1樓:whalepark
才400多G也好意思叫史上最大……現在都是單點T級防禦好麼,6月暗雲的攻擊,途隆雲成功抵禦的是單點910G,持續10小時,總量63T的DDOS攻擊,這才是國內第一。
2樓:阿里雲安全
這個問題,安全君來回答一下。
筆者今天還非常清晰地記得自研高效能攻擊防護產品AliGuard第一次上線沒多久 ,線上就有多次成功防禦的案例,而且很快某儲存類產品被攻擊,第一次出現了單次40Gbps以上的攻擊,專案組的同學都非常震驚,竟然遇到了這麼大流量的攻擊,這個值當時已經超過了某些商業裝置的解決方案的防禦能力。
注:憑藉AliGuard的頂級防禦能力,2023年,阿里巴巴抵禦住了全球網際網路史上最大的一次DDoS攻擊,攻擊時間長達14個小時,攻擊峰值流量達到每秒453.8Gb。
如果自研再晚一些的話,可以想象還是存在不小的安全隱患的。當然,後續隨著集群能力的擴充,新的策略的不斷增加,集群的能力也在不斷提公升,雲產品被大流量攻擊那次,優雅防禦450多G既可以說是出乎意料,也可以說在情理之中,因為在優雅防禦的背後有足夠的技術能力和資源的儲備,才能在關鍵時刻讓產品成功抵禦了這一次的大流量攻擊。
後續也多次出現過更大流量的攻擊,也是成功防禦,沒有造成過大的損失,可以說在一場場惡戰中,產品一次次堅挺的表現,也充分證明了只有擁有足夠多的技術儲備做支撐才能在關鍵時刻做到「此時此刻,非我莫屬」。
發展到今天,自研高效能攻擊防護產品AliGuard,成功服務阿里巴巴集團3年多時間。X86伺服器的橫向可擴充套件性,CPU的計算能力的不斷提公升,特別是近幾年網絡卡容量快速的提公升,從1G、10G、到40G、100G網絡卡,我們團隊緊跟技術前沿,每一次單機能力提公升的背後都是我們AIS的網路研發的技術預研走在最前面,只有把最先進的技術預研投入放在乙個非常重要的位置,我們才有可能在這條路上走得更遠,走得更堅實。
圖3是AliGuard的一種典型部署場景,因為使用集群化部署,所以整集群的能力可以做彈性伸縮,在保證整體功能不變的前提下,適應多種不同的容量需求,非常適合全球化多區域部署。
阿里巴巴集團每天流量型的DDoS攻擊次數不下幾千次,攻擊流量從幾十M到幾百G不等,攻擊持續時間也長短不一,有資料表明這裡大部分攻擊都在1個小時以內結束,但是很多攻擊者在攻擊過程中會因為無法達到目的而不斷地嘗試更換攻擊方式,這就帶來非常大的挑戰,原本一套清洗模板用到底的模式不再簡單適用了。因為,。
在原有防禦演算法基礎上我們提出了Smart智慧型化防禦的概念,簡單來說就是在攻擊過程中,如果攻擊者不斷更換攻擊方式,我們可以通過對攻擊流量做實時分析,判斷出當前的攻擊型別,根據攻擊型別的變化在非常短的時間內秒級實現防禦策略的調整收斂。
圖4是乙個基本的智慧型化防禦的模型,核心的邏輯從上到下基本上分成三個角色:通過分析攻擊資訊,判斷攻擊型別,對防禦策略做實時的調整,保證清洗效果的同時,減少了大量的人力投入,實現了真正的自動化,智慧型化防禦。
採用智慧型化防禦模型之後,我們在具備了抗大流量攻擊能力的基礎上,能夠更一步地提供更多資訊,而且具備實時更新的能力:
1. 現在誰在攻擊我?
2. 攻擊流量分別有多大?
3. 攻擊的目標位址,網域名稱是什麼?
4. 在攻擊全過程中,黑客都採用了什麼樣的攻擊手段?
一方面發動攻擊的肉雞資訊和每時每刻的攻擊量已經被我們實時記錄,另一方面被攻擊的目標,不管是網域名稱還是目標IP也都會被實時統計出來,為smart模型提供強有力的資料支撐。資料在實現實時支撐業務邏輯的同時,每天積累的大量資料已經形成了一張無形的網,為後續更進一步的攻擊溯源,立案偵查提供強有力的證據。
未來的挑戰
每天線上的攻擊者都在嘗試研究我們的攻擊防護策略,並想方設法地繞過清洗策略,所以挑戰時刻都存在。
如何才能應對日益複雜的攻擊型別?
一方面我們的基本防護策略的迭代更新一直都在進行中,攻擊和防禦的聯動從未停止過腳步;另一方面我們已經具備高效能的深入到資料報內部的DPI能力,讓攻擊者的攻擊手法無處遁形;同時在此基礎上會通過引入更高效能的協議棧來解決更多複雜的攻擊型別,提公升4-7層整體的清洗能力。
如何面對更大流量的攻擊?
在現有大流量DDoS攻擊已經成為網際網路的家常便飯,我們在擁有足夠的接入頻寬的同時也可以考慮其他的方式作為乙個補充,比如在攻擊的發起一側終結非法的流量。當然要想終結大流量DDoS攻擊,需要在足夠多的地方擁有清洗攻擊流量的能力,所以就近攻擊源的清洗方案也是乙個非常好的選擇。
另一方面,一些新的網絡卡或可程式設計晶元也是值得我們關注的,特別是阿里在16年11月投資的Barefoot的Tofino晶元單片處理能力達到驚人的6.5Tbps,對我們來說自研定製化能力的未來想象空間也是非常巨大的。
3樓:李冬
部署在阿里雲上的一家知名遊戲公司,遭遇了全球網際網路史上最大的一次 DDoS 攻擊,攻擊時長 14 個小時,攻擊峰值流量達到每秒 453.8G。阿里雲稱,第一波 DDoS 共計從 12 月 20 日 19 點左右開始,一直持續到 21 日凌晨,第二天黑客又再次組織大規模攻擊,共持續了 14 個小時。
4樓:
400G都是什麼概念了? 電信乙個super節點的交換量吧?
電信裝置在核心節點都是cisco CRS3 這樣級別的。
百G口估計用不起吧?
也就是單口40G over ethernet or sonet阿狸的話走sonet不大可能,應該是走ethernet。
論頻寬嘛,目前單口最成熟的技術就是10G了,當然40G也是ok的。
預估阿狸的頻寬也就是在50G左右吧。
感覺如果分布式400G流量那麼ISP的noc部門的領導坑定要加班了。
5樓:何勝東
我奇怪的是400g流量為何木有把電信的節點搞垮。。。清洗的話也是都會網路的黑洞裝置流量牽引清洗,為神馬是阿里的安全產品。。。。據我所知幾個市級節點也就部署的10g的清洗裝置。
400g的話。。。不敢想象啊。坐等大神解答
如何用Axure來撰寫網際網路的產品需求文件(PRD)
馬龍 先說為什麼,現在越來越多的產品經理使用axure來編寫專案文件,包括pro mrd等,為啥要這樣做,因為方便啊。產品經理使用axure設計原型,如果再用word寫文件,那樣的話很慢,而且容易出現不一致的問題。再說怎麼做,對於prd來說,一般包括產品說明和原型兩部分,產品說明部分包括版本 產品說...
你是哪些網際網路產品的忠實使用者?
綠毛笨粥 還是蠻常用的。網不好的時候都要用它來確認一下。這麼說來Chrome也算乙個,畢竟用它來開網頁。 基本上最常用的 1.不用 我上網了嗎 Google 2.不用 上網能幹嗎 Evernote 3.不用 中國就是世界 YouTube 4.不用 網上還有人嗎 知乎6.不用 世界安靜了 微博7.不用...
如何對不懂網際網路的親友解釋 產品經理 這個職業的性質?
這不就是你的本行麼?需求 介紹 產品經理 職位 使用者群 親戚 你得根據你使用者群的接受程度來設計產品,有啥好問的呢。賈伯斯設計IPhone時,他總不能去問問HTC,你們怎麼做的吧。 如果和家裡的親戚解釋,還算輕鬆,以上說的建議基本都能打發掉。而真正鬱悶的是和高中同學解釋,他們上網,但是不太理解你做...