近年來，越來越頻繁的DDoS攻擊，給海內(nèi)外的運營商和企業(yè)業(yè)務(wù)帶來巨大安全挑戰(zhàn)。最嚴(yán)重的一次在2013年3月，歐洲遭遇史上最大DDoS攻擊，達(dá)300Gbps。然而，傳統(tǒng)的“引流回注”清洗方案已無法抵御，帶著300G的攻擊流量在整個歐洲網(wǎng)絡(luò)中穿行尋找清洗點, 最后導(dǎo)致整個歐洲的運營商網(wǎng)絡(luò)的擁塞。

在這件安全事故里，中國也未能幸免。數(shù)據(jù)顯示，上海聯(lián)通服務(wù)的企業(yè)客戶超47000家，攻擊造成的業(yè)務(wù)中斷將給企業(yè)帶來巨大經(jīng)濟損失。因此，為了杜絕類似事件，上海聯(lián)通選擇與華為合作，打造“云清洗”服務(wù)產(chǎn)品，突破傳統(tǒng)“引流回注”清洗方案，從源頭防御DDoS攻擊。

打破傳統(tǒng)方案 三把刃劍護(hù)航

DDoS云清洗服務(wù)產(chǎn)品采用華為基于SDN技術(shù)的Anti-DDoS云清洗方案，不同于傳統(tǒng)的“引流回注”清洗方案，它無需帶著攻擊流量在整個網(wǎng)絡(luò)中穿行，而是利用SDN感知方式進(jìn)行最優(yōu)資源調(diào)度，從攻擊源頭上防御DDoS。

上海聯(lián)通產(chǎn)品管理中心產(chǎn)品總監(jiān)魏尚俊指出，上海聯(lián)通在與華為構(gòu)建云清洗方案時，看中了三點：第一是高容量，上海聯(lián)通跟業(yè)界的各種安全專家企業(yè)方案設(shè)計上，一般普通的云清洗設(shè)備在幾十G左右，而華為可以擴展到T級別；第二，華為方案采用了大數(shù)據(jù)分析技術(shù)，通過華為專業(yè)的安全團隊分析全球最新的攻擊工具，對僵尸網(wǎng)絡(luò)活動進(jìn)行追蹤，然后將研究結(jié)果以僵尸網(wǎng)絡(luò)IP信譽、攻擊特征庫的形式更新到現(xiàn)網(wǎng)設(shè)備，讓防護(hù)更加高效和精確；第三，華為方案采用了SDN技術(shù)，可基于源頭過濾攻擊流量，亦可實現(xiàn)智能引流清洗，在發(fā)生大流量DDoS攻擊時，最大限度地保護(hù)聯(lián)通的網(wǎng)絡(luò)帶寬。

上海聯(lián)通產(chǎn)品管理中心產(chǎn)品總監(jiān)魏尚俊

具體而言，魏尚俊表示，傳統(tǒng)DDoS攻擊與新型攻擊在方式?jīng)]有區(qū)別，但在防御上卻存在差異。傳統(tǒng)防御技術(shù)最終是依靠動態(tài)生成的黑名單阻斷建立TCP連接的攻擊源，但黑名單技術(shù)不能應(yīng)用到移動應(yīng)用防護(hù)上。

而華為主要采用應(yīng)用動態(tài)指紋學(xué)習(xí)技術(shù)、以及攻擊特征靜態(tài)匹配過濾技術(shù)，通過在會話上智能丟包，觸發(fā)對方智能終端的TCP擁塞機制，讓攻擊端TCP/IP協(xié)議棧認(rèn)為服務(wù)器這邊網(wǎng)絡(luò)出現(xiàn)擁塞，自動放緩發(fā)包速度，最終會停止發(fā)包。“該技術(shù)早在2012年，阿里云做測試時就發(fā)現(xiàn)：動態(tài)指紋學(xué)習(xí)和會話結(jié)合實現(xiàn)的智能丟包的防御技術(shù)針對來自移動終端的應(yīng)用層DDOS攻擊具有強大的防御能力。” 魏尚俊介紹道。

不僅如此，該“云清洗”產(chǎn)品結(jié)合大數(shù)據(jù)分析技術(shù)，從60多種維度對全網(wǎng)絡(luò)流量進(jìn)行精細(xì)化分析，一旦流量出現(xiàn)異常，將在2秒級內(nèi)快速響應(yīng)，支持SDN感知方式，通過優(yōu)化資源調(diào)度實現(xiàn)云端清洗。

逐個擊破 創(chuàng)新增值并進(jìn)

在運營過程中，魏尚俊指出，上海聯(lián)通對華為的Anti-DDoS解決方案積累了一套熟練的運營經(jīng)驗，如：提供大客戶安全攻防報表推送、大客戶攻防演練等更服務(wù)，讓客戶不斷增加安全防護(hù)意識。

魏尚俊回憶，在一次客戶參與的攻防演練中，客戶故意在2G的流量中混合了2M的攻擊流量，云清洗居然能快速響應(yīng)、精準(zhǔn)清洗，客戶都為此信服不已。

在華為安全產(chǎn)品和技術(shù)團隊的支撐下，上海聯(lián)通已經(jīng)成功開展DDoS云清洗服務(wù)增值業(yè)務(wù)，自業(yè)務(wù)上線以來，上海聯(lián)通每年防護(hù)DDoS數(shù)萬次，且服務(wù)模式不斷創(chuàng)新。

“后期上海聯(lián)通將會對不同客戶采用差異化的防護(hù)策略。” 魏尚俊透露，“我們不僅僅在城域網(wǎng)采用逐包檢測+清洗的防護(hù)方案對的IDC、ISP客戶提供防護(hù)服務(wù)。一些重要的VIP客戶，我們還會考慮在客戶網(wǎng)絡(luò)接入處增加一個小型硬件設(shè)備，實現(xiàn)檢測及客戶網(wǎng)絡(luò)帶寬范圍內(nèi)攻擊清洗，真正實現(xiàn)云清洗。”

堅持“被集成” 致力于最優(yōu)方案

一直堅持“被集成”的華為，秉承的是與合作伙伴實現(xiàn)共贏。面對日趨兇猛的DDoS攻擊，華為也在不斷優(yōu)化和升級其產(chǎn)品方案。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線副總裁劉立柱表示，華為安全產(chǎn)品團隊一直致力于為客戶提供最優(yōu)的Anti-DDoS安全解決方案：

一是從自身的硬件設(shè)備上不斷提升處理能力；二是在解決方案上逐漸轉(zhuǎn)向SDN感知的方式，在攻擊源頭上實現(xiàn)動態(tài)分布式的DDoS防御；三是面對聯(lián)通運營規(guī)模的不斷擴大，應(yīng)急響應(yīng)量的增加，華為同聯(lián)通將進(jìn)行更深入的合作，包括提供安全業(yè)務(wù)規(guī)劃咨詢、應(yīng)急響應(yīng)服務(wù)等，為聯(lián)通的企業(yè)客戶提供更加貼身和快速響應(yīng)的安全防護(hù)方案。