百度云安全：如何防御能讓一座城市癱瘓的網絡攻擊

前不久，老冀去上海參加了錘子科技新發(fā)布的堅果手機發(fā)布會，結果在預訂的時間又過了一個多小時羅永浩才出來，后來才知道原來錘子科技的網站遭受了數十G的DDoS（分布式拒絕服務）攻擊，致使本來準備在發(fā)布會后開始預售的網站陷入了癱瘓。

由此可見DDoS對于互聯網行業(yè)的巨大威脅。在這個高速發(fā)展的行業(yè)，即使網站停止運行一天甚至幾個小時都是不可原諒的，甚至會造成巨大的經濟損失。那么，互聯網公司有沒有什么好辦法來防止這種致命的攻擊呢？

讓1T的海量攻擊消于無形

9月17日，老冀在北京望京昆泰酒店，觀看了一場關于DDoS的實戰(zhàn)演練。

其中，樂視云作為模擬攻擊方，百度云加速與兩家合作伙伴CloudFlare和中國電信云堤則是防守方。

下午3時許，樂視云計算有限公司CEO、樂視戰(zhàn)略項目副總裁吳亞洲一聲令下，一場針對云加速3.0的大流量攻擊發(fā)起了。

第一波攻擊來自樂視云海外節(jié)點，一開始就有數十G的流量，超過70G后百度云加速啟動藍色報警。而后，攻擊流量逐漸增加至350G左右，云加速開始發(fā)出橙色報警。云加速啟動合作伙伴CloudFlare的海外防御，通過Anycast進行流量分攤防御。

第二波攻擊則來自國內。在第一波海外攻擊被壓制無法取得效果的同時，攻擊方又啟動了新一波的國內攻擊，攻擊流量增加到了600G，再次對該網站發(fā)起瘋狂的攻擊。也幾乎就在同時，云加速發(fā)出紅色預警，云堤啟動了近源壓制，把攻擊流量在攻擊源頭的省內進行了攔截，余下的數百G流量持續(xù)在云加速ADN中心進行清洗。

看到兩波攻擊的效果都不理想，攻擊方只好孤注一擲，攻擊總流量突然升至1T以上，現場的媒體記者們都驚呆了，因為這已經刷新了全球的最高紀錄，這個流量已經相當于12306春運期間，最高請求數的20倍，也是最高峰值帶寬的83倍。

再做個比較，一般國內中小城市的總帶寬也就500G左右，如果此時的這個流量全部打到某個中小城市的IP上，整個城市就會斷網。

雖然只是短短的10分鐘的實戰(zhàn)演練，百度云安全總經理馬杰的心卻始終放不下來。倒不是對自己的百度云加速沒有信心，而是擔心瞬間這么大的異常流量會引起網監(jiān)部門的注意，回頭找他“喝茶”。

不過，通過這么一次真刀真槍的演練，也確實讓業(yè)界見識了百度云加速出色的防御能力。當檢測到異常的大流量攻擊的同時，百度自主研發(fā)的DDoS/CC清洗算法就會自動運行，并且與CloudFlare和云堤形成聯動：云加速識別到來自國外的攻擊流量，通過Anycast在路由層面分散到全球超級節(jié)點進行清洗；國內攻擊流量則是云加速將攻擊特征同步給云堤，由云堤進行近源清洗。整個攻防過程中，正常的訪問得到回源，而攻擊流量則被清洗掉。

由于百度云加速的合作節(jié)點分布全球各地，1Tbps的流量打到云加速平臺之后，會被瞬時分散到各個節(jié)點，并且受到了近源壓制。所以對接入云加速的網站和用戶造成的影響幾乎沒有。而且，像北京、上海等國家級網絡節(jié)點的帶寬非常高，經過初步清洗的流量就不會對網絡產生很大的影響。因此，普通的網民也很難察覺出網絡異常，但專業(yè)人士都能在網絡上檢測到當天有大流量經過。

不只是加速

這也是2015年4月百度收購安全寶之后的第一次大規(guī)模產品發(fā)布。通過這次收購，百度云安全的市場份額超過了30%，已經是國內擁有最多客戶資源的企業(yè)網絡應用安全保護平臺。如今，作為安全寶創(chuàng)始人之一的馬杰感覺信心滿滿：因為百度強大的資源支持，給新成立的百度云安全注入了強大的動力。

其實，百度云加速3.0的功能遠不止是加速。全新一代智能XDN——這是馬杰對百度云加速3.0的定位，它“融合了全球覆蓋的CDN網絡，智慧安全的BDN網絡，抗擊超高流量的ADN網絡，以及分布式防御DDN網絡。但云加速3.0并不止于此，未來，我們還將融入更多個‘DN’，讓用戶的網站更快的到達全球用戶；具備更高的優(yōu)化和推廣能力：建立更強大的抵御攻擊的能力。百度云安全總經理馬杰指出，百度云加速3.0的特點是：更高、更快、更強。更高指的是，把SEO（搜索引擎優(yōu)化）作為更高的戰(zhàn)略，因為對很多企業(yè)而言，防住安全隱患還不夠，更重要的是版主他們把產品賣出去才叫安全；更快指的是，SEO要更快捷地實現，幫助企業(yè)把搜索結果推廣到客戶那里；更強則是指，百度有關鍵詞服務，還有更強的防御能力。

在發(fā)布會上，馬杰再三強調百度云安全的中立性、開放性?！霸诎俣葍炔?，百度云安全部與百度云是獨立的兩個并行的部門，所以百度開放云也是我的客戶。而且，他們跟其他云拿到的接口是一樣的。在阿里云或者騰訊云，安全是云的一個子部門，是以服務自己的云為主要目的，而我們是唯一的完全一個獨立的部門，所有的云都是我的伙伴?！币舱且驗檫@樣，現在百度云安全也能夠與電信云、金山云、華為企業(yè)云、AWS中國、青云，又拍云、品高云等第三方云服務提供商進行緊密的合作。

“所以在這件事情上，要讓伙伴相信你，一定做到自己內部也是公平的。整個云的生態(tài)應該是一個更平衡的生態(tài)，對大家都更好?！瘪R杰還表示，百度云安全會將自己的抗DDoS能力、CDN能力等各種能力都以接口的方式向合作伙伴分批開放，目的就是希望整個云的生態(tài)是一個平衡的生態(tài)，是一個百花齊放的生態(tài)。

而百度云安全的目標，就是成為所有云的基礎技術服務商。當大家都在公有云市場淘金的時候，百度云安全希望成為賣水賣工具的那個人。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。