中國IDC圈12月28日報道，12月20-22日，第十一屆中國IDC產(chǎn)業(yè)年度大典（IDCC2016）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國IDC產(chǎn)業(yè)年度大典組委會主辦，中國IDC圈承辦，并受到諸多媒體的大力支持。

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計算和數(shù)據(jù)中心領(lǐng)域規(guī)模最大、最具影響力的標志性盛會，之前已成功舉辦過十屆，在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等多個領(lǐng)域。

會上， 中國電信網(wǎng)絡(luò)安全產(chǎn)品運營中心市場總監(jiān)劉長波 出席IDC服務(wù)大會并為當天的安全運維分論壇做《舉全網(wǎng)之力護網(wǎng)絡(luò)安全》主題演講。


以下是演講實錄：  

大家下午好，我叫劉長波，來自中國電信，在座的有我很多以前接觸過的朋友，也有一些新面孔。我的名字叫劉長波，所以很多朋友見到我說你肯定是中國電信，長波這個名字還是有電信化特色的，下面的內(nèi)容是我給大家分享中國電信作為基礎(chǔ)運營商在安全領(lǐng)域具備哪些優(yōu)勢，或者是在我們中國電信的視角來看可以為我們的合作伙伴，為我們的客戶解決哪些問題，這是我的聯(lián)系方式，大家有興趣可以會后交流。

大家知道北京的天是有特色的，跟這個圖一樣，不知道大家看到這個圖有什么敢想，我剛才我跟一個交往很久的朋友交流，他說今天來參加安全論壇的人都是生死之交，大家冒著生命的危險來互相交流，就像這張圖一樣，這跟我們真實的網(wǎng)絡(luò)環(huán)境沒有任何的區(qū)別。大家看我們的愿望是右邊這張圖，藍天白云、青山綠水。但是真正的網(wǎng)絡(luò)環(huán)境是大家現(xiàn)在經(jīng)歷過的，也就是這張圖左邊，霧霾，痛徹心肺，但又無可奈何。

剛才說現(xiàn)實的網(wǎng)絡(luò)環(huán)境充滿霧霾，其實跟我們互聯(lián)網(wǎng)環(huán)境充滿安全隱患是一樣的道理，我今天講兩個方面，一個是方面是DDOS，面對這種攻擊存在三種人，第一種人是正在被攻擊，第二種人是不知道被攻擊，第三種人是不承認被攻擊。其實對應(yīng)著每一個維護安全的工程師有三種態(tài)度，第一個不知道網(wǎng)絡(luò)安全風險，第二個是知道風險但不知道如何解決，第三個是知道風險但是不愿意去面對。在座的同仁我們是第四種人，我們知道網(wǎng)絡(luò)是存在安全風險的，我們也要一起去面對，同時我們要清楚地知道如何去解決，針對不同的安全風險，我們有不同的針對性的解決方案。

這是前幾天網(wǎng)上特別火的圖，DDOS攻擊，非常的形象。這么多魚同時過來的時候，網(wǎng)、人都會承受不了。這張圖剛才有同事也講過，DDOS攻擊，這就是DDOS攻擊給我們帶來的現(xiàn)狀。這是前幾天俄羅斯十幾家銀行同時遭受了DDOS攻擊，其實每天發(fā)生在互聯(lián)網(wǎng)環(huán)境下的DDOS攻擊有很多，我們一起看一下DDOS攻擊現(xiàn)狀到底是怎樣的。

首先這兩張圖，我們做一個非常形象的對比，所有人都認為我購買了三家運營商的，或者第三方的二級運營商的寬帶，特別是做IDC的同伴，你們購買了運營商的貸款，或者是你們的客戶會認為你們的帶寬現(xiàn)狀是左邊這張圖，非常好，我想開多少就開多少。但是DDOS攻擊來的時候就像右邊這張圖，哪怕你花了很多的精力、人力、物力，把我們的應(yīng)用設(shè)計成像跑車一樣快，當你們的路塞滿了無用的數(shù)據(jù)包，再快的跑車只能爬窩。

我們來看看從中國電信來看DDOS攻擊的現(xiàn)狀，這是我們模擬的一張圖，這是南京的一個客戶遭受DDOS攻擊，大家可以非常明顯地看到，來自四面八方的流量同時打到南京這個客戶，其實對客戶而言是滅頂之災(zāi)，如果攻擊流量足夠大，其實對我們運營商，比方說省網(wǎng)、城域網(wǎng)也是滅頂之災(zāi)，城域網(wǎng)會因為DDOS攻擊全部癱瘓，所有的用戶都沒法上網(wǎng)。這個網(wǎng)址是我們的官網(wǎng)，大家可以去看一下現(xiàn)在DDOS的現(xiàn)狀、瘋狂程度，官網(wǎng)的數(shù)據(jù)有一個安全態(tài)勢模塊，全是來自中國電信的專業(yè)網(wǎng)管，提供所有的數(shù)據(jù)都是真實有效的，當然我們?yōu)榱吮ＷC客戶的安全，會打IP地址呈現(xiàn)一部分。

這是我們統(tǒng)計，從2013年1月份到2016年11月份，大家注意我們的單位是T。在2016年的10月份，整個DDOS攻擊流量達到歷史峰值，應(yīng)該是超過了4萬T，整個網(wǎng)絡(luò)充滿了很多的惡意攻擊流量。大家可以很明顯地看到，我們從這邊看到上是一個非常明顯的增長趨勢，可能有人會問為什么這里面會有一些突然的下降，這個其實跟我們國家的戰(zhàn)略，或者是一些運營商關(guān)鍵時期的調(diào)整是有關(guān)系的。

我們再看一下攻擊的峰值，80%的攻擊在40個G以下，作為一個普通的客戶有多少客戶的帶寬會超過40個G，在座的有很多是IDC圈的同仁，IDC圈可能比單個客戶的帶寬大很多，比如你們購買了100個G，這100個G購買以后，你們是為你們的客戶提供服務(wù)的，超過70%或者80%在擴容。在100G帶寬，有70%左右是你們客戶的正常流量，剩下30%的流量，可能我們用帶寬可以吃掉一定的流量攻擊，攻擊過來以后我們可以吃掉一些，但是大家都知道任何的帶寬利用率不能達到理論上的百分之百，所以大家去想這40G的攻擊到了你的機房會出現(xiàn)什么樣的情況。

我們再看看這個數(shù)據(jù)，超過100G的攻擊，每一天35次。它已經(jīng)比我們上一個統(tǒng)計周期增長了4-5倍，也就是說大流量攻擊越來越多、越來越頻繁。大家試想一下，超過100G的攻擊一天35次，不幸哪位同仁中獎了會怎么樣？來的時候我們也一直在討論，很多的朋友問我說，咱們云堤現(xiàn)在看到最大的攻擊有多大，我們正常防護的客戶業(yè)務(wù)沒有影響的攻擊峰值是692G，而且我們見過更大的是超過800G的，發(fā)生在國內(nèi)。

DDOS的攻擊到底親睞與誰呢？這是按照我們每天數(shù)據(jù)的統(tǒng)計，其實剛才大家如果去云堤的官網(wǎng)，可以看到從今天的凌晨到現(xiàn)在，全國DDOS被攻擊的現(xiàn)狀，大家發(fā)現(xiàn)有沒有什么特點？我們總結(jié)的是DDOS重災(zāi)區(qū)分布與經(jīng)濟發(fā)展密切相關(guān)，大家可以看到整個的沿海省份，而且跟政治敏感密切掛鉤。比方說新疆、西藏，或者某一個省，我們的客戶在做一個全國或者全球性質(zhì)的論壇，或者我們的某一個客戶在某一個省發(fā)布一個重要的產(chǎn)品，這個時候攻擊絕對會隨之而來。這是我引用第三方的數(shù)據(jù)，2015年遭受DDOS攻擊行業(yè)分布，第一個是新聞媒體，第二個是互聯(lián)金融，政府、企業(yè)、游戲都排在前十位。

DDOS攻擊原因很多，之前很多業(yè)內(nèi)的朋友都說，大家都是為了業(yè)余愛好，我的技術(shù)能力很強，我試一試我的能力能不能打開一個網(wǎng)站，其實這是一個初級的形態(tài)，到現(xiàn)在最重要的是惡性競爭、敲詐勒索、政治原因?，F(xiàn)在整個中國大陸，整個互聯(lián)網(wǎng)行業(yè)是大眾創(chuàng)業(yè)、萬眾創(chuàng)新，只要有競爭，自然而然會引起一些黑色、灰色的不正當?shù)氖侄?。政治原因不用說，我們再說一下敲詐勒索。以前大家都說敲詐勒索會在一些創(chuàng)業(yè)公司或者互聯(lián)網(wǎng)公司遇到，我要辦一個新聞發(fā)布會，辦一個新產(chǎn)品發(fā)布的時候很容易受到攻擊，但是我跟大家分享一個信息，現(xiàn)在敲詐勒索到政府、到國家的企事業(yè)單位概率也明顯地上升。比方說某一個地市的汽車車牌搖號平臺，這種網(wǎng)站經(jīng)常遭受DDOS攻擊的勒索，你不給我錢，我讓你26號搖號就不能成功，或者26號開始搖號，我讓所有人訪問不了你。我這邊加了白菜價，DDOS攻擊發(fā)起的成本非常低廉，它跟DDOS攻擊防護的成本完全不成比例，DDOS攻擊成本的廉價也是導(dǎo)致DDOS攻擊泛濫的一個非常重要的原因。

這是我們總結(jié)的DDOS攻擊會帶來哪些危害。比方說剛才提到的品牌效益，好多公司成立以后打出自己的品牌非常不易，當你的品牌在一個非常關(guān)鍵的時期受到攻擊，或者是社會輿論導(dǎo)致你的股價或者其他的影響，這個會對你的品牌效益造成不可估量的損失。業(yè)務(wù)全阻，特別是對做互聯(lián)網(wǎng)，比方說IDC，提供語音服務(wù)的同仁影響最大。為什么這么說？比如說我們購買了中國電信的專線100個G，對于IDC、云服務(wù)商我們對外提供了一千個IP地址，當一個IP地址受到攻擊，或者當一個客戶受到攻擊，你們共用的出口帶寬完全壅塞，其他999個客戶也會受到影響，也就是我們說的一點受攻全點受阻，它影響的是整個機房，或者整個節(jié)點業(yè)務(wù)的連續(xù)性。

這是我們做的一個示意，比方說現(xiàn)在最常用的叫DDOS攻擊防護，大家看會有一定的效果，當大流量的攻擊來了以后，流量已經(jīng)超過運營商給你提供的專線帶寬的時候，在你的家門口做防護是沒有任何效果的，因為你的接入電路已經(jīng)完全壅塞了，這個時候你的路上塞滿了沒有用的數(shù)據(jù)包，真正想過來的流量堵在路上，根本到達不了。

我們這邊總結(jié)了DDOS攻擊防護的四個先決條件。第一個帶寬，我們的DDOS攻擊防護能力有多大？有的同事突然說我有200G，我有500G，其實我說的帶寬是目前DDOS攻擊防護最高的成本，沒有之一。而且必須有足夠的貸款才能不能把DDOS攻擊來的流量全部吃下去，只有把流量有能力吸進來的時候才能進行下一步的動作，我來清洗。如果不能完全吸過來，清無從談起。第二個防護設(shè)備，必須有專業(yè)的、規(guī)則比較完備的清洗設(shè)備，才能達到最好的清洗效果。第三個專業(yè)隊伍。第四個DDOS攻擊的處治必須有非常完備的響應(yīng)機制，不然當攻擊來我們束手無策。

我們看看云堤對DDOS攻擊主要是兩個處治方式，第一個處治方式，我們叫流量壓制。流量壓制翻譯成業(yè)內(nèi)的專業(yè)名詞叫黑洞，為什么我們把黑洞包裝了一下叫流量壓制呢？就是因為我們的這個動作跟其他傳統(tǒng)意義上的黑洞是完全不一樣的。首先IP業(yè)務(wù)黑掉以后整個業(yè)務(wù)就斷掉了，有的朋友說斷掉以后已經(jīng)達到了黑客攻擊的目的，我的目的就是讓他的業(yè)務(wù)不能用，現(xiàn)在中國電信云堤把IP地址本身黑掉，我為什么還愿意跟你合作呢？這就是我們云堤流量壓制的特點，首先我們把攻擊源，或者把流量分了三個方向。第一個方向來自于國外，第二個方向來自于國內(nèi)，除了中國電信之外的其他運營商，比方說聯(lián)通、移動。第三個方向來自于中國電信內(nèi)部的三十幾個省的內(nèi)網(wǎng)。接入中國電信線路的IDC或者云服務(wù)提供商很多的正常業(yè)務(wù)，是為中國大陸網(wǎng)民提供服務(wù)，更聚焦一點，其實它是為中國電信的網(wǎng)民提供服務(wù)，因為它是多線進入，但是真正攻擊發(fā)生的時候，我們?nèi)甑慕y(tǒng)計數(shù)據(jù)分析，40%的攻擊流量來自于國外，4：3：3，現(xiàn)在隨著DDOS攻擊的變化，來自國外的DDOS攻擊個別現(xiàn)象不超過99%，所以我們做了一個動作，當國外攻擊來的時候，國內(nèi)大陸所有的運營商都能訪問你的業(yè)務(wù)，如果這次攻擊60%來自于國外，60%沒了，剩下40%看IDC、合作伙伴、帶寬、清洗能力能否實現(xiàn)。我們流量壓制有幾個特點，首先是把能力開放給自己的客戶，客戶自己來操作，我們很多的語言服務(wù)提供商或者IDC都在用，提供時間五秒以內(nèi)，全網(wǎng)生效。

這是云堤的流量清洗，流量清洗跟剛才做了個對比。我們的清洗動作離客戶越遠越安全。這邊舉了個例子，南京的客戶受到DDOS攻擊，來自四面八方，甚至國外的流量都打到南京這個客戶來，既然清洗啟動以后，我們會把來自某個省或者某個方向的流量就近遷移到云堤就近的清洗機房做清洗，通過中國電信另外一張骨干網(wǎng)回駐到客戶那里去，這樣來保證我們的能力分布。有的同仁會問中國電信有多少清洗能力？中國地圖跟世界地圖，之前我們的清洗中心部署在全國26個清晰節(jié)點，它的流量是1200G，目前我們的能力增加到香港、歐洲、美洲，所以我們現(xiàn)在云計算能力是將近2000G，覆蓋了全球。

還有一個是我們正在測試而且有很多客戶試用的云堤高防，這也是我第一次在比較大的場合來推薦我們的概念，云堤高防的概念顧名思義，如果沒有云堤高防正常的訪問流量經(jīng)過中國電信接到服務(wù)器，到IDC，我們利用部署在中國電信31個省高質(zhì)量的IDC，首先把流量就近牽引到高防IDC，然后回到客戶那里去?，F(xiàn)在我們的這種模式也是可以把全中國電信的能力集中起來，為我們單個客戶提供攻擊保護。

第二，霧霾DNS。中國電信能做什么呢？首先可能有的DNS提供商提供的是權(quán)威DNS托管，中國電信提供的是緩存DNS。權(quán)威DNS被篡改，這種故障非常大，比如說蘋果導(dǎo)致了130億美元的損失，據(jù)分析它的故障原因是權(quán)威DNS的故障，不管是惡意篡改，還是因為自己的失誤導(dǎo)致的DNS沒有及時同步，它跟運營商的緩存DNS同步。在座有IDC行業(yè)的同仁，你們的客戶做游戲，預(yù)測的DNS以后發(fā)現(xiàn)只能等待，因為緩存DNS沒有同步，只有同步以后，通過緩存DNS才能解析到它要訪問的業(yè)務(wù)上。

我們現(xiàn)在的傳統(tǒng)的域名應(yīng)急痛點有兩個，一個是發(fā)現(xiàn)遲，一個是恢復(fù)慢。現(xiàn)在我們中國云堤為DNS安全提了一個名字叫運營無憂，提供兩個服務(wù)。第一個是監(jiān)控，中國電信31個省的探針，現(xiàn)在覆蓋了三家運營商，電信、聯(lián)通、移動去實時檢測用戶DNS是否被篡改，是否有變化，DNS被動檢測是通過DNS的數(shù)據(jù)實時分析。第二個是域名快速修正服務(wù)，我們要確保我們客戶的權(quán)威DNS修改迅速的與中國電信緩存DNS同步。

現(xiàn)在我們修正服務(wù)也完全支持API，我們的客戶用的還是蠻開心的。

它有四個特點。第一個特點是主被動監(jiān)控。第二個特點是自動的API接口，我們?yōu)槲覀兛蛻籼峁┑哪芰κ峭耆_放給我們客戶的，這樣來確保實時性。第三個特點是自服務(wù)系統(tǒng)以及微信服務(wù)號，都可以為大家提供相符的服務(wù)。第四個生效時間快。