舉全網(wǎng)之力 電信云堤守護網(wǎng)絡安全

最近的武林不消停。

在練家子眼里，這是一個草根的自由搏擊選手“滋事”，不自量力地挑戰(zhàn)中國傳統(tǒng)武術，從而達到炒作的目的。

姑且不去說背后的是是非非，不過這種情形卻讓我不由聯(lián)想起安全圈里令人談之色變的分布式拒絕服務攻擊。

怎么說呢？分布式拒絕服務攻擊，即我們通常所說的DDoS（發(fā)音：滴到死）。聽著就夠壞的，本身沒有多少技術含量，成本還非常低廉，但是卻能夠輕松癱瘓一個網(wǎng)站。

毫不夸張地說，只要量足夠大，DDoS攻擊甚至可以讓一座城市斷網(wǎng)。

好消息是，魔高一尺道高一丈。目前市場上已經(jīng)有很多公司在做防護攻擊的工作，而其中尤其值得關注的，則是運營商級別的某些產(chǎn)品和服務，譬如來自中國電信的“云堤”。

5月3日，第五屆中國國際云計算技術和應用展覽會暨論壇在北京召開，中國電信網(wǎng)絡安全產(chǎn)品運營中心市場總監(jiān)劉長波在云安全論壇上發(fā)表了演講。會后，我有幸與他就云堤進行了一番交流。

面對網(wǎng)絡攻擊的第四種選擇 云堤是中國電信集團公司旗下，面向政府和企業(yè)客戶推出的運營商級網(wǎng)絡安全產(chǎn)品。

基于中國電信全網(wǎng)海量帶寬、高性能設備、覆蓋全國的運維體系和技術團隊，云堤為政企客戶提供DDoS攻擊防護、域名安全防護、反釣魚、網(wǎng)站安全等專業(yè)服務。

其實這個產(chǎn)品問世并不久。

最初的團隊2014年10月成立，骨干均來自于中國電信集團公司的生產(chǎn)和科研一線。2015年1月，云堤正式發(fā)布和推出，當時主打DDoS攻擊防護。

云堤的發(fā)展很快，不到一年的時間就服務了近1000家客戶。在當年12月的第二屆烏鎮(zhèn)世界互聯(lián)網(wǎng)大會上，鑒于云堤助力我國網(wǎng)絡強國所取得的成績，國家領導人對之給予了高度評價和肯定。

云堤的功力暴增，并不是因為有什么大還丹或者武林秘笈之類的奇遇，而是它與生俱來的能力，并且不斷磨礪自我所致。

早在2008年，中國電信就為北京奧運預先部署了DDoS清洗設備，重點保障政府重要系統(tǒng)和信息平臺?？梢赃@樣說，歷來重要的國家級大型活動和事件，背后都有中國電信的默默支持和保駕護航。

而今，中國電信將這種能力開放出來，為更多政企客戶提供專業(yè)的安全防護。據(jù)劉長波介紹，目前云堤DDoS攻擊防護的客戶已經(jīng)超過3000家，網(wǎng)站安全防護的客戶超過1000家。

很多人可能不知道，目前幾乎所有的著名大型互聯(lián)網(wǎng)公司以及大型云服務提供商，均通過云堤提供的API調(diào)用DDoS防護能力抵擋超大規(guī)模的流量型攻擊。

盡管如此，最近幾年來DDoS攻擊仍是有增無減。劉長波列舉了一串數(shù)據(jù)，以今年2月為例，盡管當月只有28天，但是DDoS攻擊總量卻超過了過去任何一個月。原因很簡單——充當攻擊任務的“肉雞”越來越多，攻擊者的成本愈發(fā)低廉。

現(xiàn)實的網(wǎng)絡環(huán)境如同充滿霧霾，劉長波表示。面對網(wǎng)絡攻擊存在三種人，第一種人是正在被攻擊，第二種人是不知道被攻擊，第三種人是不承認被攻擊。

劉長波希望大家做第四種，即：知道網(wǎng)絡存在安全風險，一起去面對，同時清楚地知道如何去解決。他表示，針對不同的安全風險，云堤擁有不同的、針對性的解決方案。

運營商級別的終極防護 與其他同類的產(chǎn)品和服務不同，云堤的DDoS攻擊防護是運營商級別。

首先，這意味著云堤的攻擊防護位置在運營商的上游網(wǎng)絡，而不是在客戶層面。DDoS的防護動作離客戶越遠，客戶就越安全。

其次，攻擊防護的關鍵之一在于帶寬，沒有足夠的帶寬，大流量的DDoS攻擊就沒有辦法被吃下去，電信在帶寬方面的優(yōu)勢自不待言。

再次，攻擊流量被帶寬吃下來之后，需要專業(yè)的頂級設備做處置，將一些攻擊流量破解掉，確保誤殺率低。

最后，云堤有比較成熟的運維體系。得益于中國電信的運維體系，云堤可以做到從集團到省、市甚至縣級層面，具有強大的現(xiàn)場支援能力。

云堤的優(yōu)勢可以總結為三步，即看得見、防得住、說得清。在防護攻擊上，云堤可以做到知己知彼，這也是其他同類產(chǎn)品服務難以企及的巨大優(yōu)勢。

DDoS攻擊流量統(tǒng)計實時截屏

劉長波表示，對于DDoS攻擊，電信云堤有7×24的值班人員。這些值班人員并不只是起到預警作用，他們實際上就是處置專家。這樣做的好處是，整個鏈條非常短，響應時間及時，根本不需要轉接二線，對DDoS攻擊防護可以做到第一時間處置。

現(xiàn)在的各種安全防護，在本質上均屬于智能化。畢竟面對海量的攻擊，根本沒有辦法通過手動的方式進行排除。云堤也是智能化的產(chǎn)品，但與其他同類產(chǎn)品不同的是，它擁有海量的歷史數(shù)據(jù)積累，對于各種攻擊，云堤通過大數(shù)據(jù)“知道”如何識別正常流量，應該采取何種防護策略。

云堤的另一個優(yōu)勢在于DDoS攻擊近源防護。其工作原理基于分布式近源防護架構的DDoS攻擊防護，云堤的清洗動作靠近攻擊源，將流量分布式牽引到部署在全國的26個清洗中心，完成清洗后將正常流量回送到客戶服務器。

這樣做的好處是可以避免單個防護節(jié)點能力不足的問題，又可以避免攻擊流量過大，導致骨干網(wǎng)、城域網(wǎng)或者IDC其中任何一個環(huán)節(jié)出現(xiàn)網(wǎng)絡擁塞，引起客戶的業(yè)務訪問質量劣化。

前面我們曾經(jīng)提到過，現(xiàn)在的網(wǎng)絡環(huán)境愈發(fā)嚴峻，各種攻擊有增無減。劉長波認為，在互聯(lián)網(wǎng)時代，只要有競爭，就必然有攻擊，這種黑色產(chǎn)業(yè)鏈比過去有了更加廣泛和隱蔽的存在。

互聯(lián)網(wǎng)基礎設施的不斷演進，不僅給創(chuàng)業(yè)創(chuàng)新帶來機遇，從另外一個角度來看，同時也給黑色產(chǎn)業(yè)鏈帶來了“能力增長”。舉例而言，帶寬的快速增長，意味著單點的攻擊能力也被迅速提升。目前，100G的24小時DDoS攻擊只需要幾百塊錢，這在以前是不可想象的。

可以想見，DDoS攻擊和防護仍將長期鏖戰(zhàn)，運營商級別的終極防護能力不可或缺。

眾志成城守護網(wǎng)絡安全 當然，網(wǎng)絡攻擊的形式并不是只有DDoS。目前，某些攻擊行為可能并不是很常見，但是造成的危害卻是觸目驚心。

譬如兩年前蘋果公司發(fā)布Apple Watch后不久，其網(wǎng)站便慘遭全球性宕機。結果是11個小時內(nèi)，客戶無法訪問和購買蘋果相關的產(chǎn)品服務，造成直接經(jīng)濟損失至少2500萬美元，蘋果的市值更是瞬間蒸發(fā)了130億美元。

最終，蘋果給出的緣由是“一個內(nèi)部DNS錯誤”。

DNS是域名和IP地址相互映射的分布式數(shù)據(jù)庫，能夠使人更方便地訪問互聯(lián)網(wǎng)。簡而言之，DNS就像一個自動的電話號碼簿，用戶可以通過直接輸入網(wǎng)站名字，來代替復雜的IP地址，從而完成對網(wǎng)站的訪問。

由此可見，作為網(wǎng)絡應用的基礎設施，DNS服務的安全性和穩(wěn)定性，對于互聯(lián)網(wǎng)的健康有序運轉，有著舉足輕重的影響。相比DDoS攻擊，DNS被篡改的頻率相對較低，但是各方仍務必對此加以關注。

尤其值得關注的是，一旦出現(xiàn)DNS被篡改的情況，客戶方面基本沒有任何辦法，即便修正回來，倘若運營商的緩存DNS沒有同步，那也無法解決。劉長波表示，云堤負責中國電信全網(wǎng)local DNS的維護工作，可以通過統(tǒng)一的調(diào)度平臺實現(xiàn)秒級同步。

當然，并不是所有的流量都會通過中國電信，做好DNS防護需要幾家運營商的統(tǒng)一行動。好消息是中國電信本地DNS解析流量占比多達70%到80%，因此云堤實質上守護了DNS安全的大半壁江山。

據(jù)悉，云堤目前還在跟多個大型互聯(lián)網(wǎng)公司討論合作事宜，爭取將云堤域名無憂做成云的標配，全方位地守護客戶的云安全。劉長波表示，中國電信一直在與互聯(lián)網(wǎng)公司進行技術交流，不斷對自身的產(chǎn)品進行迭代開發(fā)，同時與互聯(lián)網(wǎng)公司協(xié)同處理攻擊問題。

每到年中年底，有一種攻擊行為會變得越發(fā)活躍，這就是釣魚網(wǎng)站。我們每個人都曾經(jīng)收到過積分商城之類的信息，一旦點擊其中的鏈接地址，就會被導入到一個假冒網(wǎng)站。倘若用戶在這里輸入了真實的登錄信息和密碼，損失就不可避免了。

目前，但凡涉及現(xiàn)金、虛擬貨幣、充值卡甚至網(wǎng)絡游戲，都有被釣魚的可能。由于管控力度不足，這些釣魚網(wǎng)站80%以上位于香港。

云堤反釣魚的策略除了利用大網(wǎng)優(yōu)勢——譬如DNS解析記錄被動查詢、秒級關停等之外，也在主動跟業(yè)內(nèi)相關部門、組織和公司積極互動，共同探討新的防護方式，為客戶提供先進的防護技術，造福社會。

劉長波希望澄清外界對于云堤的一個認識誤區(qū)。他表示，盡管與同類產(chǎn)品服務相比，云堤的價格略微高一點，但這并不意味著它是大型企業(yè)和政府機構的專享。事實上，圍繞著不同客戶的特點，云堤定制了不同的套餐，中小企業(yè)同樣負擔得起。

作為基礎運營商，中國電信愿意跟各種合作伙伴一起，讓網(wǎng)絡環(huán)境更加美好，云堤也將全力守護中國互聯(lián)網(wǎng)的安全。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。