前不久,老冀去上海参加了锤子科技新发布的坚果手机发布会,结果在预订的时间又过了一个多小时罗永浩才出来,后来才知道原来锤子科技的网站遭受了数十G的DDoS(分布式拒绝服务)攻击,致使本来准备在发布会后开始预售的网站陷入了瘫痪。
由此可见DDoS对于互联网行业的巨大威胁。在这个高速发展的行业,即使网站停止运行一天甚至几个小时都是不可原谅的,甚至会造成巨大的经济损失。那么,互联网公司有没有什么好办法来防止这种致命的攻击呢?
让1T的海量攻击消于无形
9月17日,老冀在北京望京昆泰酒店,观看了一场关于DDoS的实战演练。
其中,乐视云作为模拟攻击方,百度云加速与两家合作伙伴CloudFlare和中国电信云堤则是防守方。
下午3时许,乐视云计算有限公司CEO、乐视战略项目副总裁吴亚洲一声令下,一场针对云加速3.0的大流量攻击发起了。
第一波攻击来自乐视云海外节点,一开始就有数十G的流量,超过70G后百度云加速启动蓝色报警。而后,攻击流量逐渐增加至350G左右,云加速开始发出橙色报警。云加速启动合作伙伴CloudFlare的海外防御,通过Anycast进行流量分摊防御。
第二波攻击则来自国内。在第一波海外攻击被压制无法取得效果的同时,攻击方又启动了新一波的国内攻击,攻击流量增加到了600G,再次对该网站发起疯狂的攻击。也几乎就在同时,云加速发出红色预警,云堤启动了近源压制,把攻击流量在攻击源头的省内进行了拦截,余下的数百G流量持续在云加速ADN中心进行清洗。
看到两波攻击的效果都不理想,攻击方只好孤注一掷,攻击总流量突然升至1T以上,现场的媒体记者们都惊呆了,因为这已经刷新了全球的最高纪录,这个流量已经相当于12306春运期间,最高请求数的20倍,也是最高峰值带宽的83倍。
再做个比较,一般国内中小城市的总带宽也就500G左右,如果此时的这个流量全部打到某个中小城市的IP上,整个城市就会断网。
虽然只是短短的10分钟的实战演练,百度云安全总经理马杰的心却始终放不下来。倒不是对自己的百度云加速没有信心,而是担心瞬间这么大的异常流量会引起网监部门的注意,回头找他“喝茶”。
不过,通过这么一次真刀真枪的演练,也确实让业界见识了百度云加速出色的防御能力。当检测到异常的大流量攻击的同时,百度自主研发的DDoS/CC清洗算法就会自动运行,并且与CloudFlare和云堤形成联动:云加速识别到来自国外的攻击流量,通过Anycast在路由层面分散到全球超级节点进行清洗;国内攻击流量则是云加速将攻击特征同步给云堤,由云堤进行近源清洗。整个攻防过程中,正常的访问得到回源,而攻击流量则被清洗掉。
由于百度云加速的合作节点分布全球各地,1Tbps的流量打到云加速平台之后,会被瞬时分散到各个节点,并且受到了近源压制。所以对接入云加速的网站和用户造成的影响几乎没有。而且,像北京、上海等国家级网络节点的带宽非常高,经过初步清洗的流量就不会对网络产生很大的影响。因此,普通的网民也很难察觉出网络异常,但专业人士都能在网络上检测到当天有大流量经过。
不只是加速
这也是2015年4月百度收购安全宝之后的第一次大规模产品发布。通过这次收购,百度云安全的市场份额超过了30%,已经是国内拥有最多客户资源的企业网络应用安全保护平台。如今,作为安全宝创始人之一的马杰感觉信心满满:因为百度强大的资源支持,给新成立的百度云安全注入了强大的动力。
其实,百度云加速3.0的功能远不止是加速。全新一代智能XDN——这是马杰对百度云加速3.0的定位,它“融合了全球覆盖的CDN网络,智慧安全的BDN网络,抗击超高流量的ADN网络,以及分布式防御DDN网络。但云加速3.0并不止于此,未来,我们还将融入更多个‘DN’,让用户的网站更快的到达全球用户;具备更高的优化和推广能力:建立更强大的抵御攻击的能力。百度云安全总经理马杰指出,百度云加速3.0的特点是:更高、更快、更强。更高指的是,把SEO(搜索引擎优化)作为更高的战略,因为对很多企业而言,防住安全隐患还不够,更重要的是版主他们把产品卖出去才叫安全;更快指的是,SEO要更快捷地实现,帮助企业把搜索结果推广到客户那里;更强则是指,百度有关键词服务,还有更强的防御能力。
在发布会上,马杰再三强调百度云安全的中立性、开放性。“在百度内部,百度云安全部与百度云是独立的两个并行的部门,所以百度开放云也是我的客户。而且,他们跟其他云拿到的接口是一样的。在阿里云或者腾讯云,安全是云的一个子部门,是以服务自己的云为主要目的,而我们是唯一的完全一个独立的部门,所有的云都是我的伙伴。”也正是因为这样,现在百度云安全也能够与电信云、金山云、华为企业云、AWS中国、青云,又拍云、品高云等第三方云服务提供商进行紧密的合作。
“所以在这件事情上,要让伙伴相信你,一定做到自己内部也是公平的。整个云的生态应该是一个更平衡的生态,对大家都更好。”马杰还表示,百度云安全会将自己的抗DDoS能力、CDN能力等各种能力都以接口的方式向合作伙伴分批开放,目的就是希望整个云的生态是一个平衡的生态,是一个百花齐放的生态。
而百度云安全的目标,就是成为所有云的基础技术服务商。当大家都在公有云市场淘金的时候,百度云安全希望成为卖水卖工具的那个人。
