说起DDoS的攻击与防御，这绝对是一个老生常谈的话题。自上世纪90年代“问世”以来，DDoS攻击就不断挑战，并突破着企业的安全防线。特别是在近两年，大规模DDoS攻击愈演愈烈，从2013年突破300G，到2014年突破400G，“不良记录”不断被刷新着。而面对着大规模的DDoS攻击，单一企业的防御系统几乎没有任何办法，只能眼睁睁的看着业务被中断、品牌受影响、用户在流失…。还好，随着云时代的到来，云清洗成为了应对大规模DDoS攻击的最有效方法之一，而这也成为了各大运营商的创新运营模式——帮助大中型企业用户提供抵御DDoS攻击服务（即云清洗服务），保证企业业务稳定、不中断！

　　近日，在2014华为云计算大会上，华为与上海联通（安全运营部门）就联合发布了创新的DDoS云清洗服务产品，其采用华为基于SDN技术的Anti-DDoS云清洗方案，并利用大数据分析技术从60多种维度对全网络流量进行精细化分析，可实现针对异常流量的秒级（2秒内）响应，做到从源头上防御DDoS攻击，从而保证企业业务的永久在线！

　　魅力：SDN+大数据技术的创新应用

　　SDN+大数据技术的应用无疑是此次华为与上海联通联合发布的DDoS云清洗服务产品的最大亮点，而这也是促成双方合作的关键因素之一。对此，上海联通产品管理中心产品总监魏尚俊谈到：“为了给上海联通47000多家企业用户提供满意的云清洗服务，我们与全球多家云清洗解决方案提供商进行了沟通，而通过对比我们发现，华为的Anti-DDoS云清洗方案性能表现最好，效果最佳。具体来说，面对规模越来越大的DDoS攻击（目前已达数百G），首先要考虑安全设备的基础性能及应对未来挑战的扩展能力，而华为的安全设备不仅性能出色，更可平滑升级到T级，优势明显；此外，特别值得一提的是，华为凭借大数据分析技术，让防护更加高效和精确；同时凭借SDN技术，从源头即可过滤攻击流量，并实现了智能引流——即使面对大规模的DDoS攻击时，网络依旧能够保持畅通。”

　　说起大规模的DDoS攻击，相信不少朋友会首先想起2013年3月欧洲遭遇的300G DDoS攻击。面对史无前例的攻击流量，依然采取了传统的“引流回注”解决方案，即带着300G的攻击流量在整个欧洲网络中穿行寻找清洗点，最终导致了整个欧洲的运营商网络的拥塞。而如今随着SDN理念和技术的逐步成熟，华为率先将SDN应用于Anti-DDoS云清洗方案，利用SDN对网络的可视化和灵活控制力，可快速发现攻击流量的源头，并实现快速阻断；同时利用SDN的“敏捷”特性，还可实现智能引流清洗，对此，华为交换机与企业通信产品线安全产品领域总监易建超详细介绍到：“传统引流仅是基于路由最短路径而不顾引流路径是否具备足够的可容纳攻击流量的可用带宽，这就会导致引流路径涉及的链路出现拥塞，相当于把DDoS的攻击效果进一步放大了；而基于SDN，引流路径的计算不仅仅是考虑最短路径，还将综合考虑引流路径的最大可用带宽，清洗中心的最大可用带宽，并以多路径引流分散攻击源头的流量，使‘清洗’更高效，且保证了网络的畅通。”

　　说完了SDN的创新应用，再来说说大数据的创新应用，其实在华为的Anti-DDoS云清洗方案之中，大数据技术的应用不止一处。前文已经提到，华为用大数据分析技术从60多种维度对全网络流量进行精细化分析，而这60多种纬度，其实就是华为基于全流量逐包方法建立的60多种流量模型。据华为交换机与企业通信产品线安全产品经理杨莉介绍，大数据技术就首先应用于流量模型的学习过程之中，即应用大数据技术自动学习客户网络中的业务访问流量而建立的模型，从而形成防护网络流量模型的Baseline（基础）；与此同时，华为还会根据业界流行的DDoS攻击打造异常流量模型，并利用这些流量模型实现更快（秒级）、更精准的DDoS攻击检测。而在DDoS防御方面，华为Anti-DDoS云清洗方案同样运用了大数据分析技术，即在全球收集、共享僵尸网络的IP信誉（僵尸网络IP的收集过程和信誉评估过程本身就是一种大数据技术），并形成黑白名单，使得DDoS的防御更加高效！

　　而这一高效、精准的DDoS防御解决方案，也在一次客户的实际攻防演练中得到了验证，据魏尚俊介绍，在此次演练过程中，客户故意在2G的流量中混合了2M的攻击流量，而华为与上海联通联合发布的DDoS云清洗服务不仅实现了秒级快速响应，同时做到了精准清洗，客户为此信服不已！

　　如今，DDOS的攻击可谓是千变万化，特别是随着移动互联网的兴起，利用移动网络（智能移动终端）发起攻击已经成为新的趋势。而面对基于移动网络的DDoS攻击，传统的固网防御方法和经验已不再适用。举例来说，针对HTTP服务器的CC攻击，传统的防御方法是采用基于重定向的源认证技术，而将此技术应用于移动网络就会出现问题，因为移动终端的HTTP协议栈是缩减版，在遇到重定向时会出现无法识别的乱码，即DDoS攻击虽然阻断了，但是业务也会被中断。同样的问题还出现在依靠动态生成的黑名单阻断建立TCP连接的攻击源这一传统固网DDoS防御解决方案身上，因为移动终端的IP其实是移动网关IP，如果阻断了该IP，实际上整个网段都会被阻断。

　　针对移动互联网带来的新挑战，以及传统固网解决方案失效的问题，华为采用了创新的动态指纹学习技术、及攻击特征静态匹配过滤技术来应对“新”DDoS攻击。对此，杨莉详细介绍到：“无论是采用动态指纹还是静态过滤技术，华为DDoS防御系统的关注点都集中在会话上，并借助会话智能分析方式，利用智能终端（攻击端）的TCP拥塞机制，让攻击端TCP/IP协议栈认为是服务器侧网络出现拥塞，自动放缓发包速度，甚至停止发包。可以说，这是针对来自移动终端DDOS攻击最强有力的防御方法。”

　　而进入云时代，云计算不仅为我们的工作生活带来便利，也为攻击者提供了更加强大且更低成本的攻击资源，相信不少朋友都听说过亚马逊云沦为“僵尸云”的事情。面对这种Outbound DDoS攻击，数据中心如果采用传统的DDoS防御技术，源认证引起的流量只会令数据中心内部带宽“雪上加霜”。因此，华为Anti-DDoS方案采用了包括僵尸网络IP信誉、僵尸网络通讯报文特征、以及C&C域名等僵尸网络检测技术来识别、阻断僵尸网络控制报文。这样，即使DC内部服务器感染了僵尸网络，也会因为来自C&C的控制报文被阻断，而得不到命令，自然也就解除了数据中心内部僵尸网络向外发起异常流量攻击的威胁。

　　针对不同行业提供差异化服务

　　DDoS云清洗服务是华为与上海联通联合发布的第一款产品，目前主要服务于上海联通的所有企业用户，及IDC、CDN等用户群。而针对不同行业用户的不同需求，上海联通则提供了差异化的服务。魏尚俊表示：“各行业因业务差异，对DDOS防护的需求也不尽相同。例如校园网主要以远程教育、在线课堂、学术论坛等在线业务为主；机场主要以航班查询、机票预订等在线业务为主，它们的共同特点是容易遭受应用型的CC攻击。而网吧则以游戏为主，客户注重高速网络体验，因此DDoS攻击以消耗带宽为主。我们将根据用户的实际业务需求，提供差异化的服务。”

　　开展更加深入的合作

　　据了解，此次华为与上海联通的合作，是上海联通面向未来网络打造安全增值服务的第一步，随后双方将开展更加深入的合作，包括企业安全咨询、安全应急响应等等。而为了给上海联通提供更好地解决方案，华为也将不断提升硬件设备的处理能力，继续加强SDN感知能力，并在攻击源头上实现动态分布式的DDoS防御，旨在为联通的企业客户提供更加贴身和快速响应的安全防护方案。