防護進化 | 阿裡雲DDoS防護屢戰屢勝揭秘

阿裡雲安全 8月11日

1996年Panix遭受全球第一次DDoS攻擊。

這種攻擊的時代開啟了。

随着網絡資源擴充、IoT迅猛發展，DDoS攻擊愈演愈烈。

阿裡雲安全最新釋出的《DDoS攻防态勢觀察報告》指出，截至2020年，100Gbps+大流量攻擊占比連年翻倍，資源耗盡型攻擊水位已達300萬QPS級别。

最近發生的某遊戲公司上線即被DDoS到閉服，引發了不小的讨論，這種攻擊經過多年的演變，已經可以對某些行業業務造成毀滅性打擊。

超大流量等攻擊特征，讓很多人以為DDoS防護拼的是帶寬、資源——躺平靠心态，堅守靠硬抗，防禦靠“充值”。殊不知，随着這些年的發展，DDoS防禦早已不是當年的DDoS防禦。

阿裡雲原生DDoS防守，有來自雲平台的資源優勢，又演化出基于新技術的政策，在各類重大活動安全保障和雲上客戶的防禦過程中屢戰屢勝。

當大多數潛意識認為對抗大流量僅需“蠻荒之力”時，殊不知進階的防守已進化為“四兩撥千斤”。

一文揭秘，一起了解下現代化DDoS防禦的“十八般武藝”。

原生力量

“阿裡雲DDoS防護方案的吸引力之一，在于其已成為雲基礎架構的一部分，可為客戶提供原生安全防護。”

——The Forrester Wave™: DDoS Mitigation Solutions, Q1 2021

和基礎設施融為一體

不同于傳統架構，雲原生的DDoS防護在雲産品網絡中的原生網關和網絡邊界對流量進行識别和過濾。雲産品架構中預設內建，不需要額外運維和部署，不改變網絡架構，不需要關注如何接入。來自雲平台的強大資源和計算能力，配合雲内網關内生能力徹底阻斷攻擊。

雲網一體優質清洗

阿裡雲DDoS防護預設融合雲網絡Anycast近源清洗架構，在流量入口分布式清洗攻擊，效率和效果兼具。

攻防協同智能化

雲上資料無縫內建雲原生的DevOps套件，如雲監控、SLS，依托于雲原生的存儲、資料、算力優勢，快速分析海量威脅情報，共享所有雲上攻防資料。

故障發生多預案

萬一發生網絡故障，雲網絡自身的容災切換，就能緩解故障影響。

格鬥高手

DDoS防護在某程度上說是個“熟練工種”。

經曆的場景越多，越了解在遭受特定攻擊時應該如何排兵布陣，迅速化解危機。

阿裡雲的每一天

保護中國40%的備案網站

100萬惡意DDoS IP庫

抵禦60億次網絡攻擊

防禦2500次DDoS攻擊

阿裡雲DDoS防禦成績單

• 成功防護1Tbps攻擊

• 防禦峰值超過536.9萬QPS的最大規模資源耗盡型攻擊

• 成功防禦國内最大規模的高達758.6G每秒的Memcached DDoS反射攻擊

踩過衆多坑，扛過各種極限情況後，阿裡雲DDoS防護方案不僅能夠遊刃有餘的應對現在的攻擊局面，同時經過多年實時對抗經驗的積累，已具備成熟高效的營運體系，尤其擅長應對突發和新型攻擊。

堪比光速

阿裡雲DDoS高防的安全加速線路，可以實作中國内地使用者對非國内業務加速通路的同時，提供大流量DDoS攻擊防護能力。安全加速提供的清洗能力大于2 Tbps，有效保障業務通路速度和穩定性。

在邊緣網絡過濾惡意流量的實作方式，對業務也有巨大價值。

攻擊者的政策是，把分散在各處的小流量彙聚到一個點，造成整個目标點擁堵。

所謂以彼之道，還施彼身。

阿裡雲Anycast EIP網絡融合Anycast高防網絡，将攻擊流量根據地理位置遠近，把資料包路由到最近的主機站點，進而分散DDoS流量。

一個典型場景：

網絡遊戲玩家輸掉某場比賽後，為了不讓自己掉積分發起DDoS攻擊，意圖沖掉系統的實時結算，對業務穩定性構成威脅。通過對L3、L4、L7防禦系統的分層清洗政策，阿裡雲保證攻擊發生時，業務依然平穩運作。

戰術專家

随堂小測

以下是兩個業務的流量圖，哪個才是攻擊行為？

A

B

答案

點選下方空白處獲得答案

僅憑借圖上資訊，業務A的流量更符合DDoS攻擊的特征，有波峰也有波谷。但事實上，業務A的建立變化雖然很大，但是符合基線，是正常行為。而業務B的建立峰值雖然隻有A的1/10，但不符合基線，是攻擊行為。

這便是阿裡雲常說防護需要“千人千面”的重要性。

不同業務的QPS差異很大，一個預設的限速門檻值很容易造成誤傷，尤其是多使用者共用的IP。

分秒必争的攻防之戰，通過專家人工分析後再設定政策更是不可取，自動化、智能化才能解決問題。

阿裡雲 會自動學習的防守者

阿裡雲采用時間序列，學習到各個流量的趨勢、周期性、波動，自學習到正常業務的基線，每個業務、每個URL都建立自己的基線畫像後，自動區分攻擊流量和正常流量，在攻擊發生時生成攔截異常流量的政策，而不是對所有使用者采取“一刀切”的防護方案。

這樣實時線上的防護政策，對于各場景的防護都十分有效。無論是超大規模的流量攻擊，還是“打了就跑”的脈沖型攻擊，或者是利用小流量對伺服器或後端資料庫産生壓力，阿裡雲能夠防護全方位自動化智能防護，實作秒級攻擊壓制收斂。

智慧謀略

以下場景如何解決？

情景一

單一通路行為合理，但把行為組合之後，是否依舊合理？

情景二

把攻擊意圖植入加密流量，防禦手段是否就束手無策？

流量具體内容和特征隻是識别和處置的一部分次元，即使流量加密，從行為特征中也是可以發現蛛絲馬迹的。

情景三

某域名出現了新的通路特征，是否就必定是攻擊流量？

一方面，出現新的通路特征并不是唯一的考量點，智能防護會基于網站整體情況動态調整處置力度。

另一方面，智能防護會通過處置的通路者的通路序列避免誤傷，比如大促的時候，流量會和平時不一樣，但秒殺開始前，通路者會有正常的浏覽行為。

DDoS防禦産品的核心是檢測和清洗技術，而檢測技術的核心又在于對業務深刻的了解，才能快速精準判斷出是否真的發生了攻擊，清洗技術相對于檢測來講，不同的業務場景下要求粒度不一樣。

阿裡雲基于大資料計算和機器學習能力建設AI智能DDoS防護系統，先天具備對各類業務特征的先驗知識，并基于細粒度機器學習模型，可以定義每個域名的“白”流量，進而更好剔除“黑”流量。攻擊可實作超過99%的自動化響應，降低安全運維成本。

恪守真知

網絡和帶寬是DDoS防護繞不開的因素。阿裡雲已經在全球範圍内更新高防網絡，在國内建立新BGP高防網絡，突破現有BGP高防防護帶寬小、購買成本高等不足，提供更好的網絡穩定性和傳遞體驗。阿裡雲新BGP高防還能夠進行源站保護與源站減負，不但支援隐藏真實源站伺服器位址，将清洗後的幹淨業務流量回送到阿裡雲産品或線下機房；而且通過接入DDoS高防網絡，防護DDoS攻擊的同時複用連接配接，降低後端源站連接配接負載，提高源站服務效率。

【全球】

• 覆寫全球的網絡資源

• 1000萬QPS以上，高性能七層應用防護叢集性能

• 10+個近源清洗節點

• 10Tbps+防護網絡總帶寬

【全力】

防護無上限，在對應的阿裡雲區域内提供全力防護能力

最高顔值

阿裡雲DDoS防護依托于日志服務提供網站業務全量日志的實時采集、秒級查詢和深度分析，實作DDoS攻擊防護資料化、透明化和可視化，實時展示被保護網站的總體營運狀況和被通路狀況，幫助使用者在遭遇DDoS攻擊時完整地記錄下詳細日志，并對關鍵業務或攻擊進行深入分析。

阿裡雲DDoS防護全球權威機構認可：

• 國内唯一入選《The Forrester Wave: DDoS Mitigation Solutions, Q1 2021》，智能防禦引擎獲認可

• 兩次入選 Forrester《Now Tech Market Presence Segment: DDoS Mitigation Solution》報告

• 2020年，DDoS攻擊防護平台入選工信部推薦的網絡安全公共服務平台

• 2019 年，阿裡資料中心骨幹網 IPv6 DDoS 網絡安全防禦獲工信部“網絡安全技術應用試點示範項目”

• Frost & Sullivan 2019 年大中華區市場佔有率第一，營收超傳統廠商

80% 頭部遊戲企業首選，阿裡雲DDoS防護解決方案

遊戲行業是DDoS攻擊的重災區。

這是一個對業務流暢性、穩定性有着幾乎“變态”要求的行業，極易遭受行業以攻擊作為惡意競争手段，業務體驗很容易受攻擊者影響，出海後更是進入攻擊深水區。

在中國TOP 10的遊戲頭部企業中，80%選擇阿裡雲安全的保護。憑借多年安全能力積累，針對遊戲行業複雜激烈的攻防情況，以及不同遊戲類型在延遲和帶寬需求上的差別，阿裡雲提供四種不同的DDoS防護方案，全面防護SYN flood、Ack flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻擊方式，提供真實無感防禦。

01

動作、射擊、即時戰略類遊戲：

要求遊戲體驗無延遲（小于1毫秒）

阿裡雲獨特的原生防護功能，通過ECS、SLB、EIP、WAF等平台直接調用，預設享受阿裡雲目前地域最高機房網絡和資源整體能力。基于雲原生的防禦架構，實作零網絡延遲。

02

卡牌類、回合制、RPG類遊戲：

對延遲要求較低，但對業務連續穩定性要求極高

此類客戶需要極大接近無限的帶寬吞吐能力，阿裡雲新BGP高防産品，擁有八線BGP資源，單節點最高1.5Tbps防護力，覆寫各大營運商，單一IP即可滿足不同線路快速通路和防護需求。

03

棋牌類等高熱度遊戲：

面對高頻次的攻擊，對防護有效性要求極高

傳統的DDoS大量流防護原理是針對一個IP進行強力防護，而阿裡雲遊戲盾抗D産品是基于彈性安全網絡技術，根據用戶端環境資訊，實作秒級攻擊溯源并及時隔離問題IP，有效緩解單點防禦的帶寬壓力，無需占用大量資源帶寬，絕不漏放任意一次攻擊行為。

04

針對出海遊戲：

對線路穩定性，通路速度要求高

采用海外專屬的國際高防産品，實作中國境内到海外加速網絡延遲小于50ms。阿裡雲分布式防護能力覆寫全球，能抵抗百萬級QPS級别的資源耗盡型攻擊，全球跨域清洗，為企業全球化提供高品質安全加速線路。

近日，國内小型遊戲制作商曝出被黑客組織攻擊敲詐，并不是偶然事件，但導緻直接閉服，攻擊者過于嚣張。小型遊戲制作商受限于各種原因，防護能力較弱，是DDoS攻擊者眼中的“肥肉”。

阿裡雲自2019年起，就啟動了面向所有企業承諾提供全球24小時免費應急服務。所有遭受DDoS攻擊的企業，均可免費擷取24小時黃金救急服務，詳情咨詢阿裡雲熱線95187轉1。

點選閱讀原文，擷取更多遊戲行業安全解決方案

  阿裡雲安全  

國際領先的雲安全解決方案提供方，保護全國 40% 的網站，每天抵禦 60 億次攻擊。

2020 年，國内唯一雲廠商整體安全能力獲國際三大機構（Gartner/Forrester/IDC）認可，以安全能力和市場佔有率的絕對優勢占據上司者地位。

阿裡雲最早提出并定義雲原生安全，持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力，和基礎設施深度融合推動安全服務化，支援彈性、動态、複雜的行業場景，獲得包括政府、金融、網際網路等各行業使用者認可。

作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者，阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境，為使用者提供全球最高等級的安全可信雲。