劉紫千博士，CISSP，加州大學訪問學者，中國通信企業協會通信網絡安全專業委員會委員。現為中國電信網絡安全產品運營中心CEO兼首席架構師，“云堤”團隊負責人。曾任中國電信ChinaNet網絡負責人、DNS系統負責人和集團SOC主任。

以下為訪談內容：

51CTO:云堤作為運營商級DDoS安全防護產品，能承受多少GB的流量攻擊？

劉紫千：通常，業內對"運營商級"的理解主要是在可靠性上，要有多少個9才能稱之為運營商級。具體到云堤上，之所以稱為運營商級產品，除了表明我們的服務連續性能力，更多的是因為云堤充分調用了中國電信的IP骨干網絡，是一個運營商級網絡能力的產品。云堤擁有目前全球最大的攻擊流量吸納帶寬資源，而帶寬資源恰恰又是DDoS攻擊防護最需要的資源,同時也是防護服務中最大的防護成本項。具體到攻擊防護容量，與云堤的兩種防護方式有關的：可區分攻擊來向的近源流量壓制，以及近源流量清洗。 其中，流量壓制是依靠RTBH，FlowSpec，QoS策略等，用全網路由器的能力一齊在骨干網邊緣近源對抗攻擊流量，這種方式能夠承受的攻擊流量理論上就是骨干網的帶寬容量，商業化通俗一點，叫做攻擊流量的處理無上限（電信骨干網帶寬儲備是目前已知的最大攻擊峰值的近千倍）；而云堤的近源清洗是利用分布式部署在骨干網的26個清洗中心，通過BGP anycast將攻擊流量在進入電信網絡后就近牽引到多個清洗中心進行處理，總清洗容量和清洗中心獨享帶寬都超過1000G，這個清洗容量在業內也是最大的。

51CTO:為什么許多銀行機構，比如中國銀行、招商銀行、中國農業銀行等都采用了云堤的服務？相比市面同類產品有哪些優勢或者不同？

劉紫千：從2013年開始，金融行業，特別是國有銀行和各大商業銀行，確實比過去面臨越來越多的DDoS攻擊威脅，比如比特幣勒索，金融競爭和沖突或者純報復行為。與其他產品相比，云堤的優勢主要體現在產品本身的性質和能力兩方面。從產品的性質來講，云堤來自國內最大的最基礎電信運營商-中國電信，由于幾乎所有企業都使用了電信的專線接入互聯網，企業的流量天然承載在我們的網絡上，所以在專線上疊加電信的安全服務是非常自然的一個選擇，產品的企業性質和嚴格受政府監管的中立立場使得云堤較其他服務商的產品更容易讓客戶放心；當然，真正讓客戶選擇并愿意繼續使用云堤服務的，還是產品自身出色的能力，抗D服務要解決三個核心問題，通俗講就是看得見、防得住、說得清，依次對應攻擊檢測、攻擊防護和分析溯源，這三個問題構成了攻擊防護的閉環，缺一不可，云堤在每一項上都有自己獨到的優勢：

（1）攻擊檢測利用覆蓋電信全網核心路由器的NetFlow數據進行攻擊監測，其優勢是可以對經過中國電信大網的訪問任意互聯網目標地址的進行在線實時流量監控，在大流量攻擊發生時，有別于傳統攻擊檢測方式只能在近攻擊目的端的網絡或主機上計算攻擊流量和訪問量因而無法避免出現因為流量擁塞或丟包帶來的記數嚴重偏小問題，云堤可以在全網所有鏈路上對去往目標IP所的實際攻擊流量進行全面評估，因此對大型DDoS攻擊的流量規模測度最為準確。大型金融企業網點覆蓋較廣，海內外都有接入點，云堤的監控能力是覆蓋國內和國外的，和云堤進行一點對接，解決了其全國甚至海外節點的監控；此外，金融客戶特別需要知道自己所面臨的風險威脅的規模，據此作出可能損失的評估以及能力采購的依據，因此，完整的攻擊測度也是非常必要的。

（2）攻擊防護包含流量壓制和流量清洗兩種主要功能，其突出優勢是"近源防護"的概念，云堤監控分析電信全網的路由器的NetFlow數據，能夠準確的辨別一個攻擊的主要區域來向，例如是從境外發起還是從國內其他運營商發起，可以定位發起點是哪一家運營商、哪一個城市甚至是IDC機房，從而調度IP承載網路由器和分布式部署的流量清洗設備將攻擊流量在"最靠近攻擊發起源"的網絡節點上對攻擊流量的進行清除，因此其攻擊防護能力理論上無限大。云堤的近源流量壓制利用了很多BGP 核心功能如Anycast/虛擬下一跳/FlowSpec進行控制信令的全網散步，利用IP網核心路由器將攻擊流量進行可區分方向的丟棄、限速和其他QoS動作；近源清洗則是利用對攻擊源進行實時分析后，啟動最靠近攻擊源的分布式部署在電信IP網核心節點的清洗中心，將攻擊流量牽引至清洗中心進行惡意流量的處置，再將正常的業務流量通過隔離的回送通道送達目標網站；云堤的清洗節點帶寬是固化獨享的，不存在攻擊引流時與其他業務流量共享清洗帶寬的情況，極大降低了因為攻擊流量引發帶寬擁塞的業務受損可能性，同時云堤利用BGP實現了對攻擊流量牽引導流的秒級全網生效，而對比傳統的通過修改DNS NS權威解析導流的方式，往往十幾分鐘才能生效，而且受制于用戶本地遞歸中的TTL最小值限制，無法保障網內攻擊流量的完全引導；清洗設備采用運營商級大容量高性能清洗設備為主，有很強的小包處理和轉發性能，對Web安全的支持也越來越豐富，同時接受用戶對清洗防護策略模板的深度定制。

（3）分析溯源主要解決對攻擊來源的準確定位。我們知道，攻擊者利用僵尸主機發起攻擊時時常會使用虛假源IP地址，以達到混淆身份，藏匿歸屬的目的。云堤通過將每一個監測到的攻擊進行實時的NetFlow分析，找出攻擊發起點接入網絡設備的物理電路接口，通過該接口就能準確定位攻擊源，不需要進行任何關于IP源地址的歸屬推測。由于云堤了解骨干運營商的所有網絡資源位置，而不依賴于IP地址歸屬映射（互聯網公司常用）和源端是否存在有效探針（安全公司的做法），這使云堤在攻擊溯源定位能力的領先優勢難以撼動。與一般企業不同，金融機構在遭受攻擊后，大都會訴諸法律。只要有立案依據，云堤會配合司法機關提供關鍵的攻擊trace和數據。數據的公信力以及準確程度往往成為能否舉證關鍵，無論從數據質量和數據性質來說，云堤的優勢也十分明顯。

小結一下幾個關鍵詞：全網覆蓋（含電信海外網絡）；對大攻擊流量的全面客觀測度；近源防護；可區分攻擊來向的流量壓制，防護能力上不封頂；；全網1T的清洗容量；基于BGP anycast技術的近源攻擊流量牽引，秒級防護生效；覆蓋全網的準確攻擊溯源；用戶0操作，0設備部署。

云堤其實除了DDoS攻擊防護之外，還在陸續上線DNS安全功能，例如我們最近正在小范圍客戶開展DNS域名的全網快速修正以及反釣魚欺詐網站的處置，都對金融客戶在面臨關進域名解析錯誤或者欺詐網站造成的用戶利益受損這兩大痛點上有非常實質幫助，為金融客戶提供更全面的安全保障。

金融客戶對服務的體驗也很看重，所以除了上述特點外，云堤也格外重視服務的易用性和便捷性，注重安全服務的可視化。云堤除了提供傳統運營商的最擅長的"電話申告+工單跟進"外，還提供非常豐富的自服務web portal, 以及API的高度自動對接調用。通過Web Portal，客戶除了可以看到攻擊告警、進行自主防護、分析攻擊特點外，還能通過它來監控自己的電信專線電路流量，所以它幾乎就是客戶的一個輕量級的網管；另外，云堤是國內最早實現通過微信客戶端提供DDoS和DNS防護服務界面的產品，客戶的運維或者安全人員通過自己的微信就能實時掌握告警、下發處置動作和進行分析展現的，這種用戶體驗也是前所未有的便捷，很受客戶歡迎。

51CTO:有沒有一些相關案例介紹？

劉紫千：具體案例這塊，因為涉及到服務客戶的隱私及意愿問題，所以我們還是先保持神秘吧。

具體案例可以用藝龍，因為他們的CTO自己對外發布了微博，我們只是引用：

http://card.weibo.com/article/h5/s#cid=1001603847816140218611&vid=&extparam=&from=&wm=0

云堤全程參與了2015年93閱兵和烏鎮世界互聯網大會的最高規格的互聯網保障，對近200家重要站點提供了攻擊防護服務，在多次對抗實戰中捍衛了國家榮譽。

目前，云堤擁有近千家大客戶，涵蓋了金融證券、政府、互聯網公司、能源制造等全行業企業，有很好的用戶口碑。

51CTO:近期谷歌推出Project Shield，可為小規模網站抵擋DDoS 攻擊，對此您怎么看？

劉紫千: 我自己沒有試用過這個服務，所以不能妄加評判。但從Google的官方信息分析，感覺這個服務類似一個基于CDN的防護方案，將受防護的網站轉移到Google的CDN上，例如防護網站的域名通過CNAME指向谷歌的CDN域名，然后散列到全球的服務IP上。其實在國內外，已經有很多類似的產品服務了。但此類CDN方案有兩個關鍵問題，一是客戶是否接受自己網站的訪問流量要經過或者終結在一個第三方CDN服務器上，對自己數據私密性格外看重的客戶可能很難采用這種方案，比如銀行客戶；第二個問題如果攻擊是追著源站IP打的，或者頻繁cc攻擊網站的動態內容必須回源，那么CDN的方案應對這類攻擊的還是會遇到不少問題。

51CTO:對于中小企業經常遇到的域名劫持、釣魚攻擊等問題，您有什么建議？

劉紫千：域名劫持本身特指DNS解析記錄被有意修改，后來可能被泛化，包含了一些Http劫持等等。但造成這個問題的原因其實很復雜，從業務流的角度梳理，可能出問題的點非常多，比如終端側的軟件行為、網絡側的協議行為、還可能是用戶自己的權威域名服務器管理不慎造成。如果聚焦網絡側，這種劫持可能出現在邊緣的接入服務提供商、二級SP、WIFI服務提供者等各種組織，因為這些組織都具備控制"劫持點"的網絡位置條件。如我在前面問題中提到的，云堤在16年初已經上線內測新的專門針對DNS域名劫持 修復和反釣魚等功能，幫助企業客戶盡最大可能解決這些問題，我們能確保在中國電信官方授權的DNS服務節點上，以及中國電信能夠直接控制的核心網絡內，客戶的域名解析是正常的，如果有問題，我們能第一時間監測到并通知客戶，得到授權后我們會迅速修復被污染的域名解析記錄。而且我們也愿意配合云堤客戶去打擊這些網絡亂象和不正當競爭。

對釣魚網站而言，傳統的應對措施是是處置難度大，處理時間長，無法保證在一個大范圍網快速屏蔽內各種終端各種瀏覽器對釣魚網站的訪問，云堤正在內測相關的反釣魚產品，希望能給客戶帶來驚喜。

在沒有更有效的產品和服務出來之前，企業可以通過向有關部門或者社會團體比如反釣魚聯盟進行申訴，請其協助處理。我們也看到越來越多的企業加入到類似的聯盟組織，共同凈化網絡環境，這也是非常積極的一個舉措。

51CTO:最后，您認為，運營商在互聯網安全生態領域中扮演著什么樣的角色？

劉紫千：坦率的說，我個人認為，大型基礎運營商受制于傳統體制的約束，以及自身的技術發展歷程，暫還不具備所謂"打造"完整互聯網安全生態的條件。但是，立足于網絡本身，作為互聯網"連接關系"的基礎承載者，我們確實是最為關鍵的基石和紐帶。從企業性質來說，我們肩負著巨大的社會責任，是國家和政府基礎信息設施安全的捍衛者；從服務受眾來說，我們服務于億萬網民和千百萬家企業客戶，也有責任讓所有人充分享受互聯網的便捷和安全。如果要畫一張層次圖，運營商應該在中間層，向上對接國家政府的監管要求，向下服務于網民和各類企業，在同一層還有各類設備制造商和合作伙伴的能力供給。中國電信正在積極的進行轉型，正在用我們的優質資源，在我們長期積累的技術領域，打造并運營具有獨特能力的互聯網安全產品，并以此為契機，保持一個互聯網安全領域后入者的心態不斷學習成長，成為客戶不可或缺的出色的安全服務提供者。