350億的大交易
阿里巴巴集團(tuán)是全球領(lǐng)先的電子商務(wù)公司,2012年,其電子商務(wù)與支付平臺(tái)平均每天處理2400萬(wàn)筆交易,年處理交易額超過(guò)10000億元,是eBay和亞馬遜全年交易額之和。特別是在2013年11月11日(“雙11”)當(dāng)天的交易額超過(guò)350億元,總交易數(shù)超過(guò)1.88億筆,是美國(guó)“黑色星期五”線上交易的4倍多,創(chuàng)造了阿里巴巴網(wǎng)絡(luò)交易新紀(jì)錄。
除了傳統(tǒng)的淘寶、天貓、支付寶等關(guān)鍵在線業(yè)務(wù)交易系統(tǒng)外,阿里巴巴的云計(jì)算平臺(tái)還對(duì)外向中小企業(yè)、開(kāi)發(fā)者提供云服務(wù)。截至2013年11月,阿里巴巴云計(jì)算平臺(tái)已為超過(guò)10萬(wàn)個(gè)業(yè)務(wù)系統(tǒng)提供服務(wù),覆蓋了互聯(lián)網(wǎng)上已有的所有業(yè)務(wù)類型。如此巨大的業(yè)務(wù)量對(duì)阿里巴巴平臺(tái)的性能和可靠性提出了巨大挑戰(zhàn),平臺(tái)的穩(wěn)定性和安全性變得尤為重要。
“安保”方案責(zé)任重大
阿里巴巴每天都要遭受上億次的惡意入侵與網(wǎng)絡(luò)攻擊,其中DDoS攻擊對(duì)其業(yè)務(wù)危害最為嚴(yán)重。因此,選擇一個(gè)合適的DDoS防護(hù)方案就變得非常重要,條件也異常苛刻。
DDoS防護(hù)方案必須能快速響應(yīng)、精準(zhǔn)防護(hù),而且能夠根據(jù)不同業(yè)務(wù)提供差異化防護(hù)策略。
DDoS防護(hù)方案要能夠隨著阿里巴巴云計(jì)算平臺(tái)的彈性擴(kuò)展相應(yīng)地對(duì)防護(hù)性能進(jìn)行彈性擴(kuò)展,滿足業(yè)務(wù)3~5年的發(fā)展需求。
阿里巴巴的云計(jì)算平臺(tái)還會(huì)快速增長(zhǎng),而不同客戶的業(yè)務(wù)運(yùn)營(yíng)模式差異較大,因此,靈活的業(yè)務(wù)自助方式以及簡(jiǎn)單方便的使用維護(hù),對(duì)DDoS安全服務(wù)起著決定性作用。
同時(shí),能夠?qū)DoS安全業(yè)務(wù)無(wú)縫適配到阿里云服務(wù)平臺(tái)并對(duì)外提供,也是阿里巴巴挑選DDoS方案的重要依據(jù)。
華為方案更勝一籌
在阿里巴巴苦苦尋覓DDoS防護(hù)方案時(shí),一次大型DDoS攻擊的成功防護(hù)引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知其使用的正是華為Anti-DDoS方案,此后通過(guò)與華為安全人員的多輪交流,阿里巴巴對(duì)華為Anti-DDoS解決方案產(chǎn)生了濃厚興趣,并開(kāi)啟了漫長(zhǎng)的POC測(cè)試工作。
在POC測(cè)試過(guò)程中,阿里巴巴的測(cè)試人員首先將在現(xiàn)網(wǎng)收集的所有攻擊報(bào)文進(jìn)行了一一回訪,華為Anti-DDoS方案均能夠成功防護(hù);接著測(cè)試人員結(jié)合阿里巴巴業(yè)務(wù)特點(diǎn),模擬現(xiàn)網(wǎng)常見(jiàn)的業(yè)務(wù)流量模型,在幾十G正常流量背景下,測(cè)試了50Mbps的小流量攻擊,華為Anti-DDoS能夠在2秒內(nèi)實(shí)現(xiàn)精準(zhǔn)識(shí)別;針對(duì)特定HTTP業(yè)務(wù),測(cè)試人員采用應(yīng)用型慢速、慢鏈接DDoS攻擊,華為Anti-DDoS方案能快速、自動(dòng)學(xué)習(xí)攻擊特征,進(jìn)行精準(zhǔn)防護(hù);此外,當(dāng)前通過(guò)移動(dòng)智能終端訪問(wèn)業(yè)務(wù)的流量越來(lái)越大,測(cè)試人員特意加強(qiáng)了防護(hù)方案對(duì)智能終端影響的測(cè)試用例,華為方案均能一一成功處理攻擊,并不影響終端用戶訪問(wèn)。隨著測(cè)試的深入,華為方案基于租戶的防護(hù)策略、流量模型學(xué)習(xí)、詳細(xì)的報(bào)表功能,以及使用方便等特性,都給測(cè)試人員留下了深刻印象。
功能測(cè)試之后是性能壓力測(cè)試,華為Anti-DDoS方案在配置2塊業(yè)務(wù)板卡的情況下成功防御了20Gbps的64字節(jié)SYN Flood攻擊,應(yīng)用層攻擊防護(hù)性能更能達(dá)到40Gbps,是業(yè)界同類廠商防護(hù)水平的2倍以上,而且增加業(yè)務(wù)板卡該性能還能線性提升到200Gbps,真是令人驚嘆。
“真金不怕火煉”。恰逢阿里巴巴現(xiàn)網(wǎng)業(yè)務(wù)遭受新一輪DDoS攻擊,華為Anti-DDoS方案被緊急部署到線上,防護(hù)現(xiàn)網(wǎng)受到攻擊的服務(wù)器,華為Anti-DDoS方案在2秒內(nèi)實(shí)現(xiàn)攻擊流量全部清洗,并且對(duì)正常用戶訪問(wèn)沒(méi)有絲毫影響,如此理想的效果令阿里巴巴的安全專家也為之感到振奮,漫長(zhǎng)的Anti-DDoS解決方案選型也至此畫(huà)上了圓滿的句號(hào)。自此以后,華為Anti-DDoS方案在阿里巴巴就再?zèng)]有下過(guò)線。
歷經(jīng)考驗(yàn),值得信賴
現(xiàn)在,阿里巴巴現(xiàn)網(wǎng)的多個(gè)數(shù)據(jù)中心出口都部署有華為Anti-DDoS解決方案,總防護(hù)性能達(dá)數(shù)百G,平均每天防護(hù)DDoS攻擊上百次,每年達(dá)數(shù)萬(wàn)次,峰值防護(hù)的DDoS攻擊流量超過(guò)100Gbps。如今,阿里巴巴的安全工程師已經(jīng)可以輕松應(yīng)對(duì)日常的DDoS攻擊,由華為Anti-DDoS方案自動(dòng)調(diào)度進(jìn)行清洗防護(hù)即可,需要他們做的無(wú)非是事后看看報(bào)告而已。
即使是在2013年“雙11”當(dāng)天,阿里巴巴安全團(tuán)隊(duì)成員仍然能夠從容地正常上下班。第二天的報(bào)告表明,“雙11”當(dāng)天阿里巴巴經(jīng)歷了多輪DDoS攻擊,峰值攻擊流量超過(guò)19Gbps,最小攻擊流量500Mbps,而華為Anti-DDoS方案一如既往地進(jìn)行了成功防護(hù),有力保障了阿里巴巴“雙11”網(wǎng)絡(luò)交易順暢平穩(wěn),是值得用戶信賴的DDoS防護(hù)方案。
客戶的聲音
“華為Anti-DDoS解決方案每年幫助我們防護(hù)的DDoS攻擊次數(shù)超過(guò)4萬(wàn)次,平均每天防護(hù)的攻擊次數(shù)超過(guò)100次,最高防御了100G的超大流量攻擊,該系統(tǒng)功能強(qiáng)大,防護(hù)精準(zhǔn),并且非常好用。”
——阿里巴巴集團(tuán)高級(jí)安全專家 魏興國(guó)
