阿裡自研高性能DDoS攻擊防護産品介紹二

繼上文介紹了背景以及自研高性能防攻擊産品的發展曆程的前三段，我們今天把發展曆程的最後一段以及未來面臨的挑戰繼續分享給大家。

四、智能化防禦和大資料能力

阿裡巴巴集團每天流量型的DDoS攻擊次數不下幾千次，攻擊流量從幾十M到幾百G不等，攻擊持續時間也長短不一，有資料表明這裡大部分攻擊都在1個小時以内結束，但是很多攻擊者在攻擊過程中會因為無法達到目的而不斷地嘗試更換攻擊方式，這就帶來非常大的挑戰，原本一套清洗模闆用到底的模式不再簡單适用了。因為，嘗試使用一套萬能的模闆帶來的問題可能就是目前不存在的攻擊方式對應的政策如果強制開啟就可能引入正常流量受到影響的問題。

在原有防禦算法基礎上我們提出了Smart智能化防禦的概念，簡單來說就是在攻擊過程中，如果攻擊者不斷更換攻擊方式，我們可以通過對攻擊流量做實時分析，判斷出目前的攻擊類型，根據攻擊類型的變化在非常短的時間内秒級實作防禦政策的調整收斂。圖4是一個基本的智能化防禦的模型，核心的邏輯從上到下基本上分成三個角色：通過分析攻擊資訊，判斷攻擊類型，對防禦政策做實時的調整，保證清洗效果的同時，減少了大量的人力投入，實作了真正的自動化，智能化防禦。

采用智能化防禦模型之後，我們在具備了抗大流量攻擊能力的基礎上，能夠更一步地提供更多資訊，而且具備實時更新的能力：

1. 現在誰在攻擊我？
2. 攻擊流量分别有多大？
3. 攻擊的目标位址，域名是什麼？
4. 在攻擊全過程中，黑客都采用了什麼樣的攻擊手段？

一方面發動攻擊的殭屍電腦資訊和每時每刻的攻擊量已經被我們實時記錄，另一方面被攻擊的目标，不管是域名還是目标IP也都會被實時統計出來，為smart模型提供強有力的資料支撐。資料在實作實時支撐業務邏輯的同時，每天積累的大量資料已經形成了一張無形的網，為後續更進一步的攻擊溯源，立案偵查提供強有力的證據。

圖4 Smart智能化防禦的基本模型

未來的挑戰

每天線上的攻擊者都在嘗試研究我們的攻擊防護政策，并想方設法地繞過清洗政策，是以挑戰時刻都存在。

如何才能應對日益複雜的攻擊類型：一方面我們的基本防護政策的疊代更新一直都在進行中，攻擊和防禦的關聯從未停止過腳步；另一方面我們已經具備高性能的深入到資料包内部的DPI能力，讓攻擊者的攻擊手法無處遁形；同時在此基礎上會通過引入更高性能的協定棧來解決更多複雜的攻擊類型，提升4-7層整體的清洗能力。

如何面對更大流量的攻擊：在現有大流量DDoS攻擊已經成為網際網路的家常便飯，我們在擁有足夠的接入帶寬的同時也可以考慮其他的方式作為一個補充，比如在攻擊的發起一側終結非法的流量。當然要想終結大流量DDoS攻擊，需要在足夠多的地方擁有清洗攻擊流量的能力，是以就近攻擊源的清洗方案也是一個非常好的選擇。另一方面，一些新的網卡或可程式設計晶片也是值得我們關注的，特别是阿裡在16年11月投資的Barefoot的Tofino晶片單片處理能力達到驚人的6.5Tbps，對我們來說自研定制化能力的未來想象空間也是非常巨大的。