴巴對DDoS方案挑選的重要依據(jù)。

　　為了搭建一個適合阿里巴巴業(yè)務(wù)發(fā)展與防護要求的DDoS防護體系，阿里巴巴也曾試圖自己研發(fā)適合自己的DDoS防護系統(tǒng)，同時也在國內(nèi)外多個家廠商中，進行了多輪篩選，不是性能不能滿足阿里巴巴的需求（阿里巴巴的防護需求都是100Gbps級別的，而業(yè)界同類廠商基本上都是不超過20Gbps的產(chǎn)品，無奈~~~），就是防護精準度（不能基于業(yè)務(wù)、基于租戶防護）和彈性擴展（業(yè)界同類廠商基本上不能實現(xiàn)彈性進行性能擴展）能力上與阿里巴巴的需求不匹配。

　　華為方案更勝一籌

　　在阿里巴巴苦苦尋覓DDoS防護方案時，一次大型DDoS攻擊在“圈內(nèi)”引起轟動，但被攻擊者成功防護了此次攻擊，引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知使用的正式華為的Anti-DDoS方案。在與華為安全人員的多輪交流中，阿里巴巴對華為的Anti-DDoS解決方案產(chǎn)生了濃厚的興趣，開啟了漫長的POC測試工作。

　　阿里巴巴內(nèi)部幾十人的DDoS安全防護專家，將自己在現(xiàn)網(wǎng)上收集到的所有的攻擊報文，在POC測試中，進行了一一回訪，華為的Anti-DDoS方案均能夠成功防護，阿里巴巴的安全專家似乎被華為的Anti-DDoS方案深深的吸引住了。隨著測試的深入，基于租戶的防護策略，流量模型學習，詳細的報表功能，用起來也很方便，阿里巴巴的安全專家完全不用華為工程師的幫忙就可以完成測試了。

　　在測試過程中，阿里巴巴工程師，結(jié)合阿里巴巴的業(yè)務(wù)特點，模擬現(xiàn)網(wǎng)常常業(yè)務(wù)流量模型，在數(shù)10G正常流量背景下，測試50Mbps的小流量攻擊，華為的Anti-DDoS能夠?qū)崿F(xiàn)2秒鐘精準的識別；同時針對特定HTTP業(yè)務(wù)，采用攻擊攻擊進行進行應(yīng)用型慢速、慢鏈接的DDoS攻擊，華為的Anti-DDoS方案能夠快速的自動學習到攻擊特征，進行精準防護。通過移動智能終端訪問業(yè)務(wù)的流量越來越大，之前有廠商在測試過程中，出現(xiàn)防護影響智能終端用戶正常業(yè)務(wù)的情況，阿里在測試過程中，特意加強了華為方案防護對智能終端影響的測試用例，華為方案均能夠一一成功處理攻擊留情，并不影響終端用戶訪問。

　　在經(jīng)過功能測試完成之后，阿里巴巴需要對華為Anti-DDoS的方案進行性能壓力測試，先是在測試環(huán)境下采用測試儀器發(fā)攻擊流量方式進行，華為Anti-DDoS配置2塊業(yè)務(wù)板卡居然能夠成功防御20Gbps的64字節(jié)的SYN Flood攻擊，應(yīng)用層攻擊防護性能更是能夠達到40Gbps，已經(jīng)是業(yè)界同類廠商防護水平的2倍以上了，而且隨著業(yè)務(wù)板卡增加這一性能能夠線性提升到200Gbps，簡直太棒了。

　　“真金不怕火煉”。恰逢阿里巴巴現(xiàn)網(wǎng)業(yè)務(wù)遭受一輪DDoS攻擊，阿里巴巴緊急將華為Anti-DDoS方案部署線上，進行現(xiàn)網(wǎng)被攻擊服務(wù)器流量引致此方案進行防護，華為Anti-DDoS在2秒內(nèi)，實現(xiàn)攻擊流量全部清洗，并且對正常用戶訪問沒有絲毫影響，效果太理想了。阿里巴巴的安全專家都為此感到振奮，漫長的Anti-DDoS解決方案選型也至此畫上了圓滿的句號。自此以后，華為Anti-DDoS方案在阿里巴巴就沒有再下過線。

　　歷經(jīng)考驗，值得信賴

　　阿里巴巴現(xiàn)網(wǎng)多個數(shù)據(jù)中心出口，部署有華為的Anti-DDoS解決方案，總防護性能數(shù)百G，平均每天防護的DDoS攻擊次數(shù)超100次，每年DDoS攻擊防護次達數(shù)萬次，峰值防護的DDoS攻擊流量超100Gbps。如今，DDoS攻擊在阿里巴巴的安全工程師眼里已經(jīng)習以為常的事情了，由華為Anti-DDoS方案自動調(diào)度進行清洗防護即可，需要他們做的無非是事后看看報告而已。

　　哪怕是在2013年11月11日當天，阿里巴巴的安全團隊成員仍然能夠在“雙11”當天從容的正常上下班。第二天報告匯報下阿里巴巴雙11當天經(jīng)歷了多輪DDoS攻擊事件，峰值攻擊流量超過19Gbps，最小的攻擊流量500Mbps。事實證明華為Anti-DDoS方案在雙11當天，一如既往的成功防護了多輪DDoS攻擊事件，有力的保障了阿里巴巴雙11網(wǎng)絡(luò)交易順暢平穩(wěn)，是值得用戶信賴的DDoS防護方案。

　　“華為的Anti-DDoS解決方案每年幫我們防護的DDoS攻擊次數(shù)超過4萬次，平均每天的防護的攻擊次數(shù)超100次，最高防御100G的超大流量攻擊，該系統(tǒng)功能強大，防護精準，也很好用。”

　　阿里巴巴 集團高級安全專家 魏興國