350亿的大交易
阿里巴巴集团是全球领先的电子商务公司,2012年,其电子商务与支付平台平均每天处理2400万笔交易,年处理交易额超过10000亿元,是eBay和亚马逊全年交易额之和。特别是在2013年11月11日(“双11”)当天的交易额超过350亿元,总交易数超过1.88亿笔,是美国“黑色星期五”线上交易的4倍多,创造了阿里巴巴网络交易新纪录。
除了传统的淘宝、天猫、支付宝等关键在线业务交易系统外,阿里巴巴的云计算平台还对外向中小企业、开发者提供云服务。截至2013年11月,阿里巴巴云计算平台已为超过10万个业务系统提供服务,覆盖了互联网上已有的所有业务类型。如此巨大的业务量对阿里巴巴平台的性能和可靠性提出了巨大挑战,平台的稳定性和安全性变得尤为重要。
“安保”方案责任重大
阿里巴巴每天都要遭受上亿次的恶意入侵与网络攻击,其中DDoS攻击对其业务危害最为严重。因此,选择一个合适的DDoS防护方案就变得非常重要,条件也异常苛刻。
DDoS防护方案必须能快速响应、精准防护,而且能够根据不同业务提供差异化防护策略。
DDoS防护方案要能够随着阿里巴巴云计算平台的弹性扩展相应地对防护性能进行弹性扩展,满足业务3~5年的发展需求。
阿里巴巴的云计算平台还会快速增长,而不同客户的业务运营模式差异较大,因此,灵活的业务自助方式以及简单方便的使用维护,对DDoS安全服务起着决定性作用。
同时,能够将DDoS安全业务无缝适配到阿里云服务平台并对外提供,也是阿里巴巴挑选DDoS方案的重要依据。
华为方案更胜一筹
在阿里巴巴苦苦寻觅DDoS防护方案时,一次大型DDoS攻击的成功防护引起了阿里巴巴关注。在与被攻击者交流后得知其使用的正是华为Anti-DDoS方案,此后通过与华为安全人员的多轮交流,阿里巴巴对华为Anti-DDoS解决方案产生了浓厚兴趣,并开启了漫长的POC测试工作。
在POC测试过程中,阿里巴巴的测试人员首先将在现网收集的所有攻击报文进行了一一回访,华为Anti-DDoS方案均能够成功防护;接着测试人员结合阿里巴巴业务特点,模拟现网常见的业务流量模型,在几十G正常流量背景下,测试了50Mbps的小流量攻击,华为Anti-DDoS能够在2秒内实现精准识别;针对特定HTTP业务,测试人员采用应用型慢速、慢链接DDoS攻击,华为Anti-DDoS方案能快速、自动学习攻击特征,进行精准防护;此外,当前通过移动智能终端访问业务的流量越来越大,测试人员特意加强了防护方案对智能终端影响的测试用例,华为方案均能一一成功处理攻击,并不影响终端用户访问。随着测试的深入,华为方案基于租户的防护策略、流量模型学习、详细的报表功能,以及使用方便等特性,都给测试人员留下了深刻印象。
功能测试之后是性能压力测试,华为Anti-DDoS方案在配置2块业务板卡的情况下成功防御了20Gbps的64字节SYN Flood攻击,应用层攻击防护性能更能达到40Gbps,是业界同类厂商防护水平的2倍以上,而且增加业务板卡该性能还能线性提升到200Gbps,真是令人惊叹。
“真金不怕火炼”。恰逢阿里巴巴现网业务遭受新一轮DDoS攻击,华为Anti-DDoS方案被紧急部署到线上,防护现网受到攻击的服务器,华为Anti-DDoS方案在2秒内实现攻击流量全部清洗,并且对正常用户访问没有丝毫影响,如此理想的效果令阿里巴巴的安全专家也为之感到振奋,漫长的Anti-DDoS解决方案选型也至此画上了圆满的句号。自此以后,华为Anti-DDoS方案在阿里巴巴就再没有下过线。
历经考验,值得信赖
现在,阿里巴巴现网的多个数据中心出口都部署有华为Anti-DDoS解决方案,总防护性能达数百G,平均每天防护DDoS攻击上百次,每年达数万次,峰值防护的DDoS攻击流量超过100Gbps。如今,阿里巴巴的安全工程师已经可以轻松应对日常的DDoS攻击,由华为Anti-DDoS方案自动调度进行清洗防护即可,需要他们做的无非是事后看看报告而已。
即使是在2013年“双11”当天,阿里巴巴安全团队成员仍然能够从容地正常上下班。第二天的报告表明,“双11”当天阿里巴巴经历了多轮DDoS攻击,峰值攻击流量超过19Gbps,最小攻击流量500Mbps,而华为Anti-DDoS方案一如既往地进行了成功防护,有力保障了阿里巴巴“双11”网络交易顺畅平稳,是值得用户信赖的DDoS防护方案。
客户的声音
“华为Anti-DDoS解决方案每年帮助我们防护的DDoS攻击次数超过4万次,平均每天防护的攻击次数超过100次,最高防御了100G的超大流量攻击,该系统功能强大,防护精准,并且非常好用。”
——阿里巴巴集团高级安全专家 魏兴国