在第十一屆中國(guó)IDC產(chǎn)業(yè)年度儀式上，中國(guó)電信網(wǎng)絡(luò)安全運(yùn)營(yíng)中心產(chǎn)品營(yíng)銷總監(jiān)劉長(zhǎng)波針對(duì)“舉全網(wǎng)之力護(hù)網(wǎng)絡(luò)安全”的主題，精彩的演講。

DDoS攻擊狀態(tài)分析

互聯(lián)網(wǎng)環(huán)境充滿了安全隱患，面對(duì)DDoS攻擊有三種人，第一人稱受到攻擊，第二人稱不被攻擊，第三人稱不被攻擊。

從中國(guó)電信模擬DDoS攻擊的地圖，從四面八方同時(shí)攻擊一個(gè)商人的交通流。事實(shí)上，不僅對(duì)客戶，而且對(duì)電信運(yùn)營(yíng)商都有很大的影響。

2016年10月，DDoS攻擊流量達(dá)到歷史最高點(diǎn)，超過40000 t，網(wǎng)絡(luò)惡意攻擊流量顯著增長(zhǎng)。

在高峰期，80%的攻擊都低于40克。盡管IDC社區(qū)帶寬比單一客戶大得多，帶寬可以吃了一定數(shù)量的交通。然而，由于任何帶寬利用率不到100%，從理論上講，一個(gè)40G的流量攻擊會(huì)導(dǎo)致網(wǎng)絡(luò)的破壞。

數(shù)據(jù)顯示，超過100萬次攻擊，每天35次，比上一次統(tǒng)計(jì)周期高4-5倍，這意味著攻擊越來越頻繁。最大的攻擊流量，超過800g，發(fā)生在家里。

分布式拒絕服務(wù)的分布與經(jīng)濟(jì)發(fā)展密切相關(guān)，整個(gè)沿海省份是一個(gè)高發(fā)區(qū)。根據(jù)第三方數(shù)據(jù)，2015年度，DDoS攻擊行業(yè)在新聞媒體中排名第一，互聯(lián)網(wǎng)金融位居第二，政府、企業(yè)和游戲位居前10。

有DDoS攻擊的原因很多，而在中國(guó)大陸，互聯(lián)網(wǎng)行業(yè)是非法的和灰色的不正當(dāng)競(jìng)爭(zhēng)也是互聯(lián)網(wǎng)安全問題頻繁發(fā)生的原因。DDoS攻擊的成本是非常低的，這是完全不成比例的保護(hù)成本相比，這增加了攻擊的風(fēng)險(xiǎn)。

其危害是顯而易見的，企業(yè)很難自主品牌，品牌在關(guān)鍵時(shí)期受到攻擊，品牌效益損失不可估量。更嚴(yán)重的情況是，業(yè)務(wù)充滿了阻力，對(duì)單個(gè)用戶的攻擊導(dǎo)致共享導(dǎo)出帶寬被完全阻塞。一個(gè)攻擊點(diǎn)，整個(gè)點(diǎn)被封鎖，影響整個(gè)企業(yè)業(yè)務(wù)的連續(xù)性。

DDoS攻擊防護(hù)

DDoS攻擊保護(hù)最常用的方法是阻斷攻擊流，但效果不理想。一旦接入電路完全堵塞，網(wǎng)絡(luò)塞滿無用的數(shù)據(jù)包，試圖阻止路上的交通是沒有用的。

根據(jù)電信自身的經(jīng)驗(yàn)，柳傳志總結(jié)了DDoS攻擊防護(hù)的四個(gè)前提條件。

第一。帶寬，高帶寬是最有效的DDoS攻擊防護(hù)措施，而不是其中之一。必須有足夠的帶寬來吸收來自DDoS攻擊的所有流量，并為下一次清理行動(dòng)打下基礎(chǔ)。

第二。防護(hù)設(shè)備，必須有專業(yè)的、規(guī)則的和相對(duì)完整的清洗設(shè)備，才能達(dá)到最佳的清洗效果。

第三。專業(yè)的團(tuán)隊(duì)。

第四。完整的響應(yīng)機(jī)制必須有一個(gè)非常完整的響應(yīng)機(jī)制，否則我們不能對(duì)攻擊做任何事情。

例如，電信的云堤產(chǎn)品有兩種主要的DDoS攻擊方法，第一種是流量抑制。將云堤的流動(dòng)壓力分為三個(gè)方向。第一個(gè)方向來自于國(guó)外，二來自家庭，和第三個(gè)從中國(guó)電信業(yè)的三省市內(nèi)部網(wǎng)絡(luò)。

第二種處理方法是流動(dòng)清洗。云堤的流量越大，客戶的安全系數(shù)越高。清洗開始后，云堤將流量從一個(gè)省或一些方向附近的機(jī)房清潔然后回到客戶通過中國(guó)電信骨干。

中國(guó)電信的清洗中心部署26明確的節(jié)點(diǎn)遍布全國(guó)各地，交通的1200克。目前，電信已經(jīng)部署在香港，歐洲，美國(guó)，和云計(jì)算能力接近2000G，覆蓋整個(gè)世界。

目前，電信正在嘗試一種新的安全措施，高云銀行也進(jìn)入了試驗(yàn)階段，在中國(guó)電信IDC 31省部署使用，提供高質(zhì)量的電信一個(gè)靠近高IDC流量，然后回到客戶。來自所有中國(guó)電信的能力已濃縮為個(gè)人客戶提供攻擊防護(hù)。

DNS

DNS保護(hù)也是電信未來的重要布局。傳統(tǒng)域名急診痛點(diǎn)有兩個(gè)，一個(gè)是發(fā)現(xiàn)晚，一個(gè)是緩慢恢復(fù)。

云堤為DNS安全提供兩項(xiàng)服務(wù)。首先是監(jiān)測(cè)服務(wù)，其中包括三家運(yùn)營(yíng)商在中國(guó)電信31個(gè)省份檢查用戶的DNS被篡改實(shí)時(shí)。第二個(gè)是域名快速更正服務(wù)，它確�？蛻舳说臋�(quán)威DNS快速變化，并與中國(guó)電信緩存DNS同步。

它有四個(gè)特點(diǎn)：

第一：主被動(dòng)監(jiān)測(cè)。

第二：自動(dòng)API接口，確保實(shí)時(shí)性能。

第三：無論是自助服務(wù)系統(tǒng)和微信服務(wù)號(hào)可以提供一致的服務(wù)。

第四：有效時(shí)間。

論中國(guó)速度帶來的差異化競(jìng)爭(zhēng)