F5公司：“雙十一”式的DDOS，你準備好了麼？

不知不覺間，“雙十一”購物節已經來到第六個年頭。無論電商網站還是社交平台，我們都可以在最顯著的位置看到各式“雙十一”的折扣廣告;同僚、朋友們的交流也從日常的問候變為了促銷資訊的互通有無……然而，随着我國網絡基礎設施的不斷改善、銀行服務種類的增多以及智能裝置普及的提升，日趨繁複的應用場景使得人們在享受線上購物便捷之餘，對自身财務、資訊的安全也變得更加關注。尤其在“雙十一”這樣巨量交易短時迸發的特殊事件中，網購服務鍊中的關鍵環節如何提升自己的安全性、保障最終使用者在獲得良好購物體驗的同時、自身權益不受侵害，無疑成為了“雙十一”工作的重中之重。如何在這個千億元人民币的大狂歡下保證應用始終高效與安全，來自f5公司的亞太區安全架構師金飛先生從兩個不同的角度進行了闡述。

應用定義的安全架構

金飛先生認為，在過往的“雙十一”中，尤其是在交易最高發的前幾個小時，使用者往往會面臨支付緩慢、無法支付或支付後顯示交易失敗等狀況。究其原因則在于在極短時間内，使用者通過各種客戶段發起的交易請求超過了電商、或者銀行處理能力，加之有不法分子在期間順水摸魚通過機器人進行搶拍、秒殺，或通過釣魚、頁面欺詐等盜取使用者資訊，導緻整個服務環節緩慢且充滿風險。事實上，這樣超高頻的應用需求，剛好符合ddos攻擊的所有特征，換句話說，“雙十一”這樣的事件，相當于一次對電商、銀行等企業資料中心的ddos攻擊。不同于曾經“殭屍電腦”發送的握手請求，随着使用形态的變化，現在的ddos攻擊更多來自于應用層。是以，傳統的防火牆方式對流量進行粗放式的清洗或拒絕很有可能會把正常需求拒之門外，進而使最終使用者得不到良好的使用體驗。金飛先生表示，在f5看來，現在的網絡安全應該更加重視來自應用端的威脅，并且需要真正從應用的層面定義一個企業的安全架構。舉例來講，在“雙十一”中，銀行或電商需要對應用請求進行更加智能的判斷與厘清，提前識别有效請求，甚至在必要的時候将一部分可疑請求“隔離”或遷移到雲端，以更大的運算能力處理這些需求，進而保證應用全局的安全、快速、高可用。甚至，通過f5的應用安全解決方案，電商甚至可以判斷應用請求是來自真正的使用者還是“秒殺”機器人，進而從根源上確定電商與使用者的雙方利益。金飛強調，不同于傳統網絡安全，這些基于應用行為判定的安全政策，正是f5這樣一直與應用“親密接觸”的adn企業的強勢所在。這也正是在“雙十一”中，有很多f5工程師都會在銀行、電商等使用者的機房進行值守。

端到端防護保障資訊安全

金飛先生認為，現在的線上購物環節較之五年前複雜了許多，而環節越多也就意味着潛在風險越大。簡單來講，從第三方下載下傳的app、到安全性不高的wifi、再到現在主流的注入病毒、頁面欺詐與釣魚網站，使用者資訊與财務在各個環節都有被不法分子擷取的可能。是以，f5一直倡導在充分了解應用行為的基礎上，執行端到端的安全政策，進而保障應用的安全與高可用。在這種端到端的應用鍊中，f5的端到端安全解決方案可以從使用者端的app就開始進行安全防護：通過f5 websafe在使用者端保護敏感資訊不被竊取，在傳輸時通過ssl加密保證資訊的安全，直到銀行端伺服器通過f5 asm進行進一步認證才可以對使用者的資金進行授權交易。而這一系列加密政策的主動權，則完全掌握在使用者自己的手中。此外，f5還提供了專門針對移動裝置的應用安全解決方案，通過f5 mobilesafe，金融客戶能過獲得防釣魚、惡意軟體嗅探、防止自動交易以及客戶敏感資訊保護等多角度防衛機制，并可以主動智能的解除在使用者移動裝置上發現的本地威脅，同時不會以任何方式改變使用者體驗。金飛先生強調，f5不希望為使用者提供“黑箱”式的安全解決方案，隻有充分考慮使用者的商業模式，從應用的角度規劃、訂制安全解決方案，才是應對“雙十一”這類事件的最好方法。

最後，金飛先生風趣的建議，“理性消費、拒絕沖動“才是“剁手黨“們避免資訊與财務損失的最佳方式;盡看折扣就盲目出手，往往更會得不償失。

本文轉自d1net（轉載）