华为Anti-DDoS方案保障阿里巴巴双11购物狂欢

350亿的大交易

2013年11月11日(“双11”)天，阿里巴巴交易额超过350亿元，交易超过1.88亿笔，峰值超过79万人在一分钟同时完成交易，1/4交易来自移动终端，阿里巴巴双11交易的交易额是美国“黑色星期五”线上交易的4倍多，创造了阿里巴巴网络交易新纪录。

据阿里巴巴的统计数据显示，2012年，阿里巴巴的电子商务与支付平台平均每天处理2400万笔交易，年处理交易额超过10000亿元，是eBay和亚马逊全年交易额之和。

除了阿里巴巴集团传统淘宝、天猫、支付宝等关键的在线业务交易系统外，阿里巴巴云计算业务对外中小企业、开发者提供云服务。截至2013年11月，阿里巴巴云计算平台已为超过10万个业务系统提供服务，这些业务系统基本上覆盖了互联网上所能看到的所有的业务类型。如此巨大的业务量对阿里巴巴平台的性能和可靠性提出了巨大的挑战，平台的稳定性和安全性变得尤为突出。

“安保”方案，责任重大

阿里巴巴每天遭受上亿次的恶意入侵与网络攻击，其中DDoS攻击往往会造成，网络中断、服务器瘫痪等严重的后果，直接影响到其经济收益和品牌影响力，是对阿里巴巴业务危害最为严重的攻击之一。“分层立体”是阿里巴巴安全防护架构思想，防护DDoS攻击是阿里整个安全防护体系的重中之重。

一次精心策划的黑客攻击，往往都是由DDoS攻击开始，然后再伴随着入侵、挂马、数据窃取等深层次动作;而一些疯狂的黑客，甚至会采用大流量DDoS攻击拥塞网络与系统资源来达到攻击目的。因此对于阿里巴巴来说，选择一个合适的DDoS防护方案是非常重要，条件也是非常苛刻的：

第一，要有快速发现DDoS，并进行精准防护的能力

阿里巴巴客户主要以中小企业、电商、游戏运营开发者，全部业务是在线业务，对业务的连续性要求高，因此在众多的访问中，快速的定位出DDoS攻击，并进行精准的防护，否则就会出现业务访问延时大、中断、客户流失、经济损失等严重后果，甚至直接导致一个企业的灭亡。因此，适合阿里巴巴的 DDoS防护方案必须快速响应，精准防护，而且能够根据不同的业务，提供差异化的防护策略。只有这样，该系统才能为更多的客户提供更安全的土壤，为阿里巴巴带来更多的客户资源。

第二，必须具高性能和弹性的扩展能力

在DDoS攻击来临时，阿里巴巴云计算服务面临僵尸网络的海量恶意请求，服务器疲于响应恶意请求，无法为正常用户提供服务，甚至存在数据中心客户业务中断、云计算平台瘫痪等风险。抗DDoS方案作为阿里云数据中心的大门守护神，必须将DDoS洪水阻挡在门外，同时更不能出现，在DDoS防护时自身性能不足，成为阿里整个平台的性能瓶颈，会造用户成时延增大、用户访问差，影响正常用户的情况。此外，该方案要能够随着阿里巴巴云计算平台弹性扩展需求进行防护性能的弹性扩展，满足其业务3-5年的发展需求。

第三，快速部署，方便运营的能力

阿里巴巴的云计算平台客户业务已经超过10万个，后续还会快速增长，这些客户的业务以社区网站、企业官网、电子商务网站、游戏等为主，业务流量大小规模相差悬殊，业务运营模式差异较大，因此，灵活的业务自助方式以及简单方便的使用维护，对DDoS的安全服务起着决定性作用。

同时，能够将DDoS安全业务无缝地适配到阿里云服务平台，并对外提供，是阿里巴巴对DDoS方案挑选的重要依据。

为了搭建一个适合阿里巴巴业务发展与防护要求的DDoS防护体系，阿里巴巴也曾试图自己研发适合自己的DDoS防护系统，同时也在国内外多个家厂商中，进行了多轮筛选，不是性能不能满足阿里巴巴的需求(阿里巴巴的防护需求都是100Gbps级别的，而业界同类厂商基本上都是不超过20Gbps的产品，无奈~~~)，就是防护精准度(不能基于业务、基于租户防护)和弹性扩展(业界同类厂商基本上不能实现弹性进行性能扩展)能力上与阿里巴巴的需求不匹配。

华为方案更胜一筹

在阿里巴巴苦苦寻觅DDoS防护方案时，一次大型DDoS攻击在“圈内”引起轰动，但被攻击者成功防护了此次攻击，引起了阿里巴巴关注。在与被攻击者交流后得知使用的正式华为的Anti-DDoS方案。在与华为安全人员的多轮交流中，阿里巴巴对华为的Anti-DDoS解决方案产生了浓厚的兴趣，开启了漫长的POC测试工作。

阿里巴巴内部几十人的DDoS安全防护专家，将自己在现网上收集到的所有的攻击报文，在POC测试中，进行了一一回访，华为的Anti-DDoS方案均能够成功防护，阿里巴巴的安全专家似乎被华为的Anti-DDoS方案深深的吸引住了。随着测试的深入，基于租户的防护策略，流量模型学习，详细的报表功能，用起来也很方便，阿里巴巴的安全专家完全不用华为工程师的帮忙就可以完成测试了。

在测试过程中，阿里巴巴工程师，结合阿里巴巴的业务特点，模拟现网常常业务流量模型，在数10G正常流量背景下，测试50Mbps的小流量攻击，华为的Anti-DDoS能够实现2秒钟精准的识别;同时针对特定HTTP业务，采用攻击攻击进行进行应用型慢速、慢链接的DDoS攻击，华为的Anti-DDoS方案能够快速的自动学习到攻击特征，进行精准防护。通过移动智能终端访问业务的流量越来越大，之前有厂商在测试过程中，出现防护影响智能终端用户正常业务的情况，阿里在测试过程中，特意加强了华为方案防护对智能终端影响的测试用例，华为方案均能够一一成功处理攻击留情，并不影响终端用户访问。

在经过功能测试完成之后，阿里巴巴需要对华为Anti-DDoS的方案进行性能压力测试，先是在测试环境下采用测试仪器发攻击流量方式进行，华为Anti-DDoS配置2块业务板卡居然能够成功防御20Gbps的64字节的SYN Flood攻击，应用层攻击防护性能更是能够达到40Gbps，已经是业界同类厂商防护水平的2倍以上了，而且随着业务板卡增加这一性能能够线性提升到200Gbps，简直太棒了。

“真金不怕火炼”。恰逢阿里巴巴现网业务遭受一轮DDoS攻击，阿里巴巴紧急将华为Anti-DDoS方案部署线上，进行现网被攻击服务器流量引致此方案进行防护，华为Anti-DDoS在2秒内，实现攻击流量全部清洗，并且对正常用户访问没有丝毫影响，效果太理想了。阿里巴巴的安全专家都为此感到振奋，漫长的Anti-DDoS解决方案选型也至此画上了圆满的句号。自此以后，华为Anti-DDoS方案在阿里巴巴就没有再下过线。

历经考验，值得信赖

阿里巴巴现网多个数据中心出口，部署有华为的Anti-DDoS解决方案，总防护性能数百G，平均每天防护的DDoS攻击次数超100次，每年DDoS攻击防护次达数万次，峰值防护的DDoS攻击流量超100Gbps。如今，DDoS攻击在阿里巴巴的安全工程师眼里已经习以为常的事情了，由华为Anti-DDoS方案自动调度进行清洗防护即可，需要他们做的无非是事后看看报告而已。

哪怕是在2013年11月11日当天，阿里巴巴的安全团队成员仍然能够在“双11”当天从容的正常上下班。第二天报告汇报下阿里巴巴双11当天经历了多轮DDoS攻击事件，峰值攻击流量超过19Gbps，最小的攻击流量500Mbps。事实证明华为Anti-DDoS方案在双11当天，一如既往的成功防护了多轮DDoS攻击事件，有力的保障了阿里巴巴双11网络交易顺畅平稳，是值得用户信赖的DDoS防护方案。

“华为的Anti-DDoS解决方案每年帮我们防护的DDoS攻击次数超过4万次，平均每天的防护的攻击次数超100次，最高防御100G的超大流量攻击，该系统功能强大，防护精准，也很好用。”

阿里巴巴 集团高级安全专家 魏兴国