|
文 / 康翔 from Power to Tech 最近的武林不消停���。 在練家子眼里��,這是一個(gè)草根的自由搏擊選手“滋事”���,不自量力地挑戰(zhàn)中國(guó)傳統(tǒng)武術(shù),從而達(dá)到炒作的目的�。 姑且不去說(shuō)背后的是是非非,不過(guò)這種情形卻讓我不由聯(lián)想起安全圈里令人談之色變的分布式拒絕服務(wù)攻擊��。 怎么說(shuō)呢?分布式拒絕服務(wù)攻擊���,即我們通常所說(shuō)的DDoS(發(fā)音:滴到死)�。聽(tīng)著就夠壞的����,本身沒(méi)有多少技術(shù)含量,成本還非常低廉���,但是卻能夠輕松癱瘓一個(gè)網(wǎng)站�����。 毫不夸張地說(shuō)�����,只要量足夠大,DDoS攻擊甚至可以讓一座城市斷網(wǎng)����。 好消息是,魔高一尺道高一丈��。目前市場(chǎng)上已經(jīng)有很多公司在做防護(hù)攻擊的工作,而其中尤其值得關(guān)注的���,則是運(yùn)營(yíng)商級(jí)別的某些產(chǎn)品和服務(wù)����,譬如來(lái)自中國(guó)電信的“云堤”����。 5月3日,第五屆中國(guó)國(guó)際云計(jì)算技術(shù)和應(yīng)用展覽會(huì)暨論壇在北京召開(kāi)�����,中國(guó)電信網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營(yíng)中心市場(chǎng)總監(jiān)劉長(zhǎng)波在云安全論壇上發(fā)表了演講����。會(huì)后,我有幸與他就云堤進(jìn)行了一番交流�����。 
面對(duì)網(wǎng)絡(luò)攻擊的第四種選擇 云堤是中國(guó)電信集團(tuán)公司旗下��,面向政府和企業(yè)客戶推出的運(yùn)營(yíng)商級(jí)網(wǎng)絡(luò)安全產(chǎn)品����。 基于中國(guó)電信全網(wǎng)海量帶寬�����、高性能設(shè)備���、覆蓋全國(guó)的運(yùn)維體系和技術(shù)團(tuán)隊(duì),云堤為政企客戶提供DDoS攻擊防護(hù)��、域名安全防護(hù)��、反釣魚(yú)��、網(wǎng)站安全等專業(yè)服務(wù)����。 其實(shí)這個(gè)產(chǎn)品問(wèn)世并不久。 最初的團(tuán)隊(duì)2014年10月成立�,骨干均來(lái)自于中國(guó)電信集團(tuán)公司的生產(chǎn)和科研一線。2015年1月���,云堤正式發(fā)布和推出,當(dāng)時(shí)主打DDoS攻擊防護(hù)�����。 云堤的發(fā)展很快,不到一年的時(shí)間就服務(wù)了近1000家客戶��。在當(dāng)年12月的第二屆烏鎮(zhèn)世界互聯(lián)網(wǎng)大會(huì)上��,鑒于云堤助力我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)所取得的成績(jī)�����,國(guó)家領(lǐng)導(dǎo)人對(duì)之給予了高度評(píng)價(jià)和肯定����。 云堤的功力暴增,并不是因?yàn)橛惺裁创筮€丹或者武林秘笈之類的奇遇�����,而是它與生俱來(lái)的能力����,并且不斷磨礪自我所致。 早在2008年����,中國(guó)電信就為北京奧運(yùn)預(yù)先部署了DDoS清洗設(shè)備��,重點(diǎn)保障政府重要系統(tǒng)和信息平臺(tái)�����?��?梢赃@樣說(shuō),歷來(lái)重要的國(guó)家級(jí)大型活動(dòng)和事件�,背后都有中國(guó)電信的默默支持和保駕護(hù)航。 而今���,中國(guó)電信將這種能力開(kāi)放出來(lái)��,為更多政企客戶提供專業(yè)的安全防護(hù)���。據(jù)劉長(zhǎng)波介紹,目前云堤DDoS攻擊防護(hù)的客戶已經(jīng)超過(guò)3000家���,網(wǎng)站安全防護(hù)的客戶超過(guò)1000家�����。 
很多人可能不知道����,目前幾乎所有的著名大型互聯(lián)網(wǎng)公司以及大型云服務(wù)提供商��,均通過(guò)云堤提供的API調(diào)用DDoS防護(hù)能力抵擋超大規(guī)模的流量型攻擊����。 盡管如此,最近幾年來(lái)DDoS攻擊仍是有增無(wú)減���。劉長(zhǎng)波列舉了一串?dāng)?shù)據(jù)�����,以今年2月為例����,盡管當(dāng)月只有28天�,但是DDoS攻擊總量卻超過(guò)了過(guò)去任何一個(gè)月。原因很簡(jiǎn)單——充當(dāng)攻擊任務(wù)的“肉雞”越來(lái)越多��,攻擊者的成本愈發(fā)低廉���。 現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境如同充滿霧霾��,劉長(zhǎng)波表示�。面對(duì)網(wǎng)絡(luò)攻擊存在三種人,第一種人是正在被攻擊���,第二種人是不知道被攻擊�,第三種人是不承認(rèn)被攻擊�����。 劉長(zhǎng)波希望大家做第四種��,即:知道網(wǎng)絡(luò)存在安全風(fēng)險(xiǎn)��,一起去面對(duì)����,同時(shí)清楚地知道如何去解決。他表示�,針對(duì)不同的安全風(fēng)險(xiǎn),云堤擁有不同的����、針對(duì)性的解決方案�。 運(yùn)營(yíng)商級(jí)別的終極防護(hù) 與其他同類的產(chǎn)品和服務(wù)不同����,云堤的DDoS攻擊防護(hù)是運(yùn)營(yíng)商級(jí)別�����。 首先��,這意味著云堤的攻擊防護(hù)位置在運(yùn)營(yíng)商的上游網(wǎng)絡(luò)�����,而不是在客戶層面����。DDoS的防護(hù)動(dòng)作離客戶越遠(yuǎn),客戶就越安全���。 其次�����,攻擊防護(hù)的關(guān)鍵之一在于帶寬�����,沒(méi)有足夠的帶寬���,大流量的DDoS攻擊就沒(méi)有辦法被吃下去����,電信在帶寬方面的優(yōu)勢(shì)自不待言����。 再次,攻擊流量被帶寬吃下來(lái)之后����,需要專業(yè)的頂級(jí)設(shè)備做處置,將一些攻擊流量破解掉���,確保誤殺率低�����。 最后�����,云堤有比較成熟的運(yùn)維體系�����。得益于中國(guó)電信的運(yùn)維體系�����,云堤可以做到從集團(tuán)到省��、市甚至縣級(jí)層面�,具有強(qiáng)大的現(xiàn)場(chǎng)支援能力��。 云堤的優(yōu)勢(shì)可以總結(jié)為三步�����,即看得見(jiàn)����、防得住、說(shuō)得清��。在防護(hù)攻擊上���,云堤可以做到知己知彼��,這也是其他同類產(chǎn)品服務(wù)難以企及的巨大優(yōu)勢(shì)��。 
DDoS攻擊流量統(tǒng)計(jì)實(shí)時(shí)截屏 點(diǎn)擊左下角“閱讀原文”直達(dá)云堤網(wǎng)站 劉長(zhǎng)波表示���,對(duì)于DDoS攻擊�,電信云堤有7×24的值班人員��。這些值班人員并不只是起到預(yù)警作用��,他們實(shí)際上就是處置專家��。這樣做的好處是��,整個(gè)鏈條非常短���,響應(yīng)時(shí)間及時(shí)�,根本不需要轉(zhuǎn)接二線�,對(duì)DDoS攻擊防護(hù)可以做到第一時(shí)間處置。 現(xiàn)在的各種安全防護(hù)�����,在本質(zhì)上均屬于智能化。畢竟面對(duì)海量的攻擊��,根本沒(méi)有辦法通過(guò)手動(dòng)的方式進(jìn)行排除���。云堤也是智能化的產(chǎn)品����,但與其他同類產(chǎn)品不同的是���,它擁有海量的歷史數(shù)據(jù)積累����,對(duì)于各種攻擊�����,云堤通過(guò)大數(shù)據(jù)“知道”如何識(shí)別正常流量��,應(yīng)該采取何種防護(hù)策略����。 云堤的另一個(gè)優(yōu)勢(shì)在于DDoS攻擊近源防護(hù)����。其工作原理基于分布式近源防護(hù)架構(gòu)的DDoS攻擊防護(hù)��,云堤的清洗動(dòng)作靠近攻擊源���,將流量分布式牽引到部署在全國(guó)的26個(gè)清洗中心,完成清洗后將正常流量回送到客戶服務(wù)器����。 這樣做的好處是可以避免單個(gè)防護(hù)節(jié)點(diǎn)能力不足的問(wèn)題,又可以避免攻擊流量過(guò)大����,導(dǎo)致骨干網(wǎng)、城域網(wǎng)或者IDC其中任何一個(gè)環(huán)節(jié)出現(xiàn)網(wǎng)絡(luò)擁塞��,引起客戶的業(yè)務(wù)訪問(wèn)質(zhì)量劣化��。 前面我們?cè)?jīng)提到過(guò)��,現(xiàn)在的網(wǎng)絡(luò)環(huán)境愈發(fā)嚴(yán)峻����,各種攻擊有增無(wú)減。劉長(zhǎng)波認(rèn)為,在互聯(lián)網(wǎng)時(shí)代�����,只要有競(jìng)爭(zhēng)���,就必然有攻擊��,這種黑色產(chǎn)業(yè)鏈比過(guò)去有了更加廣泛和隱蔽的存在���。 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷演進(jìn),不僅給創(chuàng)業(yè)創(chuàng)新帶來(lái)機(jī)遇��,從另外一個(gè)角度來(lái)看����,同時(shí)也給黑色產(chǎn)業(yè)鏈帶來(lái)了“能力增長(zhǎng)”。舉例而言��,帶寬的快速增長(zhǎng)���,意味著單點(diǎn)的攻擊能力也被迅速提升。目前�����,100G的24小時(shí)DDoS攻擊只需要幾百塊錢(qián),這在以前是不可想象的�����。 可以想見(jiàn)�,DDoS攻擊和防護(hù)仍將長(zhǎng)期鏖戰(zhàn),運(yùn)營(yíng)商級(jí)別的終極防護(hù)能力不可或缺�。 眾志成城守護(hù)網(wǎng)絡(luò)安全 當(dāng)然,網(wǎng)絡(luò)攻擊的形式并不是只有DDoS��。目前��,某些攻擊行為可能并不是很常見(jiàn)����,但是造成的危害卻是觸目驚心。 譬如兩年前蘋(píng)果公司發(fā)布Apple Watch后不久����,其網(wǎng)站便慘遭全球性宕機(jī)。結(jié)果是11個(gè)小時(shí)內(nèi)�,客戶無(wú)法訪問(wèn)和購(gòu)買(mǎi)蘋(píng)果相關(guān)的產(chǎn)品服務(wù),造成直接經(jīng)濟(jì)損失至少2500萬(wàn)美元��,蘋(píng)果的市值更是瞬間蒸發(fā)了130億美元。 最終�,蘋(píng)果給出的緣由是“一個(gè)內(nèi)部DNS錯(cuò)誤”。 DNS是域名和IP地址相互映射的分布式數(shù)據(jù)庫(kù)�,能夠使人更方便地訪問(wèn)互聯(lián)網(wǎng)。簡(jiǎn)而言之�����,DNS就像一個(gè)自動(dòng)的電話號(hào)碼簿����,用戶可以通過(guò)直接輸入網(wǎng)站名字,來(lái)代替復(fù)雜的IP地址�,從而完成對(duì)網(wǎng)站的訪問(wèn)。 由此可見(jiàn)��,作為網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施���,DNS服務(wù)的安全性和穩(wěn)定性�����,對(duì)于互聯(lián)網(wǎng)的健康有序運(yùn)轉(zhuǎn),有著舉足輕重的影響��。相比DDoS攻擊,DNS被篡改的頻率相對(duì)較低�,但是各方仍務(wù)必對(duì)此加以關(guān)注。 尤其值得關(guān)注的是����,一旦出現(xiàn)DNS被篡改的情況,客戶方面基本沒(méi)有任何辦法��,即便修正回來(lái)�,倘若運(yùn)營(yíng)商的緩存DNS沒(méi)有同步,那也無(wú)法解決��。劉長(zhǎng)波表示�����,云堤負(fù)責(zé)中國(guó)電信全網(wǎng)local DNS的維護(hù)工作��,可以通過(guò)統(tǒng)一的調(diào)度平臺(tái)實(shí)現(xiàn)秒級(jí)同步���。 當(dāng)然�����,并不是所有的流量都會(huì)通過(guò)中國(guó)電信�,做好DNS防護(hù)需要幾家運(yùn)營(yíng)商的統(tǒng)一行動(dòng)。好消息是中國(guó)電信本地DNS解析流量占比多達(dá)70%到80%�����,因此云堤實(shí)質(zhì)上守護(hù)了DNS安全的大半壁江山��。 據(jù)悉�,云堤目前還在跟多個(gè)大型互聯(lián)網(wǎng)公司討論合作事宜,爭(zhēng)取將云堤域名無(wú)憂做成云的標(biāo)配�,全方位地守護(hù)客戶的云安全。劉長(zhǎng)波表示����,中國(guó)電信一直在與互聯(lián)網(wǎng)公司進(jìn)行技術(shù)交流,不斷對(duì)自身的產(chǎn)品進(jìn)行迭代開(kāi)發(fā)��,同時(shí)與互聯(lián)網(wǎng)公司協(xié)同處理攻擊問(wèn)題���。 
每到年中年底�,有一種攻擊行為會(huì)變得越發(fā)活躍�,這就是釣魚(yú)網(wǎng)站。我們每個(gè)人都曾經(jīng)收到過(guò)積分商城之類的信息��,一旦點(diǎn)擊其中的鏈接地址��,就會(huì)被導(dǎo)入到一個(gè)假冒網(wǎng)站。倘若用戶在這里輸入了真實(shí)的登錄信息和密碼���,損失就不可避免了。 目前���,但凡涉及現(xiàn)金����、虛擬貨幣��、充值卡甚至網(wǎng)絡(luò)游戲����,都有被釣魚(yú)的可能。由于管控力度不足�����,這些釣魚(yú)網(wǎng)站80%以上位于香港��。 云堤反釣魚(yú)的策略除了利用大網(wǎng)優(yōu)勢(shì)——譬如DNS解析記錄被動(dòng)查詢�����、秒級(jí)關(guān)停等之外,也在主動(dòng)跟業(yè)內(nèi)相關(guān)部門(mén)����、組織和公司積極互動(dòng),共同探討新的防護(hù)方式�,為客戶提供先進(jìn)的防護(hù)技術(shù),造福社會(huì)���。 劉長(zhǎng)波希望澄清外界對(duì)于云堤的一個(gè)認(rèn)識(shí)誤區(qū)���。他表示,盡管與同類產(chǎn)品服務(wù)相比�����,云堤的價(jià)格略微高一點(diǎn)����,但這并不意味著它是大型企業(yè)和政府機(jī)構(gòu)的專享。事實(shí)上�,圍繞著不同客戶的特點(diǎn),云堤定制了不同的套餐��,中小企業(yè)同樣負(fù)擔(dān)得起。 作為基礎(chǔ)運(yùn)營(yíng)商���,中國(guó)電信愿意跟各種合作伙伴一起�����,讓網(wǎng)絡(luò)環(huán)境更加美好,云堤也將全力守護(hù)中國(guó)互聯(lián)網(wǎng)的安全�����。 ○ 本文圖片來(lái)自中國(guó)電信 責(zé)任編輯:阿由
|
