350億的大交易
阿里巴巴集團(tuán)是全球領(lǐng)先的電子商務(wù)公司,2012年,其電子商務(wù)與支付平臺平均每天處理2400萬筆交易,年處理交易額超過10000億元,是eBay和亞馬遜全年交易額之和。特別是在2013年11月11日(“雙11”)當(dāng)天的交易額超過350億元,總交易數(shù)超過1.88億筆,是美國“黑色星期五”線上交易的4倍多,創(chuàng)造了阿里巴巴網(wǎng)絡(luò)交易新紀(jì)錄。
除了傳統(tǒng)的淘寶、天貓、支付寶等關(guān)鍵在線業(yè)務(wù)交易系統(tǒng)外,阿里巴巴的云計(jì)算平臺還對外向中小企業(yè)、開發(fā)者提供云服務(wù)。截至2013年11月,阿里巴巴云計(jì)算平臺已為超過10萬個業(yè)務(wù)系統(tǒng)提供服務(wù),覆蓋了互聯(lián)網(wǎng)上已有的所有業(yè)務(wù)類型。如此巨大的業(yè)務(wù)量對阿里巴巴平臺的性能和可靠性提出了巨大挑戰(zhàn),平臺的穩(wěn)定性和安全性變得尤為重要。
“安保”方案責(zé)任重大
阿里巴巴每天都要遭受上億次的惡意入侵與網(wǎng)絡(luò)攻擊,其中DDoS攻擊對其業(yè)務(wù)危害最為嚴(yán)重。因此,選擇一個合適的DDoS防護(hù)方案就變得非常重要,條件也異?量。
DDoS防護(hù)方案必須能快速響應(yīng)、精準(zhǔn)防護(hù),而且能夠根據(jù)不同業(yè)務(wù)提供差異化防護(hù)策略。
DDoS防護(hù)方案要能夠隨著阿里巴巴云計(jì)算平臺的彈性擴(kuò)展相應(yīng)地對防護(hù)性能進(jìn)行彈性擴(kuò)展,滿足業(yè)務(wù)3~5年的發(fā)展需求。
阿里巴巴的云計(jì)算平臺還會快速增長,而不同客戶的業(yè)務(wù)運(yùn)營模式差異較大,因此,靈活的業(yè)務(wù)自助方式以及簡單方便的使用維護(hù),對DDoS安全服務(wù)起著決定性作用。
同時,能夠?qū)DoS安全業(yè)務(wù)無縫適配到阿里云服務(wù)平臺并對外提供,也是阿里巴巴挑選DDoS方案的重要依據(jù)。
華為方案更勝一籌
在阿里巴巴苦苦尋覓DDoS防護(hù)方案時,一次大型DDoS攻擊的成功防護(hù)引起了阿里巴巴關(guān)注。在與被攻擊者交流后得知其使用的正是華為Anti-DDoS方案,此后通過與華為安全人員的多輪交流,阿里巴巴對華為Anti-DDoS解決方案產(chǎn)生了濃厚興趣,并開啟了漫長的POC測試工作。
在POC測試過程中,阿里巴巴的測試人員首先將在現(xiàn)網(wǎng)收集的所有攻擊報文進(jìn)行了一一回訪,華為Anti-DDoS方案均能夠成功防護(hù);接著測試人員結(jié)合阿里巴巴業(yè)務(wù)特點(diǎn),模擬現(xiàn)網(wǎng)常見的業(yè)務(wù)流量模型,在幾十G正常流量背景下,測試了50Mbps的小流量攻擊,華為Anti-DDoS能夠在2秒內(nèi)實(shí)現(xiàn)精準(zhǔn)識別;針對特定HTTP業(yè)務(wù),測試人員采用應(yīng)用型慢速、慢鏈接DDoS攻擊,華為Anti-DDoS方案能快速、自動學(xué)習(xí)攻擊特征,進(jìn)行精準(zhǔn)防護(hù);此外,當(dāng)前通過移動智能終端訪問業(yè)務(wù)的流量越來越大,測試人員特意加強(qiáng)了防護(hù)方案對智能終端影響的測試用例,華為方案均能一一成功處理攻擊,并不影響終端用戶訪問。隨著測試的深入,華為方案基于租戶的防護(hù)策略、流量模型學(xué)習(xí)、詳細(xì)的報表功能,以及使用方便等特性,都給測試人員留下了深刻印象。
功能測試之后是性能壓力測試,華為Anti-DDoS方案在配置2塊業(yè)務(wù)板卡的情況下成功防御了20Gbps的64字節(jié)SYN Flood攻擊,應(yīng)用層攻擊防護(hù)性能更能達(dá)到40Gbps,是業(yè)界同類廠商防護(hù)水平的2倍以上,而且增加業(yè)務(wù)板卡該性能還能線性提升到200Gbps,真是令人驚嘆。
“真金不怕火煉”。恰逢阿里巴巴現(xiàn)網(wǎng)業(yè)務(wù)遭受新一輪DDoS攻擊,華為Anti-DDoS方案被緊急部署到線上,防護(hù)現(xiàn)網(wǎng)受到攻擊的服務(wù)器,華為Anti-DDoS方案在2秒內(nèi)實(shí)現(xiàn)攻擊流量全部清洗,并且對正常用戶訪問沒有絲毫影響,如此理想的效果令阿里巴巴的安全專家也為之感到振奮,漫長的Anti-DDoS解決方案選型也至此畫上了圓滿的句號。自此以后,華為Anti-DDoS方案在阿里巴巴就再沒有下過線。
歷經(jīng)考驗(yàn),值得信賴
現(xiàn)在,阿里巴巴現(xiàn)網(wǎng)的多個數(shù)據(jù)中心出口都部署有華為Anti-DDoS解決方案,總防護(hù)性能達(dá)數(shù)百G,平均每天防護(hù)DDoS攻擊上百次,每年達(dá)數(shù)萬次,峰值防護(hù)的DDoS攻擊流量超過100Gbps。如今,阿里巴巴的安全工程師已經(jīng)可以輕松應(yīng)對日常的DDoS攻擊,由華為Anti-DDoS方案自動調(diào)度進(jìn)行清洗防護(hù)即可,需要他們做的無非是事后看看報告而已。
即使是在2013年“雙11”當(dāng)天,阿里巴巴安全團(tuán)隊(duì)成員仍然能夠從容地正常上下班。第二天的報告表明,“雙11”當(dāng)天阿里巴巴經(jīng)歷了多輪DDoS攻擊,峰值攻擊流量超過19Gbps,最小攻擊流量500Mbps,而華為Anti-DDoS方案一如既往地進(jìn)行了成功防護(hù),有力保障了阿里巴巴“雙11”網(wǎng)絡(luò)交易順暢平穩(wěn),是值得用戶信賴的DDoS防護(hù)方案。
客戶的聲音
“華為Anti-DDoS解決方案每年幫助我們防護(hù)的DDoS攻擊次數(shù)超過4萬次,平均每天防護(hù)的攻擊次數(shù)超過100次,最高防御了100G的超大流量攻擊,該系統(tǒng)功能強(qiáng)大,防護(hù)精準(zhǔn),并且非常好用。”
——阿里巴巴集團(tuán)高級安全專家 魏興國