举全网之力 电信云堤守护网络安全

最近的武林不消停。

在练家子眼里，这是一个草根的自由搏击选手“滋事”，不自量力地挑战中国传统武术，从而达到炒作的目的。

姑且不去说背后的是是非非，不过这种情形却让我不由联想起安全圈里令人谈之色变的分布式拒绝服务攻击。

怎么说呢?分布式拒绝服务攻击，即我们通常所说的DDoS(发音：滴到死)。听着就够坏的，本身没有多少技术含量，成本还非常低廉，但是却能够轻松瘫痪一个网站。

毫不夸张地说，只要量足够大，DDoS攻击甚至可以让一座城市断网。

好消息是，魔高一尺道高一丈。目前市场上已经有很多公司在做防护攻击的工作，而其中尤其值得关注的，则是运营商级别的某些产品和服务，譬如来自中国电信的“云堤”。

5月3日，第五届中国国际云计算技术和应用展览会暨论坛在北京召开，中国电信网络安全产品运营中心市场总监刘长波在云安全论坛上发表了演讲。会后，我有幸与他就云堤进行了一番交流。

面对网络攻击的第四种选择

云堤是中国电信集团公司旗下，面向政府和企业客户推出的运营商级网络安全产品。

基于中国电信全网海量带宽、高性能设备、覆盖全国的运维体系和技术团队，云堤为政企客户提供DDoS攻击防护、域名安全防护、反钓鱼、网站安全等专业服务。

其实这个产品问世并不久。

最初的团队2014年10月成立，骨干均来自于中国电信集团公司的生产和科研一线。2015年1月，云堤正式发布和推出，当时主打DDoS攻击防护。

云堤的发展很快，不到一年的时间就服务了近1000家客户。在当年12月的第二届乌镇世界互联网大会上，鉴于云堤助力我国网络强国所取得的成绩，国家领导人对之给予了高度评价和肯定。

云堤的功力暴增，并不是因为有什么大还丹或者武林秘笈之类的奇遇，而是它与生俱来的能力，并且不断磨砺自我所致。

早在2008年，中国电信就为北京奥运预先部署了DDoS清洗设备，重点保障政府重要系统和信息平台。可以这样说，历来重要的国家级大型活动和事件，背后都有中国电信的默默支持和保驾护航。

而今，中国电信将这种能力开放出来，为更多政企客户提供专业的安全防护。据刘长波介绍，目前云堤DDoS攻击防护的客户已经超过3000家，网站安全防护的客户超过1000家。

很多人可能不知道，目前几乎所有的著名大型互联网公司以及大型云服务提供商，均通过云堤提供的API调用DDoS防护能力抵挡超大规模的流量型攻击。

尽管如此，最近几年来DDoS攻击仍是有增无减。刘长波列举了一串数据，以今年2月为例，尽管当月只有28天，但是DDoS攻击总量却超过了过去任何一个月。原因很简单——充当攻击任务的“肉鸡”越来越多，攻击者的成本愈发低廉。

现实的网络环境如同充满雾霾，刘长波表示。面对网络攻击存在三种人，第一种人是正在被攻击，第二种人是不知道被攻击，第三种人是不承认被攻击。

刘长波希望大家做第四种，即：知道网络存在安全风险，一起去面对，同时清楚地知道如何去解决。他表示，针对不同的安全风险，云堤拥有不同的、针对性的解决方案。

运营商级别的终极防护

与其他同类的产品和服务不同，云堤的DDoS攻击防护是运营商级别。

首先，这意味着云堤的攻击防护位置在运营商的上游网络，而不是在客户层面。DDoS的防护动作离客户越远，客户就越安全。

其次，攻击防护的关键之一在于带宽，没有足够的带宽，大流量的DDoS攻击就没有办法被吃下去，电信在带宽方面的优势自不待言。

再次，攻击流量被带宽吃下来之后，需要专业的顶级设备做处置，将一些攻击流量破解掉，确保误杀率低。

最后，云堤有比较成熟的运维体系。得益于中国电信的运维体系，云堤可以做到从集团到省、市甚至县级层面，具有强大的现场支援能力。

云堤的优势可以总结为三步，即看得见、防得住、说得清。在防护攻击上，云堤可以做到知己知彼，这也是其他同类产品服务难以企及的巨大优势。

DDoS攻击流量统计实时截屏

点击左下角“阅读原文”直达云堤网站

刘长波表示，对于DDoS攻击，电信云堤有7×24的值班人员。这些值班人员并不只是起到预警作用，他们实际上就是处置专家。这样做的好处是，整个链条非常短，响应时间及时，根本不需要转接二线，对DDoS攻击防护可以做到第一时间处置。

现在的各种安全防护，在本质上均属于智能化。毕竟面对海量的攻击，根本没有办法通过手动的方式进行排除。云堤也是智能化的产品，但与其他同类产品不同的是，它拥有海量的历史数据积累，对于各种攻击，云堤通过大数据“知道”如何识别正常流量，应该采取何种防护策略。

云堤的另一个优势在于DDoS攻击近源防护。其工作原理基于分布式近源防护架构的DDoS攻击防护，云堤的清洗动作靠近攻击源，将流量分布式牵引到部署在全国的26个清洗中心，完成清洗后将正常流量回送到客户服务器。

这样做的好处是可以避免单个防护节点能力不足的问题，又可以避免攻击流量过大，导致骨干网、城域网或者IDC其中任何一个环节出现网络拥塞，引起客户的业务访问质量劣化。

前面我们曾经提到过，现在的网络环境愈发严峻，各种攻击有增无减。刘长波认为，在互联网时代，只要有竞争，就必然有攻击，这种黑色产业链比过去有了更加广泛和隐蔽的存在。

互联网基础设施的不断演进，不仅给创业创新带来机遇，从另外一个角度来看，同时也给黑色产业链带来了“能力增长”。举例而言，带宽的快速增长，意味着单点的攻击能力也被迅速提升。目前，100G的24小时DDoS攻击只需要几百块钱，这在以前是不可想象的。

可以想见，DDoS攻击和防护仍将长期鏖战，运营商级别的终极防护能力不可或缺。

众志成城守护网络安全

当然，网络攻击的形式并不是只有DDoS。目前，某些攻击行为可能并不是很常见，但是造成的危害却是触目惊心。

譬如两年前苹果公司发布Apple Watch后不久，其网站便惨遭全球性宕机。结果是11个小时内，客户无法访问和购买苹果相关的产品服务，造成直接经济损失至少2500万美元，苹果的市值更是瞬间蒸发了130亿美元。

最终，苹果给出的缘由是“一个内部DNS错误”。

DNS是域名和IP地址相互映射的分布式数据库，能够使人更方便地访问互联网。简而言之，DNS就像一个自动的电话号码簿，用户可以通过直接输入网站名字，来代替复杂的IP地址，从而完成对网站的访问。

由此可见，作为网络应用的基础设施，DNS服务的安全性和稳定性，对于互联网的健康有序运转，有着举足轻重的影响。相比DDoS攻击，DNS被篡改的频率相对较低，但是各方仍务必对此加以关注。

尤其值得关注的是，一旦出现DNS被篡改的情况，客户方面基本没有任何办法，即便修正回来，倘若运营商的缓存DNS没有同步，那也无法解决。刘长波表示，云堤负责中国电信全网local DNS的维护工作，可以通过统一的调度平台实现秒级同步。

当然，并不是所有的流量都会通过中国电信，做好DNS防护需要几家运营商的统一行动。好消息是中国电信本地DNS解析流量占比多达70%到80%，因此云堤实质上守护了DNS安全的大半壁江山。

据悉，云堤目前还在跟多个大型互联网公司讨论合作事宜，争取将云堤域名无忧做成云的标配，全方位地守护客户的云安全。刘长波表示，中国电信一直在与互联网公司进行技术交流，不断对自身的产品进行迭代开发，同时与互联网公司协同处理攻击问题。

每到年中年底，有一种攻击行为会变得越发活跃，这就是钓鱼网站。我们每个人都曾经收到过积分商城之类的信息，一旦点击其中的链接地址，就会被导入到一个假冒网站。倘若用户在这里输入了真实的登录信息和密码，损失就不可避免了。

目前，但凡涉及现金、虚拟货币、充值卡甚至网络游戏，都有被钓鱼的可能。由于管控力度不足，这些钓鱼网站80%以上位于香港。

云堤反钓鱼的策略除了利用大网优势——譬如DNS解析记录被动查询、秒级关停等之外，也在主动跟业内相关部门、组织和公司积极互动，共同探讨新的防护方式，为客户提供先进的防护技术，造福社会。

刘长波希望澄清外界对于云堤的一个认识误区。他表示，尽管与同类产品服务相比，云堤的价格略微高一点，但这并不意味着它是大型企业和政府机构的专享。事实上，围绕着不同客户的特点，云堤定制了不同的套餐，中小企业同样负担得起。

作为基础运营商，中国电信愿意跟各种合作伙伴一起，让网络环境更加美好，云堤也将全力守护中国互联网的安全。

作者：康翔
来源：51CTO