阿里巴巴集團是全球領(lǐng)先的電子商務(wù)公司,旗下有25個(gè)事業(yè)部9個(gè)子公司,業(yè)務(wù)涉及第三方支付、網(wǎng)絡(luò )交易、云計算平臺等眾多領(lǐng)域。據阿里巴巴統計數據顯示,2012年,其電子商務(wù)與支付平臺平均每天處理2400萬(wàn)筆交易,年處理交易額超過(guò)10000億元,是eBay和亞馬遜全年交易額之和。特別是2013年11月11日(“雙11”網(wǎng)絡(luò )購物節),阿里巴巴網(wǎng)上交易額超過(guò)350億元,交易超過(guò)1.88億筆,其中1/4來(lái)自移動(dòng)終端,該交易額是美國“黑色星期五”線(xiàn)上交易的4倍多,創(chuàng )造了阿里巴巴網(wǎng)絡(luò )交易新紀錄。除了阿里巴巴集團傳統的淘寶、天貓、支付寶等關(guān)鍵在線(xiàn)業(yè)務(wù)交易系統外,阿里巴巴也對外提供云計算業(yè)務(wù)。截至2013年11月,阿里云計算平臺已為超過(guò)10萬(wàn)個(gè)業(yè)務(wù)系統提供服務(wù),覆蓋互聯(lián)網(wǎng)上常見(jiàn)的所有業(yè)務(wù)類(lèi)型。如此巨大的業(yè)務(wù)量,對阿里巴巴平臺的性能和可靠性提出了巨大挑戰,平臺的穩定性和安全性變得尤為突出。
責任重大,選擇條件苛刻
阿里巴巴每天遭受上億次的惡意入侵與網(wǎng)絡(luò )攻擊,其中DDoS攻擊往往會(huì )造成網(wǎng)絡(luò )中斷、服務(wù)器癱瘓等嚴重后果,直接影響經(jīng)濟收益和品牌影響力,是對阿里巴巴業(yè)務(wù)危害最為嚴重的攻擊之一。一次精心策劃的黑客攻擊,往往都是由DDoS攻擊開(kāi)始,然后再伴隨著(zhù)入侵、掛馬、數據竊取等深層次動(dòng)作;而一些瘋狂的黑客,甚至會(huì )采用大流量DDoS攻擊擁塞網(wǎng)絡(luò )與系統資源來(lái)達到攻擊目的。因此對于阿里巴巴來(lái)說(shuō),選擇一個(gè)合適的DDoS防護方案非常重要,要求也是非常高的:
- 快速發(fā)現DDoS,并精準防護
阿里巴巴客戶(hù)以中小企業(yè)、電商、游戲運營(yíng)開(kāi)發(fā)者為主,全部業(yè)務(wù)是在線(xiàn)業(yè)務(wù),對業(yè)務(wù)的連續性要求很高。因此,適合阿里巴巴的 DDoS防護方案必須能在眾多的訪(fǎng)問(wèn)中快速定位DDoS攻擊,并精準防護,而且能夠根據不同的業(yè)務(wù),提供差異化的防護策略。只有這樣,該系統才能為更多的客戶(hù)提供更安全的土壤,為阿里巴巴帶來(lái)更多的客戶(hù)資源。
- 高性能和彈性擴展
在DDoS攻擊來(lái)臨時(shí),阿里巴巴云計算服務(wù)面臨僵尸網(wǎng)絡(luò )的海量惡意請求,服務(wù)器疲于響應,無(wú)法為正常用戶(hù)提供服務(wù),甚至存在數據中心客戶(hù)業(yè)務(wù)中斷、云計算平臺癱瘓等風(fēng)險。DDoS防護方案作為阿里云數據中心的大門(mén)守護神,必須將DDoS洪水阻擋在門(mén)外,同時(shí)更不能出現在DDoS防護時(shí)自身性能不足,成為阿里整個(gè)平臺的性能瓶頸,造成用戶(hù)訪(fǎng)問(wèn)時(shí)延增大,影響正常用戶(hù)使用的情況。此外,該方案還要能夠隨著(zhù)阿里云計算平臺的擴展彈性擴展,滿(mǎn)足未來(lái)3~5年的業(yè)務(wù)發(fā)展需求。
- 快速部署,方便運營(yíng)
阿里云計算平臺客戶(hù)業(yè)務(wù)已經(jīng)超過(guò)10萬(wàn)個(gè),后續還會(huì )快速增長(cháng),這些客戶(hù)的業(yè)務(wù)以社區網(wǎng)站、企業(yè)官網(wǎng)、電子商務(wù)網(wǎng)站、游戲等為主,業(yè)務(wù)流量規模相差懸殊,業(yè)務(wù)運營(yíng)模式差異較大,因此,靈活的業(yè)務(wù)自助方式以及簡(jiǎn)單方便的使用維護,對DDoS的安全服務(wù)起著(zhù)決定性作用。同時(shí),能夠將DDoS安全防護無(wú)縫地適配到阿里云服務(wù)平臺,并對外提供,也是阿里巴巴對DDoS方案挑選的重要依據。
嚴格測試,表現不負所望
經(jīng)過(guò)苦苦尋覓和多輪篩選,最終華為的Anti-DDoS防護方案引起了阿里巴巴的濃厚興趣,并開(kāi)啟了漫長(cháng)的POC測試工作。阿里巴巴的DDoS安全防護團隊將在現網(wǎng)上收集到的所有攻擊報文,在POC測試中,進(jìn)行了一一回放,華為Anti-DDoS方案均能成功防護。隨著(zhù)測試的深入,基于租戶(hù)的防護策略、流量模型學(xué)習、詳細的報表功能,使得華為Anti-DDoS方案使用非常方便,阿里巴巴的安全專(zhuān)家完全不用華為工程師的幫忙就可以完成測試。
在測試過(guò)程中,阿里巴巴安全專(zhuān)家結合自身業(yè)務(wù)特點(diǎn),模擬現網(wǎng)業(yè)務(wù)流量模型,在幾十G正常流量背景下,測試50Mbps的小流量攻擊,華為Anti-DDoS均能夠實(shí)現2秒精準識別;同時(shí)針對特定HTTP業(yè)務(wù),采用應用型慢速、慢鏈接的DDoS攻擊,華為Anti-DDoS方案能夠快速地自動(dòng)學(xué)習攻擊特征,進(jìn)行精準防護;當前通過(guò)移動(dòng)智能終端訪(fǎng)問(wèn)業(yè)務(wù)的流量越來(lái)越大,阿里在測試過(guò)程中,特意加強了對智能終端影響的測試用例,華為方案均能一一成功處理攻擊,并不影響終端用戶(hù)訪(fǎng)問(wèn)。
在功能測試完成之后,阿里巴巴安全專(zhuān)家還進(jìn)行了性能壓力測試,華為Anti-DDoS在配置2塊業(yè)務(wù)板卡的情況下成功防御了20Gbps的64字節的SYN Flood攻擊,應用層攻擊防護性能更達到40Gbps,是業(yè)界同類(lèi)廠(chǎng)商防護水平的2倍以上,而且隨著(zhù)業(yè)務(wù)板卡的增加,這一性能可線(xiàn)性提升到200Gbps,令阿里巴巴參與測試的安全專(zhuān)家非常滿(mǎn)意。
“真金不怕火煉”。測試中恰逢阿里巴巴現網(wǎng)業(yè)務(wù)遭受一輪DDoS攻擊,阿里巴巴緊急將華為Anti-DDoS方案部署線(xiàn)上,對現網(wǎng)被攻擊服務(wù)器進(jìn)行防護,華為Anti-DDoS在2秒內實(shí)現攻擊流量全部清洗,并且對正常用戶(hù)訪(fǎng)問(wèn)沒(méi)有絲毫影響,效果非常理想。阿里巴巴的安全專(zhuān)家都為此感到振奮,Anti-DDoS解決方案選型也至此畫(huà)上了圓滿(mǎn)的句號。自此以后,華為Anti-DDoS方案在阿里巴巴網(wǎng)絡(luò )上安全運行。
歷經(jīng)考驗,華為Anti-DDoS值得信賴(lài)
阿里巴巴現網(wǎng)多個(gè)數據中心出口都部署了華為的Anti-DDoS解決方案,平均每天防護的DDoS攻擊次數超過(guò)100次,每年達數萬(wàn)次,峰值防護的DDoS攻擊流量超過(guò)100Gbps。如今,DDoS攻擊在阿里巴巴安全工程師眼里已經(jīng)習以為常,由華為Anti-DDoS方案自動(dòng)調度進(jìn)行清洗防護即可。
哪怕是在2013年11月11日“雙11”網(wǎng)絡(luò )購物節當天,阿里巴巴安全團隊成員仍然能夠鎮靜、從容。第二天報告顯示阿里巴巴當天經(jīng)歷了多輪DDoS攻擊事件,峰值攻擊流量超過(guò)19Gbps,最小攻擊流量500Mbps,華為Anti-DDoS方案一如既往地成功防護了多輪DDoS攻擊事件,有力保障了阿里巴巴網(wǎng)絡(luò )交易的順暢平穩,事實(shí)證明,華為Anti-DDoS是值得用戶(hù)信賴(lài)的DDoS防護方案。
