350億的大交易
2013年11月11日(“雙11”)天,阿里巴巴交易額超過(guò)350億元,交易超過(guò)1.88億筆,峰值超過(guò)79萬(wàn)人在一分鐘同時(shí)完成交易,1/4交易來(lái)自移動(dòng)終端,阿里巴巴雙11交易的交易額是美國“黑色星期五”線(xiàn)上交易的4倍多,創(chuàng )造了阿里巴巴網(wǎng)絡(luò )交易新紀錄。
據阿里巴巴的統計數據顯示,2012年,阿里巴巴的電子商務(wù)與支付平臺平均每天處理2400萬(wàn)筆交易,年處理交易額超過(guò)10000億元,是eBay和亞馬遜全年交易額之和。
除了阿里巴巴集團傳統淘寶、天貓、支付寶等關(guān)鍵的在線(xiàn)業(yè)務(wù)交易系統外,阿里巴巴云計算業(yè)務(wù)對外中小企業(yè)、開(kāi)發(fā)者提供云服務(wù)。截至2013年11月,阿里巴巴云計算平臺已為超過(guò)10萬(wàn)個(gè)業(yè)務(wù)系統提供服務(wù),這些業(yè)務(wù)系統基本上覆蓋了互聯(lián)網(wǎng)上所能看到的所有的業(yè)務(wù)類(lèi)型。如此巨大的業(yè)務(wù)量對阿里巴巴平臺的性能和可靠性提出了巨大的挑戰,平臺的穩定性和安全性變得尤為突出。
“安保”方案,責任重大
阿里巴巴每天遭受上億次的惡意入侵與網(wǎng)絡(luò )攻擊,其中DDoS攻擊往往會(huì )造成,網(wǎng)絡(luò )中斷、服務(wù)器癱瘓等嚴重的后果,直接影響到其經(jīng)濟收益和品牌影響力,是對阿里巴巴業(yè)務(wù)危害最為嚴重的攻擊之一。“分層立體”是阿里巴巴安全防護架構思想,防護DDoS攻擊是阿里整個(gè)安全防護體系的重中之重。
一次精心策劃的黑客攻擊,往往都是由DDoS攻擊開(kāi)始,然后再伴隨著(zhù)入侵、掛馬、數據竊取等深層次動(dòng)作;而一些瘋狂的黑客,甚至會(huì )采用大流量DDoS攻擊擁塞網(wǎng)絡(luò )與系統資源來(lái)達到攻擊目的。因此對于阿里巴巴來(lái)說(shuō),選擇一個(gè)合適的DDoS防護方案是非常重要,條件也是非常苛刻的:
第一,要有快速發(fā)現DDoS,并進(jìn)行精準防護的能力
阿里巴巴客戶(hù)主要以中小企業(yè)、電商、游戲運營(yíng)開(kāi)發(fā)者,全部業(yè)務(wù)是在線(xiàn)業(yè)務(wù),對業(yè)務(wù)的連續性要求高,因此在眾多的訪(fǎng)問(wèn)中,快速的定位出DDoS攻擊,并進(jìn)行精準的防護,否則就會(huì )出現業(yè)務(wù)訪(fǎng)問(wèn)延時(shí)大、中斷、客戶(hù)流失、經(jīng)濟損失等嚴重后果,甚至直接導致一個(gè)企業(yè)的滅亡。因此,適合阿里巴巴的 DDoS防護方案必須快速響應,精準防護,而且能夠根據不同的業(yè)務(wù),提供差異化的防護策略。只有這樣,該系統才能為更多的客戶(hù)提供更安全的土壤,為阿里巴巴帶來(lái)更多的客戶(hù)資源。
第二,必須具高性能和彈性的擴展能力
在DDoS攻擊來(lái)臨時(shí),阿里巴巴云計算服務(wù)面臨僵尸網(wǎng)絡(luò )的海量惡意請求,服務(wù)器疲于響應惡意請求,無(wú)法為正常用戶(hù)提供服務(wù),甚至存在數據中心客戶(hù)業(yè)務(wù)中斷、云計算平臺癱瘓等風(fēng)險。抗DDoS方案作為阿里云數據中心的大門(mén)守護神,必須將DDoS洪水阻擋在門(mén)外,同時(shí)更不能出現,在DDoS防護時(shí)自身性能不足,成為阿里整個(gè)平臺的性能瓶頸,會(huì )造用戶(hù)成時(shí)延增大、用戶(hù)訪(fǎng)問(wèn)差,影響正常用戶(hù)的情況。此外,該方案要能夠隨著(zhù)阿里巴巴云計算平臺彈性擴展需求進(jìn)行防護性能的彈性擴展,滿(mǎn)足其業(yè)務(wù)3-5年的發(fā)展需求。
第三,快速部署,方便運營(yíng)的能力
阿里巴巴的云計算平臺客戶(hù)業(yè)務(wù)已經(jīng)超過(guò)10萬(wàn)個(gè),后續還會(huì )快速增長(cháng),這些客戶(hù)的業(yè)務(wù)以社區網(wǎng)站、企業(yè)官網(wǎng)、電子商務(wù)網(wǎng)站、游戲等為主,業(yè)務(wù)流量大小規模相差懸殊,業(yè)務(wù)運營(yíng)模式差異較大,因此,靈活的業(yè)務(wù)自助方式以及簡(jiǎn)單方便的使用維護,對DDoS的安全服務(wù)起著(zhù)決定性作用。
同時(shí),能夠將DDoS安全業(yè)務(wù)無(wú)縫地適配到阿里云服務(wù)平臺,并對外提供,是阿里巴巴對DDoS方案挑選的重要依據。
為了搭建一個(gè)適合阿里巴巴業(yè)務(wù)發(fā)展與防護要求的DDoS防護體系,阿里巴巴也曾試圖自己研發(fā)適合自己的DDoS防護系統,同時(shí)也在國內外多個(gè)家廠(chǎng)商中,進(jìn)行了多輪篩選,不是性能不能滿(mǎn)足阿里巴巴的需求(阿里巴巴的防護需求都是100Gbps級別的,而業(yè)界同類(lèi)廠(chǎng)商基本上都是不超過(guò)20Gbps的產(chǎn)品,無(wú)奈~~~),就是防護精準度(不能基于業(yè)務(wù)、基于租戶(hù)防護)和彈性擴展(業(yè)界同類(lèi)廠(chǎng)商基本上不能實(shí)現彈性進(jìn)行性能擴展)能力上與阿里巴巴的需求不匹配。
華為方案更勝一籌
在阿里巴巴苦苦尋覓DDoS防護方案時(shí),一次大型DDoS攻擊在“圈內”引起轟動(dòng),但被攻擊者成功防護了此次攻擊,引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知使用的正式華為的Anti-DDoS方案。在與華為安全人員的多輪交流中,阿里巴巴對華為的Anti-DDoS解決方案產(chǎn)生了濃厚的興趣,開(kāi)啟了漫長(cháng)的POC測試工作。
阿里巴巴內部幾十人的DDoS安全防護專(zhuān)家,將自己在現網(wǎng)上收集到的所有的攻擊報文,在POC測試中,進(jìn)行了一一回訪(fǎng),華為的Anti-DDoS方案均能夠成功防護,阿里巴巴的安全專(zhuān)家似乎被華為的Anti-DDoS方案深深的吸引住了。隨著(zhù)測試的深入,基于租戶(hù)的防護策略,流量模型學(xué)習,詳細的報表功能,用起來(lái)也很方便,阿里巴巴的安全專(zhuān)家完全不用華為工程師的幫忙就可以完成測試了。
在測試過(guò)程中,阿里巴巴工程師,結合阿里巴巴的業(yè)務(wù)特點(diǎn),模擬現網(wǎng)常常業(yè)務(wù)流量模型,在數10G正常流量背景下,測試50Mbps的小流量攻擊,華為的Anti-DDoS能夠實(shí)現2秒鐘精準的識別;同時(shí)針對特定HTTP業(yè)務(wù),采用攻擊攻擊進(jìn)行進(jìn)行應用型慢速、慢鏈接的DDoS攻擊,華為的Anti-DDoS方案能夠快速的自動(dòng)學(xué)習到攻擊特征,進(jìn)行精準防護。通過(guò)移動(dòng)智能終端訪(fǎng)問(wèn)業(yè)務(wù)的流量越來(lái)越大,之前有廠(chǎng)商在測試過(guò)程中,出現防護影響智能終端用戶(hù)正常業(yè)務(wù)的情況,阿里在測試過(guò)程中,特意加強了華為方案防護對智能終端影響的測試用例,華為方案均能夠一一成功處理攻擊留情,并不影響終端用戶(hù)訪(fǎng)問(wèn)。
在經(jīng)過(guò)功能測試完成之后,阿里巴巴需要對華為Anti-DDoS的方案進(jìn)行性能壓力測試,先是在測試環(huán)境下采用測試儀器發(fā)攻擊流量方式進(jìn)行,華為Anti-DDoS配置2塊業(yè)務(wù)板卡居然能夠成功防御20Gbps的64字節的SYN Flood攻擊,應用層攻擊防護性能更是能夠達到40Gbps,已經(jīng)是業(yè)界同類(lèi)廠(chǎng)商防護水平的2倍以上了,而且隨著(zhù)業(yè)務(wù)板卡增加這一性能能夠線(xiàn)性提升到200Gbps,簡(jiǎn)直太棒了。
“真金不怕火煉”。恰逢阿里巴巴現網(wǎng)業(yè)務(wù)遭受一輪DDoS攻擊,阿里巴巴緊急將華為Anti-DDoS方案部署線(xiàn)上,進(jìn)行現網(wǎng)被攻擊服務(wù)器流量引致此方案進(jìn)行防護,華為Anti-DDoS在2秒內,實(shí)現攻擊流量全部清洗,并且對正常用戶(hù)訪(fǎng)問(wèn)沒(méi)有絲毫影響,效果太理想了。阿里巴巴的安全專(zhuān)家都為此感到振奮,漫長(cháng)的Anti-DDoS解決方案選型也至此畫(huà)上了圓滿(mǎn)的句號。自此以后,華為Anti-DDoS方案在阿里巴巴就沒(méi)有再下過(guò)線(xiàn)。
歷經(jīng)考驗,值得信賴(lài)
阿里巴巴現網(wǎng)多個(gè)數據中心出口,部署有華為的Anti-DDoS解決方案,總防護性能數百G,平均每天防護的DDoS攻擊次數超100次,每年DDoS攻擊防護次達數萬(wàn)次,峰值防護的DDoS攻擊流量超100Gbps。如今,DDoS攻擊在阿里巴巴的安全工程師眼里已經(jīng)習以為常的事情了,由華為Anti-DDoS方案自動(dòng)調度進(jìn)行清洗防護即可,需要他們做的無(wú)非是事后看看報告而已。
哪怕是在2013年11月11日當天,阿里巴巴的安全團隊成員仍然能夠在“雙11”當天從容的正常上下班。第二天報告匯報下阿里巴巴雙11當天經(jīng)歷了多輪DDoS攻擊事件,峰值攻擊流量超過(guò)19Gbps,最小的攻擊流量500Mbps。事實(shí)證明華為Anti-DDoS方案在雙11當天,一如既往的成功防護了多輪DDoS攻擊事件,有力的保障了阿里巴巴雙11網(wǎng)絡(luò )交易順暢平穩,是值得用戶(hù)信賴(lài)的DDoS防護方案。
“華為的Anti-DDoS解決方案每年幫我們防護的DDoS攻擊次數超過(guò)4萬(wàn)次,平均每天的防護的攻擊次數超100次,最高防御100G的超大流量攻擊,該系統功能強大,防護精準,也很好用。”
阿里巴巴 集團高級安全專(zhuān)家 魏興國
