近年來，越來越頻繁的DDoS攻擊，給海內外的運營商和企業(yè)業(yè)務帶來巨大安全挑戰(zhàn)。最嚴重的一次在2013年3月，歐洲遭遇史上最大DDoS攻擊，達300Gbps。然而，傳統(tǒng)的“引流回注”清洗方案已無法抵御，帶著300G的攻擊流量在整個歐洲網絡中穿行尋找清洗點, 最后導致整個歐洲的運營商網絡的擁塞。

在這件安全事故里，中國也未能幸免。數(shù)據(jù)顯示，上海聯(lián)通服務的企業(yè)客戶超47000家，攻擊造成的業(yè)務中斷將給企業(yè)帶來巨大經濟損失。因此，為了杜絕類似事件，上海聯(lián)通選擇與華為合作，打造“云清洗”服務產品，突破傳統(tǒng)“引流回注”清洗方案，從源頭防御DDoS攻擊。

打破傳統(tǒng)方案 三把刃劍護航

DDoS云清洗服務產品采用華為基于SDN技術的Anti-DDoS云清洗方案，不同于傳統(tǒng)的“引流回注”清洗方案，它無需帶著攻擊流量在整個網絡中穿行，而是利用SDN感知方式進行最優(yōu)資源調度，從攻擊源頭上防御DDoS。

上海聯(lián)通產品管理中心產品總監(jiān)魏尚俊指出，上海聯(lián)通在與華為構建云清洗方案時，看中了三點：第一是高容量，上海聯(lián)通跟業(yè)界的各種安全專家企業(yè)方案設計上，一般普通的云清洗設備在幾十G左右，而華為可以擴展到T級別；第二，華為方案采用了大數(shù)據(jù)分析技術，通過華為專業(yè)的安全團隊分析全球最新的攻擊工具，對僵尸網絡活動進行追蹤，然后將研究結果以僵尸網絡IP信譽、攻擊特征庫的形式更新到現(xiàn)網設備，讓防護更加高效和精確；第三，華為方案采用了SDN技術，可基于源頭過濾攻擊流量，亦可實現(xiàn)智能引流清洗，在發(fā)生大流量DDoS攻擊時，最大限度地保護聯(lián)通的網絡帶寬。

上海聯(lián)通產品管理中心產品總監(jiān)魏尚俊

具體而言，魏尚俊表示，傳統(tǒng)DDoS攻擊與新型攻擊在方式沒有區(qū)別，但在防御上卻存在差異。傳統(tǒng)防御技術最終是依靠動態(tài)生成的黑名單阻斷建立TCP連接的攻擊源，但黑名單技術不能應用到移動應用防護上。

而華為主要采用應用動態(tài)指紋學習技術、以及攻擊特征靜態(tài)匹配過濾技術，通過在會話上智能丟包，觸發(fā)對方智能終端的TCP擁塞機制，讓攻擊端TCP/IP協(xié)議棧認為服務器這邊網絡出現(xiàn)擁塞，自動放緩發(fā)包速度，最終會停止發(fā)包。“該技術早在2012年，阿里云做測試時就發(fā)現(xiàn)：動態(tài)指紋學習和會話結合實現(xiàn)的智能丟包的防御技術針對來自移動終端的應用層DDOS攻擊具有強大的防御能力。” 魏尚俊介紹道。

不僅如此，該“云清洗”產品結合大數(shù)據(jù)分析技術，從60多種維度對全網絡流量進行精細化分析，一旦流量出現(xiàn)異常，將在2秒級內快速響應，支持SDN感知方式，通過優(yōu)化資源調度實現(xiàn)云端清洗。

逐個擊破 創(chuàng)新增值并進

在運營過程中，魏尚俊指出，上海聯(lián)通對華為的Anti-DDoS解決方案積累了一套熟練的運營經驗，如：提供大客戶安全攻防報表推送、大客戶攻防演練等更服務，讓客戶不斷增加安全防護意識。

魏尚俊回憶，在一次客戶參與的攻防演練中，客戶故意在2G的流量中混合了2M的攻擊流量，云清洗居然能快速響應、精準清洗，客戶都為此信服不已。

在華為安全產品和技術團隊的支撐下，上海聯(lián)通已經成功開展DDoS云清洗服務增值業(yè)務，自業(yè)務上線以來，上海聯(lián)通每年防護DDoS數(shù)萬次，且服務模式不斷創(chuàng)新。

“后期上海聯(lián)通將會對不同客戶采用差異化的防護策略。” 魏尚俊透露，“我們不僅僅在城域網采用逐包檢測+清洗的防護方案對的IDC、ISP客戶提供防護服務。一些重要的VIP客戶，我們還會考慮在客戶網絡接入處增加一個小型硬件設備，實現(xiàn)檢測及客戶網絡帶寬范圍內攻擊清洗，真正實現(xiàn)云清洗。”

堅持“被集成” 致力于最優(yōu)方案

一直堅持“被集成”的華為，秉承的是與合作伙伴實現(xiàn)共贏。面對日趨兇猛的DDoS攻擊，華為也在不斷優(yōu)化和升級其產品方案。華為企業(yè)網絡產品線副總裁劉立柱表示，華為安全產品團隊一直致力于為客戶提供最優(yōu)的Anti-DDoS安全解決方案：

一是從自身的硬件設備上不斷提升處理能力；二是在解決方案上逐漸轉向SDN感知的方式，在攻擊源頭上實現(xiàn)動態(tài)分布式的DDoS防御；三是面對聯(lián)通運營規(guī)模的不斷擴大，應急響應量的增加，華為同聯(lián)通將進行更深入的合作，包括提供安全業(yè)務規(guī)劃咨詢、應急響應服務等，為聯(lián)通的企業(yè)客戶提供更加貼身和快速響應的安全防護方案。