華為Anti-DDoS方案保障阿里巴巴雙11購物狂歡
350億的大交易
2013年11月11日(“雙11”)天,阿里巴巴交易額超過350億元,交易超過1.88億筆,峰值超過79萬人在一分鐘同時完成交易,1/4交易來自移動終端,阿里巴巴雙11交易的交易額是美國“黑色星期五”線上交易的4倍多,創造了阿里巴巴網絡交易新紀錄。
據阿里巴巴的統計數據顯示,2012年,阿里巴巴的電子商務與支付平臺平均每天處理2400萬筆交易,年處理交易額超過10000億元,是eBay和亞馬遜全年交易額之和。
除了阿里巴巴集團傳統淘寶、天貓、支付寶等關鍵的在線業務交易系統外,阿里巴巴云計算業務對外中小企業、開發者提供云服務。截至2013年11月,阿里巴巴云計算平臺已為超過10萬個業務系統提供服務,這些業務系統基本上覆蓋了互聯網上所能看到的所有的業務類型。如此巨大的業務量對阿里巴巴平臺的性能和可靠性提出了巨大的挑戰,平臺的穩定性和安全性變得尤為突出。
“安保”方案,責任重大
阿里巴巴每天遭受上億次的惡意入侵與網絡攻擊,其中DDoS攻擊往往會造成,網絡中斷、服務器癱瘓等嚴重的后果,直接影響到其經濟收益和品牌影響力,是對阿里巴巴業務危害最為嚴重的攻擊之一。“分層立體”是阿里巴巴安全防護架構思想,防護DDoS攻擊是阿里整個安全防護體系的重中之重。
一次精心策劃的黑客攻擊,往往都是由DDoS攻擊開始,然后再伴隨著入侵、掛馬、數據竊取等深層次動作;而一些瘋狂的黑客,甚至會采用大流量DDoS攻擊擁塞網絡與系統資源來達到攻擊目的。因此對于阿里巴巴來說,選擇一個合適的DDoS防護方案是非常重要,條件也是非常苛刻的:
第一,要有快速發現DDoS,并進行精準防護的能力
阿里巴巴客戶主要以中小企業、電商、游戲運營開發者,全部業務是在線業務,對業務的連續性要求高,因此在眾多的訪問中,快速的定位出DDoS攻擊,并進行精準的防護,否則就會出現業務訪問延時大、中斷、客戶流失、經濟損失等嚴重后果,甚至直接導致一個企業的滅亡。因此,適合阿里巴巴的 DDoS防護方案必須快速響應,精準防護,而且能夠根據不同的業務,提供差異化的防護策略。只有這樣,該系統才能為更多的客戶提供更安全的土壤,為阿里巴巴帶來更多的客戶資源。
第二,必須具高性能和彈性的擴展能力
在DDoS攻擊來臨時,阿里巴巴云計算服務面臨僵尸網絡的海量惡意請求,服務器疲于響應惡意請求,無法為正常用戶提供服務,甚至存在數據中心客戶業務中斷、云計算平臺癱瘓等風險。抗DDoS方案作為阿里云數據中心的大門守護神,必須將DDoS洪水阻擋在門外,同時更不能出現,在DDoS防護時自身性能不足,成為阿里整個平臺的性能瓶頸,會造用戶成時延增大、用戶訪問差,影響正常用戶的情況。此外,該方案要能夠隨著阿里巴巴云計算平臺彈性擴展需求進行防護性能的彈性擴展,滿足其業務3-5年的發展需求。
第三,快速部署,方便運營的能力
阿里巴巴的云計算平臺客戶業務已經超過10萬個,后續還會快速增長,這些客戶的業務以社區網站、企業官網、電子商務網站、游戲等為主,業務流量大小規模相差懸殊,業務運營模式差異較大,因此,靈活的業務自助方式以及簡單方便的使用維護,對DDoS的安全服務起著決定性作用。
同時,能夠將DDoS安全業務無縫地適配到阿里云服務平臺,并對外提供,是阿里巴巴對DDoS方案挑選的重要依據。
為了搭建一個適合阿里巴巴業務發展與防護要求的DDoS防護體系,阿里巴巴也曾試圖自己研發適合自己的DDoS防護系統,同時也在國內外多個家廠商中,進行了多輪篩選,不是性能不能滿足阿里巴巴的需求(阿里巴巴的防護需求都是100Gbps級別的,而業界同類廠商基本上都是不超過20Gbps的產品,無奈~~~),就是防護精準度(不能基于業務、基于租戶防護)和彈性擴展(業界同類廠商基本上不能實現彈性進行性能擴展)能力上與阿里巴巴的需求不匹配。
華為方案更勝一籌
在阿里巴巴苦苦尋覓DDoS防護方案時,一次大型DDoS攻擊在“圈內”引起轟動,但被攻擊者成功防護了此次攻擊,引起了阿里巴巴關注。在與被攻擊者交流后得知使用的正式華為的Anti-DDoS方案。在與華為安全人員的多輪交流中,阿里巴巴對華為的Anti-DDoS解決方案產生了濃厚的興趣,開啟了漫長的POC測試工作。
阿里巴巴內部幾十人的DDoS安全防護專家,將自己在現網上收集到的所有的攻擊報文,在POC測試中,進行了一一回訪,華為的Anti-DDoS方案均能夠成功防護,阿里巴巴的安全專家似乎被華為的Anti-DDoS方案深深的吸引住了。隨著測試的深入,基于租戶的防護策略,流量模型學習,詳細的報表功能,用起來也很方便,阿里巴巴的安全專家完全不用華為工程師的幫忙就可以完成測試了。
在測試過程中,阿里巴巴工程師,結合阿里巴巴的業務特點,模擬現網常常業務流量模型,在數10G正常流量背景下,測試50Mbps的小流量攻擊,華為的Anti-DDoS能夠實現2秒鐘精準的識別;同時針對特定HTTP業務,采用攻擊攻擊進行進行應用型慢速、慢鏈接的DDoS攻擊,華為的Anti-DDoS方案能夠快速的自動學習到攻擊特征,進行精準防護。通過移動智能終端訪問業務的流量越來越大,之前有廠商在測試過程中,出現防護影響智能終端用戶正常業務的情況,阿里在測試過程中,特意加強了華為方案防護對智能終端影響的測試用例,華為方案均能夠一一成功處理攻擊留情,并不影響終端用戶訪問。
在經過功能測試完成之后,阿里巴巴需要對華為Anti-DDoS的方案進行性能壓力測試,先是在測試環境下采用測試儀器發攻擊流量方式進行,華為Anti-DDoS配置2塊業務板卡居然能夠成功防御20Gbps的64字節的SYN Flood攻擊,應用層攻擊防護性能更是能夠達到40Gbps,已經是業界同類廠商防護水平的2倍以上了,而且隨著業務板卡增加這一性能能夠線性提升到200Gbps,簡直太棒了。
“真金不怕火煉”。恰逢阿里巴巴現網業務遭受一輪DDoS攻擊,阿里巴巴緊急將華為Anti-DDoS方案部署線上,進行現網被攻擊服務器流量引致此方案進行防護,華為Anti-DDoS在2秒內,實現攻擊流量全部清洗,并且對正常用戶訪問沒有絲毫影響,效果太理想了。阿里巴巴的安全專家都為此感到振奮,漫長的Anti-DDoS解決方案選型也至此畫上了圓滿的句號。自此以后,華為Anti-DDoS方案在阿里巴巴就沒有再下過線。
歷經考驗,值得信賴
阿里巴巴現網多個數據中心出口,部署有華為的Anti-DDoS解決方案,總防護性能數百G,平均每天防護的DDoS攻擊次數超100次,每年DDoS攻擊防護次達數萬次,峰值防護的DDoS攻擊流量超100Gbps。如今,DDoS攻擊在阿里巴巴的安全工程師眼里已經習以為常的事情了,由華為Anti-DDoS方案自動調度進行清洗防護即可,需要他們做的無非是事后看看報告而已。
哪怕是在2013年11月11日當天,阿里巴巴的安全團隊成員仍然能夠在“雙11”當天從容的正常上下班。第二天報告匯報下阿里巴巴雙11當天經歷了多輪DDoS攻擊事件,峰值攻擊流量超過19Gbps,最小的攻擊流量500Mbps。事實證明華為Anti-DDoS方案在雙11當天,一如既往的成功防護了多輪DDoS攻擊事件,有力的保障了阿里巴巴雙11網絡交易順暢平穩,是值得用戶信賴的DDoS防護方案。
“華為的Anti-DDoS解決方案每年幫我們防護的DDoS攻擊次數超過4萬次,平均每天的防護的攻擊次數超100次,最高防御100G的超大流量攻擊,該系統功能強大,防護精準,也很好用。”
阿里巴巴 集團高級安全專家 魏興國
