防护进化 | 阿里云DDoS防护屡战屡胜揭秘

阿里云安全 8月11日

1996年Panix遭受全球第一次DDoS攻击。

这种攻击的时代开启了。

随着网络资源扩展、IoT迅猛发展，DDoS攻击愈演愈烈。

阿里云安全最新发布的《DDoS攻防态势观察报告》指出，截至2020年，100Gbps+大流量攻击占比连年翻倍，资源耗尽型攻击水位已达300万QPS级别。

最近发生的某游戏公司上线即被DDoS到闭服，引发了不小的讨论，这种攻击经过多年的演变，已经可以对某些行业业务造成毁灭性打击。

超大流量等攻击特征，让很多人以为DDoS防护拼的是带宽、资源——躺平靠心态，坚守靠硬抗，防御靠“充值”。殊不知，随着这些年的发展，DDoS防御早已不是当年的DDoS防御。

阿里云原生DDoS防守，有来自云平台的资源优势，又演化出基于新技术的策略，在各类重大活动安全保障和云上客户的防御过程中屡战屡胜。

当大多数潜意识认为对抗大流量仅需“蛮荒之力”时，殊不知高级的防守已进化为“四两拨千斤”。

一文揭秘，一起了解下现代化DDoS防御的“十八般武艺”。

原生力量

“阿里云DDoS防护方案的吸引力之一，在于其已成为云基础架构的一部分，可为客户提供原生安全防护。”

——The Forrester Wave™: DDoS Mitigation Solutions, Q1 2021

和基础设施融为一体

不同于传统架构，云原生的DDoS防护在云产品网络中的原生网关和网络边界对流量进行识别和过滤。云产品架构中默认集成，不需要额外运维和部署，不改变网络架构，不需要关注如何接入。来自云平台的强大资源和计算能力，配合云内网关内生能力彻底阻断攻击。

云网一体优质清洗

阿里云DDoS防护默认融合云网络Anycast近源清洗架构，在流量入口分布式清洗攻击，效率和效果兼具。

攻防协同智能化

云上数据无缝集成云原生的DevOps套件，如云监控、SLS，依托于云原生的存储、数据、算力优势，快速分析海量威胁情报，共享所有云上攻防数据。

故障发生多预案

万一发生网络故障，云网络自身的容灾切换，就能缓解故障影响。

格斗高手

DDoS防护在某程度上说是个“熟练工种”。

经历的场景越多，越了解在遭受特定攻击时应该如何排兵布阵，迅速化解危机。

阿里云的每一天

保护中国40%的备案网站

100万恶意DDoS IP库

抵御60亿次网络攻击

防御2500次DDoS攻击

阿里云DDoS防御成绩单

• 成功防护1Tbps攻击

• 防御峰值超过536.9万QPS的最大规模资源耗尽型攻击

• 成功防御国内最大规模的高达758.6G每秒的Memcached DDoS反射攻击
  

踩过众多坑，扛过各种极限情况后，阿里云DDoS防护方案不仅能够游刃有余的应对现在的攻击局面，同时经过多年实时对抗经验的积累，已具备成熟高效的运营体系，尤其擅长应对突发和新型攻击。

堪比光速

阿里云DDoS高防的安全加速线路，可以实现中国内地用户对非国内业务加速访问的同时，提供大流量DDoS攻击防护能力。安全加速提供的清洗能力大于2 Tbps，有效保障业务访问速度和稳定性。

在边缘网络过滤恶意流量的实现方式，对业务也有巨大价值。

攻击者的策略是，把分散在各处的小流量汇聚到一个点，造成整个目标点拥堵。

所谓以彼之道，还施彼身。

阿里云Anycast EIP网络融合Anycast高防网络，将攻击流量根据地理位置远近，把数据包路由到最近的主机站点，从而分散DDoS流量。

一个典型场景：

网络游戏玩家输掉某场比赛后，为了不让自己掉积分发起DDoS攻击，意图冲掉系统的实时结算，对业务稳定性构成威胁。通过对L3、L4、L7防御系统的分层清洗策略，阿里云保证攻击发生时，业务依然平稳运行。

战术专家

随堂小测

以下是两个业务的流量图，哪个才是攻击行为？

A

B

答案

点击下方空白处获得答案

B

仅凭借图上信息，业务A的流量更符合DDoS攻击的特征，有波峰也有波谷。但事实上，业务A的新建变化虽然很大，但是符合基线，是正常行为。而业务B的新建峰值虽然只有A的1/10，但不符合基线，是攻击行为。

这便是阿里云常说防护需要“千人千面”的重要性。

不同业务的QPS差异很大，一个默认的限速阈值很容易造成误伤，尤其是多用户共用的IP。

分秒必争的攻防之战，通过专家人工分析后再设置策略更是不可取，自动化、智能化才能解决问题。

阿里云  会自动学习的防守者

阿里云采用时间序列，学习到各个流量的趋势、周期性、波动，自学习到正常业务的基线，每个业务、每个URL都建立自己的基线画像后，自动区分攻击流量和正常流量，在攻击发生时生成拦截异常流量的策略，而不是对所有用户采取“一刀切”的防护方案。

这样实时在线的防护策略，对于各场景的防护都十分有效。无论是超大规模的流量攻击，还是“打了就跑”的脉冲型攻击，或者是利用小流量对服务器或后端数据库产生压力，阿里云能够防护全方位自动化智能防护，实现秒级攻击压制收敛。

智慧谋略

以下场景如何解决？

情景一

单一访问行为合理，但把行为组合之后，是否依旧合理？

情景二

把攻击意图植入加密流量，防御手段是否就束手无策？

流量具体内容和特征只是识别和处置的一部分维度，即使流量加密，从行为特征中也是可以发现蛛丝马迹的。

情景三

某域名出现了新的访问特征，是否就必定是攻击流量？

一方面，出现新的访问特征并不是唯一的考量点，智能防护会基于网站整体情况动态调整处置力度。

另一方面，智能防护会通过处置的访问者的访问序列避免误伤，比如大促的时候，流量会和平时不一样，但秒杀开始前，访问者会有正常的浏览行为。

DDoS防御产品的核心是检测和清洗技术，而检测技术的核心又在于对业务深刻的理解，才能快速精准判断出是否真的发生了攻击，清洗技术相对于检测来讲，不同的业务场景下要求粒度不一样。

阿里云基于大数据计算和机器学习能力建设AI智能DDoS防护系统，先天具备对各类业务特征的先验知识，并基于细粒度机器学习模型，可以定义每个域名的“白”流量，从而更好剔除“黑”流量。攻击可实现超过99%的自动化响应，降低安全运维成本。

恪守真知

网络和带宽是DDoS防护绕不开的因素。阿里云已经在全球范围内升级高防网络，在国内建立新BGP高防网络，突破现有BGP高防防护带宽小、购买成本高等不足，提供更好的网络稳定性和交付体验。阿里云新BGP高防还能够进行源站保护与源站减负，不但支持隐藏真实源站服务器地址，将清洗后的干净业务流量回送到阿里云产品或线下机房；而且通过接入DDoS高防网络，防护DDoS攻击的同时复用连接，降低后端源站连接负载，提高源站服务效率。

【全球】

• 覆盖全球的网络资源

• 1000万QPS以上，高性能七层应用防护集群性能

• 10+个近源清洗节点

• 10Tbps+防护网络总带宽

【全力】

防护无上限，在对应的阿里云区域内提供全力防护能力

最高颜值

阿里云DDoS防护依托于日志服务提供网站业务全量日志的实时采集、秒级查询和深度分析，实现DDoS攻击防护数据化、透明化和可视化，实时展示被保护网站的总体运营状况和被访问状况，帮助用户在遭遇DDoS攻击时完整地记录下详细日志，并对关键业务或攻击进行深入分析。

阿里云DDoS防护全球权威机构认可：

• 国内唯一入选《The Forrester Wave: DDoS Mitigation Solutions, Q1 2021》，智能防御引擎获认可

• 两次入选 Forrester《Now Tech Market Presence Segment: DDoS Mitigation Solution》报告

• 2020年，DDoS攻击防护平台入选工信部推荐的网络安全公共服务平台

• 2019 年，阿里数据中心骨干网 IPv6 DDoS 网络安全防御获工信部“网络安全技术应用试点示范项目”

• Frost & Sullivan 2019 年大中华区市场份额第一，营收超传统厂商

80% 头部游戏企业首选，阿里云DDoS防护解决方案

游戏行业是DDoS攻击的重灾区。

这是一个对业务流畅性、稳定性有着几乎“变态”要求的行业，极易遭受行业以攻击作为恶意竞争手段，业务体验很容易受攻击者影响，出海后更是进入攻击深水区。

在中国TOP 10的游戏头部企业中，80%选择阿里云安全的保护。凭借多年安全能力积累，针对游戏行业复杂激烈的攻防情况，以及不同游戏类型在延迟和带宽需求上的区别，阿里云提供四种不同的DDoS防护方案，全面防护SYN flood、Ack flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式，提供真实无感防御。

01

动作、射击、即时战略类游戏：

要求游戏体验无延迟（小于1毫秒）

阿里云独特的原生防护功能，通过ECS、SLB、EIP、WAF等平台直接调用，默认享受阿里云当前地域最高机房网络和资源整体能力。基于云原生的防御架构，实现零网络延迟。

02

卡牌类、回合制、RPG类游戏：

对延迟要求较低，但对业务连续稳定性要求极高

此类客户需要极大接近无限的带宽吞吐能力，阿里云新BGP高防产品，拥有八线BGP资源，单节点最高1.5Tbps防护力，覆盖各大运营商，单一IP即可满足不同线路快速访问和防护需求。

03

棋牌类等高热度游戏：

面对高频次的攻击，对防护有效性要求极高

传统的DDoS大量流防护原理是针对一个IP进行强力防护，而阿里云游戏盾抗D产品是基于弹性安全网络技术，根据客户端环境信息，实现秒级攻击溯源并及时隔离问题IP，有效缓解单点防御的带宽压力，无需占用大量资源带宽，绝不漏放任意一次攻击行为。

04

针对出海游戏：

对线路稳定性，访问速度要求高

采用海外专属的国际高防产品，实现中国境内到海外加速网络延迟小于50ms。阿里云分布式防护能力覆盖全球，能抵抗百万级QPS级别的资源耗尽型攻击，全球跨域清洗，为企业全球化提供高质量安全加速线路。

近日，国内小型游戏制作商曝出被黑客组织攻击敲诈，并不是偶然事件，但导致直接闭服，攻击者过于嚣张。小型游戏制作商受限于各种原因，防护能力较弱，是DDoS攻击者眼中的“肥肉”。

阿里云自2019年起，就启动了面向所有企业承诺提供全球24小时免费应急服务。所有遭受DDoS攻击的企业，均可免费获取24小时黄金救急服务，详情咨询阿里云热线95187转1。

点击阅读原文，获取更多游戏行业安全解决方案

 阿里云安全  

国际领先的云安全解决方案提供方，保护全国 40% 的网站，每天抵御 60 亿次攻击。

2020 年，国内唯一云厂商整体安全能力获国际三大机构（Gartner/Forrester/IDC）认可，以安全能力和市场份额的绝对优势占据领导者地位。

阿里云最早提出并定义云原生安全，持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力，和基础设施深度融合推动安全服务化，支持弹性、动态、复杂的行业场景，获得包括政府、金融、互联网等各行业用户认可。

作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者，阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境，为用户提供全球最高等级的安全可信云。