【51CTO.com原創(chuàng)稿件】2017年5月10日，作為國內(nèi)首家協(xié)同應(yīng)對DDoS攻擊的組織，云清聯(lián)盟在京發(fā)布全網(wǎng)協(xié)同防護方案，華為、中國電信云堤、青松云安全作為組織發(fā)起者，針對目前DDoS日益猖獗、攻擊規(guī)模及頻率快速增長的現(xiàn)狀，對方案作出詳細闡述，共同探索協(xié)同防御的新思路、謀劃抵御DDoS攻擊的新格局。互聯(lián)港灣、金山云、樂視云、云端網(wǎng)絡(luò)、新浪云等行業(yè)知名企業(yè)的聯(lián)盟會員也出席活動，為協(xié)同防護方案提供助力，共同抵御攻擊，守護互聯(lián)網(wǎng)安全。

　　記者一走進會場，就聽到青松云安全的創(chuàng)始人兼CEO孫大偉打了一個比方來形容DDoS的嚴峻形勢。他透露，如果北京天通苑范圍內(nèi)的所有居住者在同一時間對國內(nèi)任意一家互聯(lián)網(wǎng)公司發(fā)起DDoS攻擊，那么沒有一家互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)架構(gòu)可以抵御，無一例外都會陷入崩潰狀態(tài)。他頓了頓，又加了一個定語，“三秒鐘之內(nèi)”。此言一出，大家對DDoS的嚴峻形勢有了更為形象的認識，頓時引得臺下參會者議論紛紛。

　　會議間隙，記者采訪了云清聯(lián)盟的多位成員，他們與記者分享了云清聯(lián)盟這半載取得的創(chuàng)新成果，以及對現(xiàn)狀及未來發(fā)展的思考。其中不少觀點非常有借鑒價值，值得深思。

　　協(xié)作+納新=共同承擔DDoS防護責(zé)任

[[191140]]

華為技術(shù)安全開發(fā)部部長 劉立柱

　　云清聯(lián)盟執(zhí)行主席、華為安全開發(fā)部部長劉立柱表示，云清聯(lián)盟承擔的最主要責(zé)任是實施DDoS的安全防護，自成立以來，他們完成了很多對接的技術(shù)標準，形成威脅情報的體系和威脅情報的服務(wù)。同時在這個架構(gòu)下形成清洗、檢測以及威脅情報的合作。當然，這其中每一位成員承擔的責(zé)任和義務(wù)各有側(cè)重，他舉例到，有的成員例如樂視云、金山云，作為重要的云服務(wù)商，他們很重要一部分職責(zé)是在于消解掉來自本網(wǎng)的DDoS攻擊;而像專業(yè)的安全服務(wù)商，則會承擔應(yīng)急響應(yīng)服務(wù)，側(cè)重于清洗工作。

　　記者獲悉，目前云清聯(lián)盟已經(jīng)擴大至30家成員單位，在今年上半年，組織會員參加了標準的討論和制訂，于2月份正式發(fā)布了《云清洗對接標準接口規(guī)范 V1.0》，同時聯(lián)盟也在國際的IETF組織里面做了提案，并得到了國際廠商的支持，未來聯(lián)盟重要工作之一就是推進這個標準的落地。

[[191141]]

中國電信云堤 CEO劉紫千

　　中國電信云堤CEO劉紫千指出，云清聯(lián)盟是一個產(chǎn)業(yè)組織，一直在通過協(xié)作聚集產(chǎn)業(yè)內(nèi)重要力量共同解決難題。他認真地表示，并不希望云清聯(lián)盟走大而全的路線，而是期待將云清聯(lián)盟的威脅情報平臺做成一個實用的威脅情報中心，讓更多的云廠商、安全服務(wù)提供商、設(shè)備制造商加入進來。

　　從被動挨打到主動防御

[[191142]]

青松云安全創(chuàng)始人 孫大偉

　　孫大偉告訴記者，今年青松云安全與云堤有過幾次深入的技術(shù)及防御實戰(zhàn)的合作。當時他們突然遭遇了國內(nèi)最大一次攻擊，僅中國電信網(wǎng)內(nèi)將近有800G的流量，整體流量已經(jīng)上T。他們采用云堤的分線路壓制及海外的流量壓制，同時在國內(nèi)通過中國電信提供的清洗池，部署了清洗防御的服務(wù)，雙管齊下同時協(xié)作，十幾分鐘之后，就消解了這次攻擊，同時也通過這次合作，把聯(lián)盟實戰(zhàn)演練的模型及技術(shù)做了很好的磨合。“目前國內(nèi)超過400G的流量攻擊已經(jīng)非常常見,雖然上T的攻擊級別仍不多見，但可能在未來兩到三年之內(nèi)，人們會習(xí)以為常。”

[[191143]]

互聯(lián)港灣解決方案與產(chǎn)品部售前總監(jiān) 于永濤

　　互聯(lián)港灣解決方案與產(chǎn)品部售前總監(jiān)于永濤表示，加入云清聯(lián)盟的過程，是他們從最初被動挨打變成了主動防御的過程。在早期服務(wù)合同中，DDoS攻擊屬于不可抗力無計可施，現(xiàn)在則變成了客戶明確要求以服務(wù)形式交付應(yīng)用，確保業(yè)務(wù)不中斷無影響。對于單個公司而言，自己去做DDoS防攻擊非常困難，除了成本高的因素之外，企業(yè)發(fā)揮的作用也非常有限。加入云清聯(lián)盟，可以結(jié)合更好的技術(shù)產(chǎn)品來滿足客戶的需求，除了把整個防御體系建立得更好之外，還可以對整個互聯(lián)網(wǎng)網(wǎng)絡(luò)的安全以及惡意流量的清洗提供更好的解決方案，“協(xié)同防護，勢必會推動DDoS云清洗技術(shù)的發(fā)展和普及。”他總結(jié)道。

　　意外!“個人自掃門前雪”也有好處

　　采訪中，劉紫千還特別提到，其實“個人自掃門前雪”對于防DDoS攻擊而言是一個不錯的選擇，如果每一個成員單位都能主動禁止從自己覆蓋的網(wǎng)絡(luò)對外發(fā)出攻擊流量，其實就等于在自己所能控制的網(wǎng)絡(luò)范圍去幫助了受攻擊者，消除這些危險。云堤有一個分布式的近源防護，但還遠遠不夠，他希望能夠借助聯(lián)盟能夠把所謂的近源真正地推到眾成員面前，而不是等流量在某一端匯聚起來再做這個事情。

[[191144]]

金山云網(wǎng)絡(luò)安全架構(gòu)師王生新

　　金山云網(wǎng)絡(luò)安全架構(gòu)師王生新也非常認可劉紫千的觀點。他表示金山云認為減輕DDoS攻擊并提供威脅情報共享是云服務(wù)商義不容辭的責(zé)任和業(yè)務(wù)。當發(fā)現(xiàn)客戶被扮演了肉雞角色時，一旦發(fā)現(xiàn)對外DDoS攻擊，金山云可以在分鐘級別隔離肉雞機器。他介紹到，金山云有一套完整防御回溯系統(tǒng)，每天會統(tǒng)計大量的攻擊源。過去回溯的攻擊數(shù)據(jù)主要反饋給客戶，供客戶調(diào)查取證。之所以加入云清聯(lián)盟，也是希望把安全能力輸送出去，將這些數(shù)據(jù)輸送給聯(lián)盟之后，供成員單位排查，降低損失。

[[191145]]

　　樂視云安全中心總經(jīng)理萬濤則闡述得更為具體，他表示，云環(huán)境如果變得臟亂差，就像病毒繁殖遇到溫床，這樣發(fā)展下去安全博弈將變得步履維艱。最好的辦法就是從源頭上斬斷黑產(chǎn)發(fā)展的苗頭。過去人們常說，DDOS攻擊是無解的，但是在今天通過云清聯(lián)盟這樣一種協(xié)作機制，在技術(shù)互補、優(yōu)勢互補、資源互補的前提下，人們可以把黑產(chǎn)DDOS的發(fā)展規(guī)模速度從自己范疇先減少。由于大量的帶寬資源都集中在云服務(wù)商和CDN廠商手中，因此這些廠商聯(lián)合起來“自掃門前雪”，就相當于在減少黑產(chǎn)大量攻擊資源，提高攻擊成本。

　　他還重點指出，現(xiàn)在正是未雨綢繆的良機，如果能夠在物聯(lián)網(wǎng)的架構(gòu)部署層面就解決安全問題，可以很大層面地降低云清聯(lián)盟成員成為黑產(chǎn)資源的幾率，聯(lián)盟成員規(guī)模越大，就越有可能形成此消彼漲的良好態(tài)勢。

　　劉紫千強調(diào)，他特別歡迎物聯(lián)網(wǎng)設(shè)備廠商或嵌入式操作系統(tǒng)廠商加盟，一方面他們能夠幫助聯(lián)盟成員更好地去理解物聯(lián)網(wǎng)攻擊載體的變化，另外一方面，他們也能從聯(lián)盟中得到一些知識，幫助他們?nèi)ジ倪M自己產(chǎn)品的設(shè)計和防護。

　　采訪最后，劉立柱表示，云清聯(lián)盟的威脅情報中心建好之后，下一步規(guī)劃是讓聯(lián)盟成員既能貢獻情報，也能獲取情報，在威脅判定的快速清除僵尸這一場景得到足夠的技術(shù)支撐。談到未來規(guī)劃時，他還表示將加快協(xié)同方案的進展，技術(shù)標準制定之后還要推動標準落地;除此之外，還將不斷地促進協(xié)作和交流，讓有共同理念的人走在一起，迸發(fā)出無限能量。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】