目前，網絡安全問題日趨嚴重，尤其是DDoS（Distributed Denial of Service，分布式拒絕服務）攻擊成本的不斷下降，使得這類攻擊成為目前最為普遍的網絡攻擊手段。給電子商務、互聯網金融等依賴網絡實現業務發展的行業帶來了極大危害。因此，如何有效防止DDoS攻擊成為目前急需解決的網絡安全問題。

由于DDoS攻擊借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。因此，一旦IDC（Internet Data Center，互聯網數據中心）受到攻擊，不僅會直接影響IDC自身業務，甚至可以利用IDC所具備的超大流量對其他網絡中的設備進行飽和攻擊，其后果不堪設想。而對于運營商網絡而言，DDoS攻擊同樣是其重點防范對象。

為此，作為中國聯合網絡通信集團有限公司上海分公司(簡稱：上海聯通)與華為公司展開聯合創新，在2014華為云計算大會上（HCC 2014）上推出了DDoS云清洗服務產品。其基于華為Anti-DDoS的全流量逐包方法建立起來的60多種流量模型，可快速、精準實現攻擊檢測。對此，上海聯通產品管理中心總經理魏尚俊表示：“防范DDoS攻擊是目前很多用戶的迫切需求，由于依靠互聯網提供業務的行業與企業越來越多，這些用戶對于網絡安全性、網絡服務可持續性要求非常高，為了滿足用戶的這種需求，上海聯通決定推出自己的云清洗服務產品。”

上海聯通、華為云清洗服務聯合創新發布會現場

而對于為何選擇與華為進行合作時，魏尚俊也表示“同全球領先的供應商方案對比，上海聯通發現華為產品目前在大容量高精度性能及服務方面表現最佳。所以選擇與華為公司展開合作，共同推出了這款云清洗服務產品。”

IDC如何防護 DDoS攻擊

目前DDoS攻擊手段越來越復雜、攻擊流量越來越大等情況，如何有效防止IDC遭受DDoS攻擊所帶來的巨大損失，對此魏尚俊表示：“首先上海聯通與華為技術在構建云清洗方案時有幾個特別關注的性能，第一是高容量，跟業界各種安全專家企業方案設計相比，普通的云清洗設備容量一般在幾十個G左右，而華為設備容量可擴展到T級，也就是說在建設初期就已經考慮到后期的兼容性和擴展性問題。第二華為方案采用了大數據分析技術，并有專業的安全團隊分析全球最新的攻擊工具及方法，如對僵尸網絡活動進行追蹤，并將研究結果以僵尸網絡IP信譽、攻擊特征庫的形式更新到現網設備上，讓防護更加高效和精確。第三華為方案采用了SDN技術，可從源頭過濾攻擊流量，亦可實現智能引流清洗，在發生大流量DDoS攻擊時，最大限度地保護聯通的網絡帶寬。”

另外，魏尚俊還表示，“后期上海聯通還會針對不同客戶采用差異化的防護策略，不僅僅在城域網采用逐包檢測+清洗的防護方案對IDC、ISP客戶提供防護服務。對一些重要的VIP客戶，我們還會考慮在客戶網絡接入處增加一個小型硬件設備，實現檢測及客戶網絡帶寬范圍內對DDoS攻擊進行清洗，真正實現快速有效的云清洗。”

利用大數據技術預防DDoS攻擊

而在利用大數據技術防范DDoS攻擊方面，華為交換機與企業通信產品線安全產品經理楊莉表示：“大數據技術主要體現在對流量模型的學習過程方面，華為基于全流量逐包方法建立的攻擊檢測模型支持60多種之多。其特點主要包括兩部分：首先系統會自動學習客戶網絡的業務訪問流量模型，這個流量模型經過長時間的學習，形成防護網絡流量模型的 baseline。其次，還會將業界流行的DDoS攻擊定義為異常的流量模型。系統會利用這些流量模型實現攻擊預警，快速發現攻擊。”

另外，楊莉表示，“防御過程當中也會運用到大數據分析技術，防御系統向全球分析、共享的僵尸網絡IP信譽（僵尸網絡IP分析過程和信譽評估過程本身就是一種大數據技術），并通過本地IP信譽白名單及黑名單機制，高效過濾業務流，提升用戶體驗，同時直接阻斷位于黑名單列表的源IP的流量，提升防御效率。”

防止IDC淪為“僵尸云”

相信大家都有所耳聞亞馬遜云淪為“僵尸云”的報道。對此，楊莉也表示，“華為Anti-DDoS方案在針對DC的防護上，不僅支持傳統的Inbound（對內） DDoS攻擊防護，還支持Outbound（對外） DDoS攻擊防護，針對Outbound DDoS攻擊。傳統DC和云DC的服務器因為具有優勢的計算能力、超大可用的網絡帶寬以及實時在線性，很多都淪為了僵尸主機，成為網絡異常流量的源頭。

同時，楊莉認為，“針對DC的Outbound DDoS防御不適合采用傳統的DDoS防御技術，由于源認證引起的流量會使DC內部帶寬雪上加霜。華為系統采用包括僵尸網絡IP信譽、僵尸網絡通訊報文特征，還有C&C域名等僵尸網絡檢測技術來識別、阻斷僵尸網絡控制報文。因此，即使DC內部服務器感染了僵尸網絡，來自C&C的控制報文因被阻斷，得不到命令，自然就解除了DC內部服務器中僵尸之后向外發起異常流量的攻擊威脅。針對DC的Outbound DDoS攻擊防御是華為方案的主要特點之一，這也是華為方案基于全流量逐包檢測所具備的主要優勢。”

DDoS云清洗提供差異化服務

據悉，DDoS云清洗服務目前主要服務于上海聯通所有企業級用戶及IDC、CDN等用戶。而針對不同行業用戶上海聯通也提供了相應的差異化服務，魏尚俊表示：“上海聯通云清洗業務的服務對象是基于互聯網行業，在互聯網上提供業務的客戶，不同的客戶有不同的業務場景，如機場、校園網、網吧防護需求因業務不同而存在較大差異。校園網主要以遠程教育、在線課堂、學術論壇等在線業務為主；機場主要以航班查詢、機票預訂等在線業務為主，他們的共同特點是容易遭受應用型的CC攻擊。網吧客戶以游戲為主，客戶注重高速網絡體驗，而網吧的特點是行業間惡意競爭導致的安全事件頻發，尤其是以DDoS攻擊擠占帶寬。不同用戶攻擊類型不一樣，防護需求也不一樣，上海聯通會針對于不同客戶提供基于業務防護需求的差異化防護。

另外，魏尚俊表示：“云清洗服務作為上海聯通邁向網絡安全領域的第一步。在未來，上海聯通準備面向安全服務領域鑄造全新的綜合品牌，并愿與華為展開進一步合作，包括針對企業安全方面提供企業安全咨詢服務、企業安全檢測服務等，并在架構實方面實現聯動。我們相信通過與華為的進一步合作，上海聯通將面向用戶提供更多的網絡安全產品和服務。”

最后，我們不得不說，華為在大數據及SDN技術方面的不斷發展創新，無疑為網絡安全市場注入了一股新鮮力量，為安全服務提供商及用戶實現DDoS攻擊防御及業務創新提供了基礎保障，并從“源頭”做起，有效保障了IDC及企業業務的安全流暢運行。