中國(guó)IDC圈12月28日?qǐng)?bào)道，12月20-22日，第十一屆中國(guó)IDC產(chǎn)業(yè)年度大典（IDCC2016）在北京國(guó)家會(huì)議中心隆重召開。本次大會(huì)由中國(guó)信息通信研究院、云計(jì)算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國(guó)IDC產(chǎn)業(yè)年度大典組委會(huì)主辦，中國(guó)IDC圈承辦，并受到諸多媒體的大力支持。

中國(guó)IDC產(chǎn)業(yè)年度大典作為國(guó)內(nèi)云計(jì)算和數(shù)據(jù)中心領(lǐng)域規(guī)模最大、最具影響力的標(biāo)志性盛會(huì)，之前已成功舉辦過(guò)十屆，在本屆大會(huì)無(wú)論是規(guī)格還是規(guī)模都"更上一層樓"，引來(lái)現(xiàn)場(chǎng)人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等多個(gè)領(lǐng)域。

會(huì)上， 中國(guó)電信網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營(yíng)中心市場(chǎng)總監(jiān)劉長(zhǎng)波 出席IDC服務(wù)大會(huì)并為當(dāng)天的安全運(yùn)維分論壇做《舉全網(wǎng)之力護(hù)網(wǎng)絡(luò)安全》主題演講。


以下是演講實(shí)錄：  

大家下午好，我叫劉長(zhǎng)波，來(lái)自中國(guó)電信，在座的有我很多以前接觸過(guò)的朋友，也有一些新面孔。我的名字叫劉長(zhǎng)波，所以很多朋友見到我說(shuō)你肯定是中國(guó)電信，長(zhǎng)波這個(gè)名字還是有電信化特色的，下面的內(nèi)容是我給大家分享中國(guó)電信作為基礎(chǔ)運(yùn)營(yíng)商在安全領(lǐng)域具備哪些優(yōu)勢(shì)，或者是在我們中國(guó)電信的視角來(lái)看可以為我們的合作伙伴，為我們的客戶解決哪些問(wèn)題，這是我的聯(lián)系方式，大家有興趣可以會(huì)后交流。

大家知道北京的天是有特色的，跟這個(gè)圖一樣，不知道大家看到這個(gè)圖有什么敢想，我剛才我跟一個(gè)交往很久的朋友交流，他說(shuō)今天來(lái)參加安全論壇的人都是生死之交，大家冒著生命的危險(xiǎn)來(lái)互相交流，就像這張圖一樣，這跟我們真實(shí)的網(wǎng)絡(luò)環(huán)境沒有任何的區(qū)別。大家看我們的愿望是右邊這張圖，藍(lán)天白云、青山綠水。但是真正的網(wǎng)絡(luò)環(huán)境是大家現(xiàn)在經(jīng)歷過(guò)的，也就是這張圖左邊，霧霾，痛徹心肺，但又無(wú)可奈何。

剛才說(shuō)現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境充滿霧霾，其實(shí)跟我們互聯(lián)網(wǎng)環(huán)境充滿安全隱患是一樣的道理，我今天講兩個(gè)方面，一個(gè)是方面是DDOS，面對(duì)這種攻擊存在三種人，第一種人是正在被攻擊，第二種人是不知道被攻擊，第三種人是不承認(rèn)被攻擊。其實(shí)對(duì)應(yīng)著每一個(gè)維護(hù)安全的工程師有三種態(tài)度，第一個(gè)不知道網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，第二個(gè)是知道風(fēng)險(xiǎn)但不知道如何解決，第三個(gè)是知道風(fēng)險(xiǎn)但是不愿意去面對(duì)。在座的同仁我們是第四種人，我們知道網(wǎng)絡(luò)是存在安全風(fēng)險(xiǎn)的，我們也要一起去面對(duì)，同時(shí)我們要清楚地知道如何去解決，針對(duì)不同的安全風(fēng)險(xiǎn)，我們有不同的針對(duì)性的解決方案。

這是前幾天網(wǎng)上特別火的圖，DDOS攻擊，非常的形象。這么多魚同時(shí)過(guò)來(lái)的時(shí)候，網(wǎng)、人都會(huì)承受不了。這張圖剛才有同事也講過(guò)，DDOS攻擊，這就是DDOS攻擊給我們帶來(lái)的現(xiàn)狀。這是前幾天俄羅斯十幾家銀行同時(shí)遭受了DDOS攻擊，其實(shí)每天發(fā)生在互聯(lián)網(wǎng)環(huán)境下的DDOS攻擊有很多，我們一起看一下DDOS攻擊現(xiàn)狀到底是怎樣的。

首先這兩張圖，我們做一個(gè)非常形象的對(duì)比，所有人都認(rèn)為我購(gòu)買了三家運(yùn)營(yíng)商的，或者第三方的二級(jí)運(yùn)營(yíng)商的寬帶，特別是做IDC的同伴，你們購(gòu)買了運(yùn)營(yíng)商的貸款，或者是你們的客戶會(huì)認(rèn)為你們的帶寬現(xiàn)狀是左邊這張圖，非常好，我想開多少就開多少。但是DDOS攻擊來(lái)的時(shí)候就像右邊這張圖，哪怕你花了很多的精力、人力、物力，把我們的應(yīng)用設(shè)計(jì)成像跑車一樣快，當(dāng)你們的路塞滿了無(wú)用的數(shù)據(jù)包，再快的跑車只能爬窩。

我們來(lái)看看從中國(guó)電信來(lái)看DDOS攻擊的現(xiàn)狀，這是我們模擬的一張圖，這是南京的一個(gè)客戶遭受DDOS攻擊，大家可以非常明顯地看到，來(lái)自四面八方的流量同時(shí)打到南京這個(gè)客戶，其實(shí)對(duì)客戶而言是滅頂之災(zāi)，如果攻擊流量足夠大，其實(shí)對(duì)我們運(yùn)營(yíng)商，比方說(shuō)省網(wǎng)、城域網(wǎng)也是滅頂之災(zāi)，城域網(wǎng)會(huì)因?yàn)镈DOS攻擊全部癱瘓，所有的用戶都沒法上網(wǎng)。這個(gè)網(wǎng)址是我們的官網(wǎng)，大家可以去看一下現(xiàn)在DDOS的現(xiàn)狀、瘋狂程度，官網(wǎng)的數(shù)據(jù)有一個(gè)安全態(tài)勢(shì)模塊，全是來(lái)自中國(guó)電信的專業(yè)網(wǎng)管，提供所有的數(shù)據(jù)都是真實(shí)有效的，當(dāng)然我們?yōu)榱吮ＷC客戶的安全，會(huì)打IP地址呈現(xiàn)一部分。

這是我們統(tǒng)計(jì)，從2013年1月份到2016年11月份，大家注意我們的單位是T。在2016年的10月份，整個(gè)DDOS攻擊流量達(dá)到歷史峰值，應(yīng)該是超過(guò)了4萬(wàn)T，整個(gè)網(wǎng)絡(luò)充滿了很多的惡意攻擊流量。大家可以很明顯地看到，我們從這邊看到上是一個(gè)非常明顯的增長(zhǎng)趨勢(shì)，可能有人會(huì)問(wèn)為什么這里面會(huì)有一些突然的下降，這個(gè)其實(shí)跟我們國(guó)家的戰(zhàn)略，或者是一些運(yùn)營(yíng)商關(guān)鍵時(shí)期的調(diào)整是有關(guān)系的。

我們?cè)倏匆幌鹿舻姆逯担?0%的攻擊在40個(gè)G以下，作為一個(gè)普通的客戶有多少客戶的帶寬會(huì)超過(guò)40個(gè)G，在座的有很多是IDC圈的同仁，IDC圈可能比單個(gè)客戶的帶寬大很多，比如你們購(gòu)買了100個(gè)G，這100個(gè)G購(gòu)買以后，你們是為你們的客戶提供服務(wù)的，超過(guò)70%或者80%在擴(kuò)容。在100G帶寬，有70%左右是你們客戶的正常流量，剩下30%的流量，可能我們用帶寬可以吃掉一定的流量攻擊，攻擊過(guò)來(lái)以后我們可以吃掉一些，但是大家都知道任何的帶寬利用率不能達(dá)到理論上的百分之百，所以大家去想這40G的攻擊到了你的機(jī)房會(huì)出現(xiàn)什么樣的情況。

我們?cè)倏纯催@個(gè)數(shù)據(jù)，超過(guò)100G的攻擊，每一天35次。它已經(jīng)比我們上一個(gè)統(tǒng)計(jì)周期增長(zhǎng)了4-5倍，也就是說(shuō)大流量攻擊越來(lái)越多、越來(lái)越頻繁。大家試想一下，超過(guò)100G的攻擊一天35次，不幸哪位同仁中獎(jiǎng)了會(huì)怎么樣？來(lái)的時(shí)候我們也一直在討論，很多的朋友問(wèn)我說(shuō)，咱們?cè)频态F(xiàn)在看到最大的攻擊有多大，我們正常防護(hù)的客戶業(yè)務(wù)沒有影響的攻擊峰值是692G，而且我們見過(guò)更大的是超過(guò)800G的，發(fā)生在國(guó)內(nèi)。

DDOS的攻擊到底親睞與誰(shuí)呢？這是按照我們每天數(shù)據(jù)的統(tǒng)計(jì)，其實(shí)剛才大家如果去云堤的官網(wǎng)，可以看到從今天的凌晨到現(xiàn)在，全國(guó)DDOS被攻擊的現(xiàn)狀，大家發(fā)現(xiàn)有沒有什么特點(diǎn)？我們總結(jié)的是DDOS重災(zāi)區(qū)分布與經(jīng)濟(jì)發(fā)展密切相關(guān)，大家可以看到整個(gè)的沿海省份，而且跟政治敏感密切掛鉤。比方說(shuō)新疆、西藏，或者某一個(gè)省，我們的客戶在做一個(gè)全國(guó)或者全球性質(zhì)的論壇，或者我們的某一個(gè)客戶在某一個(gè)省發(fā)布一個(gè)重要的產(chǎn)品，這個(gè)時(shí)候攻擊絕對(duì)會(huì)隨之而來(lái)。這是我引用第三方的數(shù)據(jù)，2015年遭受DDOS攻擊行業(yè)分布，第一個(gè)是新聞媒體，第二個(gè)是互聯(lián)金融，政府、企業(yè)、游戲都排在前十位。

DDOS攻擊原因很多，之前很多業(yè)內(nèi)的朋友都說(shuō)，大家都是為了業(yè)余愛好，我的技術(shù)能力很強(qiáng)，我試一試我的能力能不能打開一個(gè)網(wǎng)站，其實(shí)這是一個(gè)初級(jí)的形態(tài)，到現(xiàn)在最重要的是惡性競(jìng)爭(zhēng)、敲詐勒索、政治原因?，F(xiàn)在整個(gè)中國(guó)大陸，整個(gè)互聯(lián)網(wǎng)行業(yè)是大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新，只要有競(jìng)爭(zhēng)，自然而然會(huì)引起一些黑色、灰色的不正當(dāng)?shù)氖侄巍Ｕ卧虿挥谜f(shuō)，我們?cè)僬f(shuō)一下敲詐勒索。以前大家都說(shuō)敲詐勒索會(huì)在一些創(chuàng)業(yè)公司或者互聯(lián)網(wǎng)公司遇到，我要辦一個(gè)新聞發(fā)布會(huì)，辦一個(gè)新產(chǎn)品發(fā)布的時(shí)候很容易受到攻擊，但是我跟大家分享一個(gè)信息，現(xiàn)在敲詐勒索到政府、到國(guó)家的企事業(yè)單位概率也明顯地上升。比方說(shuō)某一個(gè)地市的汽車車牌搖號(hào)平臺(tái)，這種網(wǎng)站經(jīng)常遭受DDOS攻擊的勒索，你不給我錢，我讓你26號(hào)搖號(hào)就不能成功，或者26號(hào)開始搖號(hào)，我讓所有人訪問(wèn)不了你。我這邊加了白菜價(jià)，DDOS攻擊發(fā)起的成本非常低廉，它跟DDOS攻擊防護(hù)的成本完全不成比例，DDOS攻擊成本的廉價(jià)也是導(dǎo)致DDOS攻擊泛濫的一個(gè)非常重要的原因。

這是我們總結(jié)的DDOS攻擊會(huì)帶來(lái)哪些危害。比方說(shuō)剛才提到的品牌效益，好多公司成立以后打出自己的品牌非常不易，當(dāng)你的品牌在一個(gè)非常關(guān)鍵的時(shí)期受到攻擊，或者是社會(huì)輿論導(dǎo)致你的股價(jià)或者其他的影響，這個(gè)會(huì)對(duì)你的品牌效益造成不可估量的損失。業(yè)務(wù)全阻，特別是對(duì)做互聯(lián)網(wǎng)，比方說(shuō)IDC，提供語(yǔ)音服務(wù)的同仁影響最大。為什么這么說(shuō)？比如說(shuō)我們購(gòu)買了中國(guó)電信的專線100個(gè)G，對(duì)于IDC、云服務(wù)商我們對(duì)外提供了一千個(gè)IP地址，當(dāng)一個(gè)IP地址受到攻擊，或者當(dāng)一個(gè)客戶受到攻擊，你們共用的出口帶寬完全壅塞，其他999個(gè)客戶也會(huì)受到影響，也就是我們說(shuō)的一點(diǎn)受攻全點(diǎn)受阻，它影響的是整個(gè)機(jī)房，或者整個(gè)節(jié)點(diǎn)業(yè)務(wù)的連續(xù)性。

這是我們做的一個(gè)示意，比方說(shuō)現(xiàn)在最常用的叫DDOS攻擊防護(hù)，大家看會(huì)有一定的效果，當(dāng)大流量的攻擊來(lái)了以后，流量已經(jīng)超過(guò)運(yùn)營(yíng)商給你提供的專線帶寬的時(shí)候，在你的家門口做防護(hù)是沒有任何效果的，因?yàn)槟愕慕尤腚娐芬呀?jīng)完全壅塞了，這個(gè)時(shí)候你的路上塞滿了沒有用的數(shù)據(jù)包，真正想過(guò)來(lái)的流量堵在路上，根本到達(dá)不了。

我們這邊總結(jié)了DDOS攻擊防護(hù)的四個(gè)先決條件。第一個(gè)帶寬，我們的DDOS攻擊防護(hù)能力有多大？有的同事突然說(shuō)我有200G，我有500G，其實(shí)我說(shuō)的帶寬是目前DDOS攻擊防護(hù)最高的成本，沒有之一。而且必須有足夠的貸款才能不能把DDOS攻擊來(lái)的流量全部吃下去，只有把流量有能力吸進(jìn)來(lái)的時(shí)候才能進(jìn)行下一步的動(dòng)作，我來(lái)清洗。如果不能完全吸過(guò)來(lái)，清無(wú)從談起。第二個(gè)防護(hù)設(shè)備，必須有專業(yè)的、規(guī)則比較完備的清洗設(shè)備，才能達(dá)到最好的清洗效果。第三個(gè)專業(yè)隊(duì)伍。第四個(gè)DDOS攻擊的處治必須有非常完備的響應(yīng)機(jī)制，不然當(dāng)攻擊來(lái)我們束手無(wú)策。

我們看看云堤對(duì)DDOS攻擊主要是兩個(gè)處治方式，第一個(gè)處治方式，我們叫流量壓制。流量壓制翻譯成業(yè)內(nèi)的專業(yè)名詞叫黑洞，為什么我們把黑洞包裝了一下叫流量壓制呢？就是因?yàn)槲覀兊倪@個(gè)動(dòng)作跟其他傳統(tǒng)意義上的黑洞是完全不一樣的。首先IP業(yè)務(wù)黑掉以后整個(gè)業(yè)務(wù)就斷掉了，有的朋友說(shuō)斷掉以后已經(jīng)達(dá)到了黑客攻擊的目的，我的目的就是讓他的業(yè)務(wù)不能用，現(xiàn)在中國(guó)電信云堤把IP地址本身黑掉，我為什么還愿意跟你合作呢？這就是我們?cè)频塘髁繅褐频奶攸c(diǎn)，首先我們把攻擊源，或者把流量分了三個(gè)方向。第一個(gè)方向來(lái)自于國(guó)外，第二個(gè)方向來(lái)自于國(guó)內(nèi)，除了中國(guó)電信之外的其他運(yùn)營(yíng)商，比方說(shuō)聯(lián)通、移動(dòng)。第三個(gè)方向來(lái)自于中國(guó)電信內(nèi)部的三十幾個(gè)省的內(nèi)網(wǎng)。接入中國(guó)電信線路的IDC或者云服務(wù)提供商很多的正常業(yè)務(wù)，是為中國(guó)大陸網(wǎng)民提供服務(wù)，更聚焦一點(diǎn)，其實(shí)它是為中國(guó)電信的網(wǎng)民提供服務(wù)，因?yàn)樗嵌嗑€進(jìn)入，但是真正攻擊發(fā)生的時(shí)候，我們?nèi)甑慕y(tǒng)計(jì)數(shù)據(jù)分析，40%的攻擊流量來(lái)自于國(guó)外，4：3：3，現(xiàn)在隨著DDOS攻擊的變化，來(lái)自國(guó)外的DDOS攻擊個(gè)別現(xiàn)象不超過(guò)99%，所以我們做了一個(gè)動(dòng)作，當(dāng)國(guó)外攻擊來(lái)的時(shí)候，國(guó)內(nèi)大陸所有的運(yùn)營(yíng)商都能訪問(wèn)你的業(yè)務(wù)，如果這次攻擊60%來(lái)自于國(guó)外，60%沒了，剩下40%看IDC、合作伙伴、帶寬、清洗能力能否實(shí)現(xiàn)。我們流量壓制有幾個(gè)特點(diǎn)，首先是把能力開放給自己的客戶，客戶自己來(lái)操作，我們很多的語(yǔ)言服務(wù)提供商或者IDC都在用，提供時(shí)間五秒以內(nèi)，全網(wǎng)生效。

這是云堤的流量清洗，流量清洗跟剛才做了個(gè)對(duì)比。我們的清洗動(dòng)作離客戶越遠(yuǎn)越安全。這邊舉了個(gè)例子，南京的客戶受到DDOS攻擊，來(lái)自四面八方，甚至國(guó)外的流量都打到南京這個(gè)客戶來(lái)，既然清洗啟動(dòng)以后，我們會(huì)把來(lái)自某個(gè)省或者某個(gè)方向的流量就近遷移到云堤就近的清洗機(jī)房做清洗，通過(guò)中國(guó)電信另外一張骨干網(wǎng)回駐到客戶那里去，這樣來(lái)保證我們的能力分布。有的同仁會(huì)問(wèn)中國(guó)電信有多少清洗能力？中國(guó)地圖跟世界地圖，之前我們的清洗中心部署在全國(guó)26個(gè)清晰節(jié)點(diǎn)，它的流量是1200G，目前我們的能力增加到香港、歐洲、美洲，所以我們現(xiàn)在云計(jì)算能力是將近2000G，覆蓋了全球。

還有一個(gè)是我們正在測(cè)試而且有很多客戶試用的云堤高防，這也是我第一次在比較大的場(chǎng)合來(lái)推薦我們的概念，云堤高防的概念顧名思義，如果沒有云堤高防正常的訪問(wèn)流量經(jīng)過(guò)中國(guó)電信接到服務(wù)器，到IDC，我們利用部署在中國(guó)電信31個(gè)省高質(zhì)量的IDC，首先把流量就近牽引到高防IDC，然后回到客戶那里去。現(xiàn)在我們的這種模式也是可以把全中國(guó)電信的能力集中起來(lái)，為我們單個(gè)客戶提供攻擊保護(hù)。

第二，霧霾DNS。中國(guó)電信能做什么呢？首先可能有的DNS提供商提供的是權(quán)威DNS托管，中國(guó)電信提供的是緩存DNS。權(quán)威DNS被篡改，這種故障非常大，比如說(shuō)蘋果導(dǎo)致了130億美元的損失，據(jù)分析它的故障原因是權(quán)威DNS的故障，不管是惡意篡改，還是因?yàn)樽约旱氖д`導(dǎo)致的DNS沒有及時(shí)同步，它跟運(yùn)營(yíng)商的緩存DNS同步。在座有IDC行業(yè)的同仁，你們的客戶做游戲，預(yù)測(cè)的DNS以后發(fā)現(xiàn)只能等待，因?yàn)榫彺鍰NS沒有同步，只有同步以后，通過(guò)緩存DNS才能解析到它要訪問(wèn)的業(yè)務(wù)上。

我們現(xiàn)在的傳統(tǒng)的域名應(yīng)急痛點(diǎn)有兩個(gè)，一個(gè)是發(fā)現(xiàn)遲，一個(gè)是恢復(fù)慢?，F(xiàn)在我們中國(guó)云堤為DNS安全提了一個(gè)名字叫運(yùn)營(yíng)無(wú)憂，提供兩個(gè)服務(wù)。第一個(gè)是監(jiān)控，中國(guó)電信31個(gè)省的探針，現(xiàn)在覆蓋了三家運(yùn)營(yíng)商，電信、聯(lián)通、移動(dòng)去實(shí)時(shí)檢測(cè)用戶DNS是否被篡改，是否有變化，DNS被動(dòng)檢測(cè)是通過(guò)DNS的數(shù)據(jù)實(shí)時(shí)分析。第二個(gè)是域名快速修正服務(wù)，我們要確保我們客戶的權(quán)威DNS修改迅速的與中國(guó)電信緩存DNS同步。

現(xiàn)在我們修正服務(wù)也完全支持API，我們的客戶用的還是蠻開心的。

它有四個(gè)特點(diǎn)。第一個(gè)特點(diǎn)是主被動(dòng)監(jiān)控。第二個(gè)特點(diǎn)是自動(dòng)的API接口，我們?yōu)槲覀兛蛻籼峁┑哪芰κ峭耆_放給我們客戶的，這樣來(lái)確保實(shí)時(shí)性。第三個(gè)特點(diǎn)是自服務(wù)系統(tǒng)以及微信服務(wù)號(hào)，都可以為大家提供相符的服務(wù)。第四個(gè)生效時(shí)間快。