摘要：目前，阿里云防護網絡已經覆蓋了全球主要區(qū)域，共個大流量清洗中心，總清洗能力大于。除了全球部署以外，阿里云的還有一大特點就是默認防護?？偨Y目前，阿里云防護產品平均每天抵御起攻擊事件，年，成功抵御的最大攻擊峰值為。

2年前，不少技術圈的朋友，讀過論壇里的一篇解讀文章：DDoS，阿里為什么要走自己的一條路（https://bbs.aliyun.com/read/2...），文章講述了阿里巴巴為什么決定研發(fā)自己的DDoS清洗系統(tǒng)，阿里云DDoS防護業(yè)務的誕生，以及阿里云Anti-DDoS產品團隊在云上DDoS檢測、防御的一些思考。

2年后，Forrester發(fā)布Now Tech: DDoS Mitigation Solutions, Q2 2018報告，阿里云、A10 Networks、Akamai、Arbor和Radware進入“第一市場陣營” —— 誕生3年，年輕的我們與老牌DDoS服務提供商一起，共同接受全球市場的檢驗。這也意味著，全球大型企業(yè)開始認可云上DDoS防護的綜合實力。

回望成長歷程，2年前那篇博文中有一句話讓人感觸頗深： “在長期跟DDoS對抗中，我們踩過無數的坑，走過無數彎路。但在這個過程中，也積累了更多的對抗經驗”。實戰(zhàn)，是所有安全產品最重要的成長之道。

如今，Anti-DDoS已是企業(yè)安全產品/服務中的“剛需”。就像Forrester在Now Tech報告中所說：數字化轉型中，企業(yè)對應用、云、網絡寬帶依賴程度只會越來越高，DDoS防護越來越成為保持業(yè)務收入、連續(xù)性、企業(yè)體驗的基礎堡壘。

然而，許多企業(yè)對于DDoS服務選型仍處于“盲目期”。對此，Forrester建議企業(yè)去多看看服務提供商的規(guī)模、功能，從兩個維度，結合企業(yè)自身的體量、風險、預算來選。結合報告的內容，本文會對阿里云DDoS 防護的技術亮點，和成長思考，做一一解讀。

注：Now Tech報告收集兩百多家CSO或CIO的真實需求，劃定主流廠商的名單和分類，最后從規(guī)模、功能、技術三個維度全面評估明星廠商。

從Now Tech報告出發(fā)。Forrester把全球主流DDoS服務商分為：CDN /DNS Providers，DDoS Pure Plays，Security Vendors和Service Providers（云+運營商）這四種，并指出了各自的優(yōu)劣對比。主要強調了DDoS緩解方案的四大所需能力（也是企業(yè)應該考慮的四大指標）：

對業(yè)務的深度理解：互聯網中任何業(yè)務都存在被攻擊的風險，只有對業(yè)務的理解更深入才能針對不同業(yè)務提供更精細有效的防護方案，保障業(yè)務在DDoS防護的同時平穩(wěn)無感知運行，真正達到防護的目的。

DDoS攻擊威脅檢測能力：從企業(yè)角度，DDoS攻擊是被動無預知地發(fā)生的，并且攻擊是突發(fā)的，所以，如何快速檢測攻擊并清洗攻擊流量是DDoS緩解方案的核心能力之一。

全球化部署：DDoS攻擊之所以稱之為‘分布式’拒絕服務攻擊，正是因為DDoS攻擊是從互聯網中各個區(qū)域匯聚起來針對同一個受害目標，造成資源不對等堵塞業(yè)務入口或耗盡有限的計算資源。所以，更好的DDoS防護方案，也需要全球化部署來‘分布式’地對抗各個區(qū)域產生的攻擊，為被保護的全球化業(yè)務提供最佳方案。

防護方案完整度：近些年來，云化DDoS防護方案逐漸凸顯了其自身的優(yōu)勢，于此同時，部署在企業(yè)機房出口的傳統(tǒng)DDoS防護方案，也是整體防護流程中能與云端防護形成互補的重要組成部分。

在這四大能力的打磨上，阿里云DDoS防護的技術、業(yè)務，走的是一條100%自研、自成長的道路。雖然對外商業(yè)化的時間是3年，但10多年對內保障的經歷，讓我們厚積薄發(fā)，借助云上優(yōu)勢，做到業(yè)界領先 (https://www.aliyun.com/produc...。

阿里巴巴最早的DDoS防護系統(tǒng)是從電子商務淘系業(yè)務保障中發(fā)展而來的，隨后又相繼保障了像支付寶、優(yōu)酷、新浪微博、陌陌、還有高德地圖等翹楚企業(yè)，業(yè)務遍及全行業(yè)。

經過多年實踐驗證和技術積累之后，孵化出了阿里云DDoS高防產品，可輕松應對不同行業(yè)的各種復雜需求和場景。如今，我們在技術、業(yè)務和架構上，還不斷保持著“實戰(zhàn)、創(chuàng)新”的基因。從去年開始，我們正在發(fā)揮自身云計算的優(yōu)勢，針對政府、金融、游戲、互聯網的多維需求，推出“一體化方案”。

例如游戲行業(yè)，我們借助阿里云自研“彈性安全網絡”技術，推出了深入游戲業(yè)務的解決方案‘游戲盾’ —— 游戲盾獨有的“分層而治”的思想，使用端上的秒級調度技術，讓黑客在龐大的游戲盾安全大網中找不到攻擊的目標，不用儲備海量的帶寬，也可以讓業(yè)務的影響降低到很小的地步。（游戲盾的三次技術演進：https://linux.cn/thread-16530...）

在架構上，基于阿里云CDN平臺，結合 DDoS高防清洗資源，形成了一張分布式的安全加速網絡，兼顧加速和大流量清洗防護需求。

基于自有技術，阿里云DDoS防護在云上構建了三大系統(tǒng)：檢測、清洗、調度。

DDoS攻擊檢測系統(tǒng)：

自主研發(fā)DPI集群流量檢測系統(tǒng)Beaver，提供DPI級別的秒級攻擊檢測能力，為攻擊發(fā)現和攻擊分析提供了最細粒度的數據基礎，強大的集群可針對T級流量達到秒級識別攻擊的能力，這也是阿里云可以更快的清洗大流量攻擊的前提。

DDoS大流量清洗系統(tǒng)：

自主研發(fā)的T級清洗系統(tǒng)集群AliGuard，可以針對各種DDoS攻擊類型提供相對應的防護算法。Aliguard部署在阿里巴巴多個業(yè)務場景中，其中豐富的防護算法和運營系統(tǒng)，可以高效的處理海量攻擊，這套體系最為創(chuàng)新的地方在于其極高的效率，常見的流量型攻擊幾乎可以全自動做到100%的清洗。

智能調度系統(tǒng)：

實時流量檢測，業(yè)務監(jiān)測，自主研發(fā)的智能調度系統(tǒng)，可以根據線路質量實時地自動調度流量到最優(yōu)轉發(fā)線路，最快速度避免各級網絡擁塞或突發(fā)的鏈路抖動對企業(yè)業(yè)務的影響，并具備多地災備機房調度能力，實現機房級別的分鐘級切換。

目前，阿里云在全球18個地域建立了43個可用區(qū)，為全球數十億用戶提供可靠的計算支持，是亞洲規(guī)模最大的云計算平臺 —— DDoS防護能力也成了全球企業(yè)的必備。目前，阿里云DDoS防護網絡已經覆蓋了全球主要區(qū)域，共13個大流量清洗中心，總清洗能力大于10Tbps。

云服務提供商中，在國內阿里云首家提供BGP高防，實現對超大流量攻擊的防御；在海外，阿里云通過Anycast技術，整合分布式清洗能力并提高了業(yè)務的可用性，為全球企業(yè)保駕護航。

除了全球部署以外，阿里云的Anti-DDoS還有一大特點就是“默認防護”。也就是說，企業(yè)上云之后，就具備基礎的“抗DDoS架構”，通過快速接入云上DDoS防護產品，就能快速開啟能力，不用等，沒有天花板。

攻擊威脅情報也是基于云的優(yōu)勢實現的。阿里云每天抵御16億次攻擊，這些攻擊特征背后的黑客情報，僵尸網絡信息，輸入到機器學習算法模型中，生成最新的攻擊特征的分析，制定相應的防護策略。

DDoS攻擊是資源與資源的對抗，更是人與人的對抗。當黑客手中掌握著全球的僵尸網絡資源，在對抗中往往需要聯合更多的廠商一起協同，這也是作為服務商的一份責任。

阿里云非常重視全球合作伙伴的拓展，包括中國電信、中國聯通、香港電訊盈科（PCCW）、綠盟、安恒在內的運營商和服務商，均與阿里云在Anti-DDoS領域達成緊密合作，一起為企業(yè)提供專業(yè)、一體化服務。（http://www.g.com.cn/tech/2052...）

目前，阿里云DDoS防護產品平均每天抵御 3000+起DDoS攻擊事件，2017年，成功抵御的最大攻擊峰值為758.6Gbps。然而，數字對我們來說，只是昨天的一個腳印而已，真正需要我們關注的是未來的威脅，和如何解決它。

我們發(fā)現，近幾年來，隨著反射型DDoS攻擊的爆發(fā)，發(fā)起大流量DDoS攻擊的成本越來越低，攻擊也越來越大 —— 意味著攻防資源上的不平等情況將進一步被放大。

作為服務商，一方面，DDoS防護需要能調動全球資源，用分布式的方法，處理分布式的攻擊；另一方面，要深入到行業(yè)、業(yè)務本身，“低到泥土中去”，才能想出創(chuàng)新的辦法，提煉出有針對性的方案。最終，阿里云的DDoS防護想帶來的改變是：撬動DDoS攻防的天平，讓企業(yè)用更小的成本，在更安全的互聯網中拓展業(yè)務。http://finance.jrj.com.cn/tec...

本文作者：云安全2016

原文鏈接

本文為云棲社區(qū)原創(chuàng)內容，未經允許不得轉載。