百度云安全：如何防御能讓一座城市癱瘓的網(wǎng)絡攻擊

前不久，老冀去上海參加了錘子科技新發(fā)布的堅果手機發(fā)布會，結果在預訂的時間又過了一個多小時羅永浩才出來，后來才知道原來錘子科技的網(wǎng)站遭受了數(shù)十G的DDoS（分布式拒絕服務）攻擊，致使本來準備在發(fā)布會后開始預售的網(wǎng)站陷入了癱瘓。

由此可見DDoS對于互聯(lián)網(wǎng)行業(yè)的巨大威脅。在這個高速發(fā)展的行業(yè)，即使網(wǎng)站停止運行一天甚至幾個小時都是不可原諒的，甚至會造成巨大的經(jīng)濟損失。那么，互聯(lián)網(wǎng)公司有沒有什么好辦法來防止這種致命的攻擊呢？

讓1T的海量攻擊消于無形

9月17日，老冀在北京望京昆泰酒店，觀看了一場關于DDoS的實戰(zhàn)演練。

其中，樂視云作為模擬攻擊方，百度云加速與兩家合作伙伴CloudFlare和中國電信云堤則是防守方。

下午3時許，樂視云計算有限公司CEO、樂視戰(zhàn)略項目副總裁吳亞洲一聲令下，一場針對云加速3.0的大流量攻擊發(fā)起了。

第一波攻擊來自樂視云海外節(jié)點，一開始就有數(shù)十G的流量，超過70G后百度云加速啟動藍色報警。而后，攻擊流量逐漸增加至350G左右，云加速開始發(fā)出橙色報警。云加速啟動合作伙伴CloudFlare的海外防御，通過Anycast進行流量分攤防御。

第二波攻擊則來自國內。在第一波海外攻擊被壓制無法取得效果的同時，攻擊方又啟動了新一波的國內攻擊，攻擊流量增加到了600G，再次對該網(wǎng)站發(fā)起瘋狂的攻擊。也幾乎就在同時，云加速發(fā)出紅色預警，云堤啟動了近源壓制，把攻擊流量在攻擊源頭的省內進行了攔截，余下的數(shù)百G流量持續(xù)在云加速ADN中心進行清洗。

看到兩波攻擊的效果都不理想，攻擊方只好孤注一擲，攻擊總流量突然升至1T以上，現(xiàn)場的媒體記者們都驚呆了，因為這已經(jīng)刷新了全球的最高紀錄，這個流量已經(jīng)相當于12306春運期間，最高請求數(shù)的20倍，也是最高峰值帶寬的83倍。

再做個比較，一般國內中小城市的總帶寬也就500G左右，如果此時的這個流量全部打到某個中小城市的IP上，整個城市就會斷網(wǎng)。

雖然只是短短的10分鐘的實戰(zhàn)演練，百度云安全總經(jīng)理馬杰的心卻始終放不下來。倒不是對自己的百度云加速沒有信心，而是擔心瞬間這么大的異常流量會引起網(wǎng)監(jiān)部門的注意，回頭找他“喝茶”。

不過，通過這么一次真刀真槍的演練，也確實讓業(yè)界見識了百度云加速出色的防御能力。當檢測到異常的大流量攻擊的同時，百度自主研發(fā)的DDoS/CC清洗算法就會自動運行，并且與CloudFlare和云堤形成聯(lián)動：云加速識別到來自國外的攻擊流量，通過Anycast在路由層面分散到全球超級節(jié)點進行清洗；國內攻擊流量則是云加速將攻擊特征同步給云堤，由云堤進行近源清洗。整個攻防過程中，正常的訪問得到回源，而攻擊流量則被清洗掉。

由于百度云加速的合作節(jié)點分布全球各地，1Tbps的流量打到云加速平臺之后，會被瞬時分散到各個節(jié)點，并且受到了近源壓制。所以對接入云加速的網(wǎng)站和用戶造成的影響幾乎沒有。而且，像北京、上海等國家級網(wǎng)絡節(jié)點的帶寬非常高，經(jīng)過初步清洗的流量就不會對網(wǎng)絡產(chǎn)生很大的影響。因此，普通的網(wǎng)民也很難察覺出網(wǎng)絡異常，但專業(yè)人士都能在網(wǎng)絡上檢測到當天有大流量經(jīng)過。

不只是加速

這也是2015年4月百度收購安全寶之后的第一次大規(guī)模產(chǎn)品發(fā)布。通過這次收購，百度云安全的市場份額超過了30%，已經(jīng)是國內擁有最多客戶資源的企業(yè)網(wǎng)絡應用安全保護平臺。如今，作為安全寶創(chuàng)始人之一的馬杰感覺信心滿滿：因為百度強大的資源支持，給新成立的百度云安全注入了強大的動力。

其實，百度云加速3.0的功能遠不止是加速。全新一代智能XDN——這是馬杰對百度云加速3.0的定位，它“融合了全球覆蓋的CDN網(wǎng)絡，智慧安全的BDN網(wǎng)絡，抗擊超高流量的ADN網(wǎng)絡，以及分布式防御DDN網(wǎng)絡。但云加速3.0并不止于此，未來，我們還將融入更多個‘DN’，讓用戶的網(wǎng)站更快的到達全球用戶；具備更高的優(yōu)化和推廣能力：建立更強大的抵御攻擊的能力。百度云安全總經(jīng)理馬杰指出，百度云加速3.0的特點是：更高、更快、更強。更高指的是，把SEO（搜索引擎優(yōu)化）作為更高的戰(zhàn)略，因為對很多企業(yè)而言，防住安全隱患還不夠，更重要的是版主他們把產(chǎn)品賣出去才叫安全；更快指的是，SEO要更快捷地實現(xiàn)，幫助企業(yè)把搜索結果推廣到客戶那里；更強則是指，百度有關鍵詞服務，還有更強的防御能力。

在發(fā)布會上，馬杰再三強調百度云安全的中立性、開放性。“在百度內部，百度云安全部與百度云是獨立的兩個并行的部門，所以百度開放云也是我的客戶。而且，他們跟其他云拿到的接口是一樣的。在阿里云或者騰訊云，安全是云的一個子部門，是以服務自己的云為主要目的，而我們是唯一的完全一個獨立的部門，所有的云都是我的伙伴?！币舱且驗檫@樣，現(xiàn)在百度云安全也能夠與電信云、金山云、華為企業(yè)云、AWS中國、青云，又拍云、品高云等第三方云服務提供商進行緊密的合作。

“所以在這件事情上，要讓伙伴相信你，一定做到自己內部也是公平的。整個云的生態(tài)應該是一個更平衡的生態(tài)，對大家都更好?！瘪R杰還表示，百度云安全會將自己的抗DDoS能力、CDN能力等各種能力都以接口的方式向合作伙伴分批開放，目的就是希望整個云的生態(tài)是一個平衡的生態(tài)，是一個百花齊放的生態(tài)。

而百度云安全的目標，就是成為所有云的基礎技術服務商。當大家都在公有云市場淘金的時候，百度云安全希望成為賣水賣工具的那個人。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。