350億的大交易
阿里巴巴集團是全球領(lǐng)先的電子商務(wù)公司,2012年,其電子商務(wù)與支付平臺平均每天處理2400萬(wàn)筆交易,年處理交易額超過(guò)10000億元,是eBay和亞馬遜全年交易額之和。特別是在2013年11月11日(“雙11”)當天的交易額超過(guò)350億元,總交易數超過(guò)1.88億筆,是美國“黑色星期五”線(xiàn)上交易的4倍多,創(chuàng )造了阿里巴巴網(wǎng)絡(luò )交易新紀錄。
除了傳統的淘寶、天貓、支付寶等關(guān)鍵在線(xiàn)業(yè)務(wù)交易系統外,阿里巴巴的云計算平臺還對外向中小企業(yè)、開(kāi)發(fā)者提供云服務(wù)。截至2013年11月,阿里巴巴云計算平臺已為超過(guò)10萬(wàn)個(gè)業(yè)務(wù)系統提供服務(wù),覆蓋了互聯(lián)網(wǎng)上已有的所有業(yè)務(wù)類(lèi)型。如此巨大的業(yè)務(wù)量對阿里巴巴平臺的性能和可靠性提出了巨大挑戰,平臺的穩定性和安全性變得尤為重要。
“安保”方案責任重大
阿里巴巴每天都要遭受上億次的惡意入侵與網(wǎng)絡(luò )攻擊,其中DDoS攻擊對其業(yè)務(wù)危害最為嚴重。因此,選擇一個(gè)合適的DDoS防護方案就變得非常重要,條件也異常苛刻。
DDoS防護方案必須能快速響應、精準防護,而且能夠根據不同業(yè)務(wù)提供差異化防護策略。
DDoS防護方案要能夠隨著(zhù)阿里巴巴云計算平臺的彈性擴展相應地對防護性能進(jìn)行彈性擴展,滿(mǎn)足業(yè)務(wù)3~5年的發(fā)展需求。
阿里巴巴的云計算平臺還會(huì )快速增長(cháng),而不同客戶(hù)的業(yè)務(wù)運營(yíng)模式差異較大,因此,靈活的業(yè)務(wù)自助方式以及簡(jiǎn)單方便的使用維護,對DDoS安全服務(wù)起著(zhù)決定性作用。
同時(shí),能夠將DDoS安全業(yè)務(wù)無(wú)縫適配到阿里云服務(wù)平臺并對外提供,也是阿里巴巴挑選DDoS方案的重要依據。
華為方案更勝一籌
在阿里巴巴苦苦尋覓DDoS防護方案時(shí),一次大型DDoS攻擊的成功防護引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知其使用的正是華為Anti-DDoS方案,此后通過(guò)與華為安全人員的多輪交流,阿里巴巴對華為Anti-DDoS解決方案產(chǎn)生了濃厚興趣,并開(kāi)啟了漫長(cháng)的POC測試工作。
在POC測試過(guò)程中,阿里巴巴的測試人員首先將在現網(wǎng)收集的所有攻擊報文進(jìn)行了一一回訪(fǎng),華為Anti-DDoS方案均能夠成功防護;接著(zhù)測試人員結合阿里巴巴業(yè)務(wù)特點(diǎn),模擬現網(wǎng)常見(jiàn)的業(yè)務(wù)流量模型,在幾十G正常流量背景下,測試了50Mbps的小流量攻擊,華為Anti-DDoS能夠在2秒內實(shí)現精準識別;針對特定HTTP業(yè)務(wù),測試人員采用應用型慢速、慢鏈接DDoS攻擊,華為Anti-DDoS方案能快速、自動(dòng)學(xué)習攻擊特征,進(jìn)行精準防護;此外,當前通過(guò)移動(dòng)智能終端訪(fǎng)問(wèn)業(yè)務(wù)的流量越來(lái)越大,測試人員特意加強了防護方案對智能終端影響的測試用例,華為方案均能一一成功處理攻擊,并不影響終端用戶(hù)訪(fǎng)問(wèn)。隨著(zhù)測試的深入,華為方案基于租戶(hù)的防護策略、流量模型學(xué)習、詳細的報表功能,以及使用方便等特性,都給測試人員留下了深刻印象。
功能測試之后是性能壓力測試,華為Anti-DDoS方案在配置2塊業(yè)務(wù)板卡的情況下成功防御了20Gbps的64字節SYN Flood攻擊,應用層攻擊防護性能更能達到40Gbps,是業(yè)界同類(lèi)廠(chǎng)商防護水平的2倍以上,而且增加業(yè)務(wù)板卡該性能還能線(xiàn)性提升到200Gbps,真是令人驚嘆。
“真金不怕火煉”。恰逢阿里巴巴現網(wǎng)業(yè)務(wù)遭受新一輪DDoS攻擊,華為Anti-DDoS方案被緊急部署到線(xiàn)上,防護現網(wǎng)受到攻擊的服務(wù)器,華為Anti-DDoS方案在2秒內實(shí)現攻擊流量全部清洗,并且對正常用戶(hù)訪(fǎng)問(wèn)沒(méi)有絲毫影響,如此理想的效果令阿里巴巴的安全專(zhuān)家也為之感到振奮,漫長(cháng)的Anti-DDoS解決方案選型也至此畫(huà)上了圓滿(mǎn)的句號。自此以后,華為Anti-DDoS方案在阿里巴巴就再沒(méi)有下過(guò)線(xiàn)。
歷經(jīng)考驗,值得信賴(lài)
現在,阿里巴巴現網(wǎng)的多個(gè)數據中心出口都部署有華為Anti-DDoS解決方案,總防護性能達數百G,平均每天防護DDoS攻擊上百次,每年達數萬(wàn)次,峰值防護的DDoS攻擊流量超過(guò)100Gbps。如今,阿里巴巴的安全工程師已經(jīng)可以輕松應對日常的DDoS攻擊,由華為Anti-DDoS方案自動(dòng)調度進(jìn)行清洗防護即可,需要他們做的無(wú)非是事后看看報告而已。
即使是在2013年“雙11”當天,阿里巴巴安全團隊成員仍然能夠從容地正常上下班。第二天的報告表明,“雙11”當天阿里巴巴經(jīng)歷了多輪DDoS攻擊,峰值攻擊流量超過(guò)19Gbps,最小攻擊流量500Mbps,而華為Anti-DDoS方案一如既往地進(jìn)行了成功防護,有力保障了阿里巴巴“雙11”網(wǎng)絡(luò )交易順暢平穩,是值得用戶(hù)信賴(lài)的DDoS防護方案。
客戶(hù)的聲音
“華為Anti-DDoS解決方案每年幫助我們防護的DDoS攻擊次數超過(guò)4萬(wàn)次,平均每天防護的攻擊次數超過(guò)100次,最高防御了100G的超大流量攻擊,該系統功能強大,防護精準,并且非常好用。”
——阿里巴巴集團高級安全專(zhuān)家 魏興國
