百度云安全:如何防御能让一座城市瘫痪的网络攻击

前不久,老冀去上海参加了锤子科技新发布的坚果手机发布会,结果在预订的时间又过了一个多小时罗永浩才出来,后来才知道原来锤子科技的网站遭受了数十G的DDoS(分布式拒绝服务)攻击,致使本来准备在发布会后开始预售的网站陷入了瘫痪。

由此可见DDoS对于互联网行业的巨大威胁。在这个高速发展的行业,即使网站停止运行一天甚至几个小时都是不可原谅的,甚至会造成巨大的经济损失。那么,互联网公司有没有什么好办法来防止这种致命的攻击呢?

让1T的海量攻击消于无形

9月17日,老冀在北京望京昆泰酒店,观看了一场关于DDoS的实战演练。

其中,乐视云作为模拟攻击方,百度云加速与两家合作伙伴CloudFlare和中国电信云堤则是防守方。

下午3时许,乐视云计算有限公司CEO、乐视战略项目副总裁吴亚洲一声令下,一场针对云加速3.0的大流量攻击发起了。

第一波攻击来自乐视云海外节点,一开始就有数十G的流量,超过70G后百度云加速启动蓝色报警。而后,攻击流量逐渐增加至350G左右,云加速开始发出橙色报警。云加速启动合作伙伴CloudFlare的海外防御,通过Anycast进行流量分摊防御。

第二波攻击则来自国内。在第一波海外攻击被压制无法取得效果的同时,攻击方又启动了新一波的国内攻击,攻击流量增加到了600G,再次对该网站发起疯狂的攻击。也几乎就在同时,云加速发出红色预警,云堤启动了近源压制,把攻击流量在攻击源头的省内进行了拦截,余下的数百G流量持续在云加速ADN中心进行清洗。

看到两波攻击的效果都不理想,攻击方只好孤注一掷,攻击总流量突然升至1T以上,现场的媒体记者们都惊呆了,因为这已经刷新了全球的最高纪录,这个流量已经相当于12306春运期间,最高请求数的20倍,也是最高峰值带宽的83倍。

再做个比较,一般国内中小城市的总带宽也就500G左右,如果此时的这个流量全部打到某个中小城市的IP上,整个城市就会断网。

虽然只是短短的10分钟的实战演练,百度云安全总经理马杰的心却始终放不下来。倒不是对自己的百度云加速没有信心,而是担心瞬间这么大的异常流量会引起网监部门的注意,回头找他“喝茶”。

不过,通过这么一次真刀真枪的演练,也确实让业界见识了百度云加速出色的防御能力。当检测到异常的大流量攻击的同时,百度自主研发的DDoS/CC清洗算法就会自动运行,并且与CloudFlare和云堤形成联动:云加速识别到来自国外的攻击流量,通过Anycast在路由层面分散到全球超级节点进行清洗;国内攻击流量则是云加速将攻击特征同步给云堤,由云堤进行近源清洗。整个攻防过程中,正常的访问得到回源,而攻击流量则被清洗掉。

由于百度云加速的合作节点分布全球各地,1Tbps的流量打到云加速平台之后,会被瞬时分散到各个节点,并且受到了近源压制。所以对接入云加速的网站和用户造成的影响几乎没有。而且,像北京、上海等国家级网络节点的带宽非常高,经过初步清洗的流量就不会对网络产生很大的影响。因此,普通的网民也很难察觉出网络异常,但专业人士都能在网络上检测到当天有大流量经过。

不只是加速

这也是2015年4月百度收购安全宝之后的第一次大规模产品发布。通过这次收购,百度云安全的市场份额超过了30%,已经是国内拥有最多客户资源的企业网络应用安全保护平台。如今,作为安全宝创始人之一的马杰感觉信心满满:因为百度强大的资源支持,给新成立的百度云安全注入了强大的动力。

其实,百度云加速3.0的功能远不止是加速。全新一代智能XDN——这是马杰对百度云加速3.0的定位,它“融合了全球覆盖的CDN网络,智慧安全的BDN网络,抗击超高流量的ADN网络,以及分布式防御DDN网络。但云加速3.0并不止于此,未来,我们还将融入更多个‘DN’,让用户的网站更快的到达全球用户;具备更高的优化和推广能力:建立更强大的抵御攻击的能力。百度云安全总经理马杰指出,百度云加速3.0的特点是:更高、更快、更强。更高指的是,把SEO(搜索引擎优化)作为更高的战略,因为对很多企业而言,防住安全隐患还不够,更重要的是版主他们把产品卖出去才叫安全;更快指的是,SEO要更快捷地实现,帮助企业把搜索结果推广到客户那里;更强则是指,百度有关键词服务,还有更强的防御能力。

在发布会上,马杰再三强调百度云安全的中立性、开放性。“在百度内部,百度云安全部与百度云是独立的两个并行的部门,所以百度开放云也是我的客户。而且,他们跟其他云拿到的接口是一样的。在阿里云或者腾讯云,安全是云的一个子部门,是以服务自己的云为主要目的,而我们是唯一的完全一个独立的部门,所有的云都是我的伙伴。”也正是因为这样,现在百度云安全也能够与电信云、金山云、华为企业云、AWS中国、青云,又拍云、品高云等第三方云服务提供商进行紧密的合作。

“所以在这件事情上,要让伙伴相信你,一定做到自己内部也是公平的。整个云的生态应该是一个更平衡的生态,对大家都更好。”马杰还表示,百度云安全会将自己的抗DDoS能力、CDN能力等各种能力都以接口的方式向合作伙伴分批开放,目的就是希望整个云的生态是一个平衡的生态,是一个百花齐放的生态。

而百度云安全的目标,就是成为所有云的基础技术服务商。当大家都在公有云市场淘金的时候,百度云安全希望成为卖水卖工具的那个人。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2015-09-22
百度云安全:如何防御能让一座城市瘫痪的网络攻击
前不久,老冀去上海参加了锤子科技新发布的坚果手机发布会,结果在预订的时间又过了一个多小时罗永浩才出来,后来才知道原来锤子科技的网站

长按扫码 阅读全文