微信扫一扫,关注公众号

  • 科技行者

  • 算力行者

见证连接与计算的「力量」

首页 从源头防御DDoS攻击 上海联通与华为联手共建“云清洗”

从源头防御DDoS攻击 上海联通与华为联手共建“云清洗”

2014-10-17 10:34
----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.-
2014-10-17 10:34 周雅

近年来,越来越频繁的DDoS攻击,给海内外的运营商和企业业务带来巨大安全挑战。最严重的一次在2013年3月,欧洲遭遇史上最大DDoS攻击,达300Gbps。然而,传统的“引流回注”清洗方案已无法抵御,带着300G的攻击流量在整个欧洲网络中穿行寻找清洗点, 最后导致整个欧洲的运营商网络的拥塞。

在这件安全事故里,中国也未能幸免。数据显示,上海联通服务的企业客户超47000家,攻击造成的业务中断将给企业带来巨大经济损失。因此,为了杜绝类似事件,上海联通选择与华为合作,打造“云清洗”服务产品,突破传统“引流回注”清洗方案,从源头防御DDoS攻击。

打破传统方案 三把刃剑护航

DDoS云清洗服务产品采用华为基于SDN技术的Anti-DDoS云清洗方案,不同于传统的“引流回注”清洗方案,它无需带着攻击流量在整个网络中穿行,而是利用SDN感知方式进行最优资源调度,从攻击源头上防御DDoS。

上海联通产品管理中心产品总监魏尚俊指出,上海联通在与华为构建云清洗方案时,看中了三点:第一是高容量,上海联通跟业界的各种安全专家企业方案设计上,一般普通的云清洗设备在几十G左右,而华为可以扩展到T级别;第二,华为方案采用了大数据分析技术,通过华为专业的安全团队分析全球最新的攻击工具,对僵尸网络活动进行追踪,然后将研究结果以僵尸网络IP信誉、攻击特征库的形式更新到现网设备,让防护更加高效和精确;第三,华为方案采用了SDN技术,可基于源头过滤攻击流量,亦可实现智能引流清洗,在发生大流量DDoS攻击时,最大限度地保护联通的网络带宽。

从源头防御DDoS攻击 上海联通与华为联手共建“云清洗”上海联通产品管理中心产品总监魏尚俊

具体而言,魏尚俊表示,传统DDoS攻击与新型攻击在方式没有区别,但在防御上却存在差异。传统防御技术最终是依靠动态生成的黑名单阻断建立TCP连接的攻击源,但黑名单技术不能应用到移动应用防护上。

而华为主要采用应用动态指纹学习技术、以及攻击特征静态匹配过滤技术,通过在会话上智能丢包,触发对方智能终端的TCP拥塞机制,让攻击端TCP/IP协议栈认为服务器这边网络出现拥塞,自动放缓发包速度,最终会停止发包。“该技术早在2012年,阿里云做测试时就发现:动态指纹学习和会话结合实现的智能丢包的防御技术针对来自移动终端的应用层DDOS攻击具有强大的防御能力。” 魏尚俊介绍道。

不仅如此,该“云清洗”产品结合大数据分析技术,从60多种维度对全网络流量进行精细化分析,一旦流量出现异常,将在2秒级内快速响应,支持SDN感知方式,通过优化资源调度实现云端清洗。

逐个击破 创新增值并进

在运营过程中,魏尚俊指出,上海联通对华为的Anti-DDoS解决方案积累了一套熟练的运营经验,如:提供大客户安全攻防报表推送、大客户攻防演练等更服务,让客户不断增加安全防护意识。

魏尚俊回忆,在一次客户参与的攻防演练中,客户故意在2G的流量中混合了2M的攻击流量,云清洗居然能快速响应、精准清洗,客户都为此信服不已。

在华为安全产品和技术团队的支撑下,上海联通已经成功开展DDoS云清洗服务增值业务,自业务上线以来,上海联通每年防护DDoS数万次,且服务模式不断创新。

“后期上海联通将会对不同客户采用差异化的防护策略。” 魏尚俊透露,“我们不仅仅在城域网采用逐包检测+清洗的防护方案对的IDC、ISP客户提供防护服务。一些重要的VIP客户,我们还会考虑在客户网络接入处增加一个小型硬件设备,实现检测及客户网络带宽范围内攻击清洗,真正实现云清洗。”

坚持“被集成” 致力于最优方案

一直坚持“被集成”的华为,秉承的是与合作伙伴实现共赢。面对日趋凶猛的DDoS攻击,华为也在不断优化和升级其产品方案。华为企业网络产品线副总裁刘立柱表示,华为安全产品团队一直致力于为客户提供最优的Anti-DDoS安全解决方案:

一是从自身的硬件设备上不断提升处理能力;二是在解决方案上逐渐转向SDN感知的方式,在攻击源头上实现动态分布式的DDoS防御;三是面对联通运营规模的不断扩大,应急响应量的增加,华为同联通将进行更深入的合作,包括提供安全业务规划咨询、应急响应服务等,为联通的企业客户提供更加贴身和快速响应的安全防护方案。

分享至
0赞

好文章,需要你的鼓励

周雅

Miranda
关注科技创新、技术投资。以文会友,左手硬核科技,右手浪漫主义。
推荐文章
----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.-