350億的大交易

　　2013年11月11日（“雙11”）天，阿里巴巴交易額超過350億元，交易超過1.88億筆，峰值超過79萬人在一分鐘同時(shí)完成交易，1/4交易來自移動(dòng)終端，阿里巴巴雙11交易的交易額是美國“黑色星期五”線上交易的4倍多，創(chuàng)造了阿里巴巴網(wǎng)絡(luò)交易新紀(jì)錄。

　　據(jù)阿里巴巴的統(tǒng)計(jì)數(shù)據(jù)顯示，2012年，阿里巴巴的電子商務(wù)與支付平臺(tái)平均每天處理2400萬筆交易，年處理交易額超過10000億元，是eBay和亞馬遜全年交易額之和。

　　除了阿里巴巴集團(tuán)傳統(tǒng)淘寶、天貓、支付寶等關(guān)鍵的在線業(yè)務(wù)交易系統(tǒng)外，阿里巴巴云計(jì)算業(yè)務(wù)對(duì)外中小企業(yè)、開發(fā)者提供云服務(wù)。截至2013年11月，阿里巴巴云計(jì)算平臺(tái)已為超過10萬個(gè)業(yè)務(wù)系統(tǒng)提供服務(wù)，這些業(yè)務(wù)系統(tǒng)基本上覆蓋了互聯(lián)網(wǎng)上所能看到的所有的業(yè)務(wù)類型。如此巨大的業(yè)務(wù)量對(duì)阿里巴巴平臺(tái)的性能和可靠性提出了巨大的挑戰(zhàn)，平臺(tái)的穩(wěn)定性和安全性變得尤為突出。

　　“安保”方案，責(zé)任重大

　　阿里巴巴每天遭受上億次的惡意入侵與網(wǎng)絡(luò)攻擊，其中DDoS攻擊往往會(huì)造成，網(wǎng)絡(luò)中斷、服務(wù)器癱瘓等嚴(yán)重的后果，直接影響到其經(jīng)濟(jì)收益和品牌影響力，是對(duì)阿里巴巴業(yè)務(wù)危害最為嚴(yán)重的攻擊之一。“分層立體”是阿里巴巴安全防護(hù)架構(gòu)思想，防護(hù)DDoS攻擊是阿里整個(gè)安全防護(hù)體系的重中之重。

　　一次精心策劃的黑客攻擊，往往都是由DDoS攻擊開始，然后再伴隨著入侵、掛馬、數(shù)據(jù)竊取等深層次動(dòng)作；而一些瘋狂的黑客，甚至?xí)�采用大流量DDoS攻擊擁塞網(wǎng)絡(luò)與系統(tǒng)資源來達(dá)到攻擊目的。因此對(duì)于阿里巴巴來說，選擇一個(gè)合適的DDoS防護(hù)方案是非常重要，條件也是非�？量痰模�

　　第一，要有快速發(fā)現(xiàn)DDoS，并進(jìn)行精準(zhǔn)防護(hù)的能力

　　阿里巴巴客戶主要以中小企業(yè)、電商、游戲運(yùn)營開發(fā)者，全部業(yè)務(wù)是在線業(yè)務(wù)，對(duì)業(yè)務(wù)的連續(xù)性要求高，因此在眾多的訪問中，快速的定位出DDoS攻擊，并進(jìn)行精準(zhǔn)的防護(hù)，否則就會(huì)出現(xiàn)業(yè)務(wù)訪問延時(shí)大、中斷、客戶流失、經(jīng)濟(jì)損失等嚴(yán)重后果，甚至直接導(dǎo)致一個(gè)企業(yè)的滅亡。因此，適合阿里巴巴的 DDoS防護(hù)方案必須快速響應(yīng)，精準(zhǔn)防護(hù)，而且能夠根據(jù)不同的業(yè)務(wù)，提供差異化的防護(hù)策略。只有這樣，該系統(tǒng)才能為更多的客戶提供更安全的土壤，為阿里巴巴帶來更多的客戶資源。

　　第二，必須具高性能和彈性的擴(kuò)展能力

　　在DDoS攻擊來臨時(shí)，阿里巴巴云計(jì)算服務(wù)面臨僵尸網(wǎng)絡(luò)的海量惡意請(qǐng)求，服務(wù)器疲于響應(yīng)惡意請(qǐng)求，無法為正常用戶提供服務(wù)，甚至存在數(shù)據(jù)中心客戶業(yè)務(wù)中斷、云計(jì)算平臺(tái)癱瘓等風(fēng)險(xiǎn)�？笵DoS方案作為阿里云數(shù)據(jù)中心的大門守護(hù)神，必須將DDoS洪水阻擋在門外，同時(shí)更不能出現(xiàn)，在DDoS防護(hù)時(shí)自身性能不足，成為阿里整個(gè)平臺(tái)的性能瓶頸，會(huì)造用戶成時(shí)延增大、用戶訪問差，影響正常用戶的情況。此外，該方案要能夠隨著阿里巴巴云計(jì)算平臺(tái)彈性擴(kuò)展需求進(jìn)行防護(hù)性能的彈性擴(kuò)展，滿足其業(yè)務(wù)3-5年的發(fā)展需求。

　　第三，快速部署，方便運(yùn)營的能力

　　阿里巴巴的云計(jì)算平臺(tái)客戶業(yè)務(wù)已經(jīng)超過10萬個(gè)，后續(xù)還會(huì)快速增長(zhǎng)，這些客戶的業(yè)務(wù)以社區(qū)網(wǎng)站、企業(yè)官網(wǎng)、電子商務(wù)網(wǎng)站、游戲等為主，業(yè)務(wù)流量大小規(guī)模相差懸殊，業(yè)務(wù)運(yùn)營模式差異較大，因此，靈活的業(yè)務(wù)自助方式以及簡(jiǎn)單方便的使用維護(hù)，對(duì)DDoS的安全服務(wù)起著決定性作用。

　　同時(shí)，能夠?qū)�DDoS安全業(yè)務(wù)無縫地適配到阿里云服務(wù)平臺(tái)，并對(duì)外提供，是阿里巴巴對(duì)DDoS方案挑選的重要依據(jù)。

　　為了搭建一個(gè)適合阿里巴巴業(yè)務(wù)發(fā)展與防護(hù)要求的DDoS防護(hù)體系，阿里巴巴也曾試圖自己研發(fā)適合自己的DDoS防護(hù)系統(tǒng)，同時(shí)也在國內(nèi)外多個(gè)家廠商中，進(jìn)行了多輪篩選，不是性能不能滿足阿里巴巴的需求（阿里巴巴的防護(hù)需求都是100Gbps級(jí)別的，而業(yè)界同類廠商基本上都是不超過20Gbps的產(chǎn)品，無奈~~~），就是防護(hù)精準(zhǔn)度（不能基于業(yè)務(wù)、基于租戶防護(hù)）和彈性擴(kuò)展（業(yè)界同類廠商基本上不能實(shí)現(xiàn)彈性進(jìn)行性能擴(kuò)展）能力上與阿里巴巴的需求不匹配。

　　華為方案更勝一籌

　　在阿里巴巴苦苦尋覓DDoS防護(hù)方案時(shí)，一次大型DDoS攻擊在“圈內(nèi)”引起轟動(dòng)，但被攻擊者成功防護(hù)了此次攻擊，引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知使用的正式華為的Anti-DDoS方案。在與華為安全人員的多輪交流中，阿里巴巴對(duì)華為的Anti-DDoS解決方案產(chǎn)生了濃厚的興趣，開啟了漫長(zhǎng)的POC測(cè)試工作。

　　阿里巴巴內(nèi)部幾十人的DDoS安全防護(hù)專家，將自己在現(xiàn)網(wǎng)上收集到的所有的攻擊報(bào)文，在POC測(cè)試中，進(jìn)行了一一回訪，華為的Anti-DDoS方案均能夠成功防護(hù)，阿里巴巴的安全專家似乎被華為的Anti-DDoS方案深深的吸引住了。隨著測(cè)試的深入，基于租戶的防護(hù)策略，流量模型學(xué)習(xí)，詳細(xì)的報(bào)表功能，用起來也很方便，阿里巴巴的安全專家完全不用華為工程師的幫忙就可以完成測(cè)試了。

　　在測(cè)試過程中，阿里巴巴工程師，結(jié)合阿里巴巴的業(yè)務(wù)特點(diǎn)，模擬現(xiàn)網(wǎng)常常業(yè)務(wù)流量模型，在數(shù)10G正常流量背景下，測(cè)試50Mbps的小流量攻擊，華為的Anti-DDoS能夠?qū)崿F(xiàn)2秒鐘精準(zhǔn)的識(shí)別；同時(shí)針對(duì)特定HTTP業(yè)務(wù)，采用攻擊攻擊進(jìn)行進(jìn)行應(yīng)用型慢速、慢鏈接的DDoS攻擊，華為的Anti-DDoS方案能夠快速的自動(dòng)學(xué)習(xí)到攻擊特征，進(jìn)行精準(zhǔn)防護(hù)。通過移動(dòng)智能終端訪問業(yè)務(wù)的流量越來越大，之前有廠商在測(cè)試過程中，出現(xiàn)防護(hù)影響智能終端用戶正常業(yè)務(wù)的情況，阿里在測(cè)試過程中，特意加強(qiáng)了華為方案防護(hù)對(duì)智能終端影響的測(cè)試用例，華為方案均能夠一一成功處理攻擊留情，并不影響終端用戶訪問。

　　在經(jīng)過功能測(cè)試完成之后，阿里巴巴需要對(duì)華為Anti-DDoS的方案進(jìn)行性能壓力測(cè)試，先是在測(cè)試環(huán)境下采用測(cè)試儀器發(fā)攻擊流量方式進(jìn)行，華為Anti-DDoS配置2塊業(yè)務(wù)板卡居然能夠成功防御20Gbps的64字節(jié)的SYN Flood攻擊，應(yīng)用層攻擊防護(hù)性能更是能夠達(dá)到40Gbps，已經(jīng)是業(yè)界同類廠商防護(hù)水平的2倍以上了，而且隨著業(yè)務(wù)板卡增加這一性能能夠線性提升到200Gbps，簡(jiǎn)直太棒了。

　　“真金不怕火煉”。恰逢阿里巴巴現(xiàn)網(wǎng)業(yè)務(wù)遭受一輪DDoS攻擊，阿里巴巴緊急將華為Anti-DDoS方案部署線上，進(jìn)行現(xiàn)網(wǎng)被攻擊服務(wù)器流量引致此方案進(jìn)行防護(hù)，華為Anti-DDoS在2秒內(nèi)，實(shí)現(xiàn)攻擊流量全部清洗，并且對(duì)正常用戶訪問沒有絲毫影響，效果太理想了。阿里巴巴的安全專家都為此感到振奮，漫長(zhǎng)的Anti-DDoS解決方案選型也至此畫上了圓滿的句號(hào)。自此以后，華為Anti-DDoS方案在阿里巴巴就沒有再下過線。

　　歷經(jīng)考驗(yàn)，值得信賴

　　阿里巴巴現(xiàn)網(wǎng)多個(gè)數(shù)據(jù)中心出口，部署有華為的Anti-DDoS解決方案，總防護(hù)性能數(shù)百G，平均每天防護(hù)的DDoS攻擊次數(shù)超100次，每年DDoS攻擊防護(hù)次達(dá)數(shù)萬次，峰值防護(hù)的DDoS攻擊流量超100Gbps。如今，DDoS攻擊在阿里巴巴的安全工程師眼里已經(jīng)習(xí)以為常的事情了，由華為Anti-DDoS方案自動(dòng)調(diào)度進(jìn)行清洗防護(hù)即可，需要他們做的無非是事后看看報(bào)告而已。

　　哪怕是在2013年11月11日當(dāng)天，阿里巴巴的安全團(tuán)隊(duì)成員仍然能夠在“雙11”當(dāng)天從容的正常上下班。第二天報(bào)告匯報(bào)下阿里巴巴雙11當(dāng)天經(jīng)歷了多輪DDoS攻擊事件，峰值攻擊流量超過19Gbps，最小的攻擊流量500Mbps。事實(shí)證明華為Anti-DDoS方案在雙11當(dāng)天，一如既往的成功防護(hù)了多輪DDoS攻擊事件，有力的保障了阿里巴巴雙11網(wǎng)絡(luò)交易順暢平穩(wěn)，是值得用戶信賴的DDoS防護(hù)方案。

　　“華為的Anti-DDoS解決方案每年幫我們防護(hù)的DDoS攻擊次數(shù)超過4萬次，平均每天的防護(hù)的攻擊次數(shù)超100次，最高防御100G的超大流量攻擊，該系統(tǒng)功能強(qiáng)大，防護(hù)精準(zhǔn)，也很好用。”

　　阿里巴巴 集團(tuán)高級(jí)安全專家 魏興國