前不久,老冀去上海參加了錘子科技新釋出的堅果手機釋出會,結果在預訂的時間又過了一個多小時羅永浩才出來,後來才知道原來錘子科技的網站遭受了數十G的DDoS(分布式拒絕服務)攻擊,緻使本來準備在釋出會後開始預售的網站陷入了癱瘓。
由此可見DDoS對于網際網路行業的巨大威脅。在這個高速發展的行業,即使網站停止運作一天甚至幾個小時都是不可原諒的,甚至會造成巨大的經濟損失。那麼,網際網路公司有沒有什麼好辦法來防止這種緻命的攻擊呢?
讓1T的海量攻擊消于無形
9月17日,老冀在北京望京昆泰酒店,觀看了一場關于DDoS的實戰演練。
其中,樂視雲作為模拟攻擊方,百度雲加速與兩家合作夥伴CloudFlare和中國電信雲堤則是防守方。
下午3時許,樂視雲計算有限公司CEO、樂視戰略項目副總裁吳亞洲一聲令下,一場針對雲加速3.0的大流量攻擊發起了。
第一波攻擊來自樂視雲海外節點,一開始就有數十G的流量,超過70G後百度雲加速啟動藍色報警。而後,攻擊流量逐漸增加至350G左右,雲加速開始發出橙色報警。雲加速啟動合作夥伴CloudFlare的海外防禦,通過Anycast進行流量分攤防禦。
第二波攻擊則來自國内。在第一波海外攻擊被壓制無法取得效果的同時,攻擊方又啟動了新一波的國内攻擊,攻擊流量增加到了600G,再次對該網站發起瘋狂的攻擊。也幾乎就在同時,雲加速發出紅色預警,雲堤啟動了近源壓制,把攻擊流量在攻擊源頭的省内進行了攔截,餘下的數百G流量持續在雲加速ADN中心進行清洗。
看到兩波攻擊的效果都不理想,攻擊方隻好孤注一擲,攻擊總流量突然升至1T以上,現場的媒體記者們都驚呆了,因為這已經重新整理了全球的最高紀錄,這個流量已經相當于12306春運期間,最高請求數的20倍,也是最高峰值帶寬的83倍。
再做個比較,一般國内中小城市的總帶寬也就500G左右,如果此時的這個流量全部打到某個中小城市的IP上,整個城市就會斷網。
雖然隻是短短的10分鐘的實戰演練,百度雲安全總經理馬傑的心卻始終放不下來。倒不是對自己的百度雲加速沒有信心,而是擔心瞬間這麼大的異常流量會引起網監部門的注意,回頭找他“喝茶”。
不過,通過這麼一次真刀真槍的演練,也确實讓業界見識了百度雲加速出色的防禦能力。當檢測到異常的大流量攻擊的同時,百度自主研發的DDoS/CC清洗算法就會自動運作,并且與CloudFlare和雲堤形成關聯:雲加速識别到來自國外的攻擊流量,通過Anycast在路由層面分散到全球超級節點進行清洗;國内攻擊流量則是雲加速将攻擊特征同步給雲堤,由雲堤進行近源清洗。整個攻防過程中,正常的通路得到回源,而攻擊流量則被清洗掉。
由于百度雲加速的合作節點分布全球各地,1Tbps的流量打到雲加速平台之後,會被瞬時分散到各個節點,并且受到了近源壓制。是以對接入雲加速的網站和使用者造成的影響幾乎沒有。而且,像北京、上海等國家級網絡節點的帶寬非常高,經過初步清洗的流量就不會對網絡産生很大的影響。是以,普通的網民也很難察覺出網絡異常,但專業人士都能在網絡上檢測到當天有大流量經過。
不隻是加速
這也是2015年4月百度收購安全寶之後的第一次大規模産品釋出。通過這次收購,百度雲安全的市場佔有率超過了30%,已經是國内擁有最多客戶資源的企業網絡應用安全保護平台。如今,作為安全寶創始人之一的馬傑感覺信心滿滿:因為百度強大的資源支援,給新成立的百度雲安全注入了強大的動力。
其實,百度雲加速3.0的功能遠不止是加速。全新一代智能XDN——這是馬傑對百度雲加速3.0的定位,它“融合了全球覆寫的CDN網絡,智慧安全的BDN網絡,抗擊超高流量的ADN網絡,以及分布式防禦DDN網絡。但雲加速3.0并不止于此,未來,我們還将融入更多個‘DN’,讓使用者的網站更快的到達全球使用者;具備更高的優化和推廣能力:建立更強大的抵禦攻擊的能力。百度雲安全總經理馬傑指出,百度雲加速3.0的特點是:更高、更快、更強。更高指的是,把SEO(搜尋引擎優化)作為更高的戰略,因為對很多企業而言,防住安全隐患還不夠,更重要的是版主他們把産品賣出去才叫安全;更快指的是,SEO要更快捷地實作,幫助企業把搜尋結果推廣到客戶那裡;更強則是指,百度有關鍵詞服務,還有更強的防禦能力。
在釋出會上,馬傑再三強調百度雲安全的中立性、開放性。“在百度内部,百度雲安全部與百度雲是獨立的兩個并行的部門,是以百度開放雲也是我的客戶。而且,他們跟其他雲拿到的接口是一樣的。在阿裡雲或者騰訊雲,安全是雲的一個子部門,是以服務自己的雲為主要目的,而我們是唯一的完全一個獨立的部門,所有的雲都是我的夥伴。”也正是因為這樣,現在百度雲安全也能夠與電信雲、金山雲、華為企業雲、AWS中國、青雲,又拍雲、品高雲等第三方雲服務提供商進行緊密的合作。
“是以在這件事情上,要讓夥伴相信你,一定做到自己内部也是公平的。整個雲的生态應該是一個更平衡的生态,對大家都更好。”馬傑還表示,百度雲安全會将自己的抗DDoS能力、CDN能力等各種能力都以接口的方式向合作夥伴分批開放,目的就是希望整個雲的生态是一個平衡的生态,是一個百花齊放的生态。
而百度雲安全的目标,就是成為所有雲的基礎技術服務商。當大家都在公有雲市場淘金的時候,百度雲安全希望成為賣水賣工具的那個人。