中国IDC圈12月28日报道,12月20-22日,第十一届中国IDC产业年度大典(IDCC2016)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会,之前已成功举办过十届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上, 中国电信网络安全产品运营中心市场总监刘长波 出席IDC服务大会并为当天的安全运维分论坛做《举全网之力护网络安全》主题演讲。

刘长波-(2)

中国电信网络安全产品运营中心市场总监 刘长波

 以下是演讲实录:  

大家下午好,我叫刘长波,来自中国电信,在座的有我很多以前接触过的朋友,也有一些新面孔。我的名字叫刘长波,所以很多朋友见到我说你肯定是中国电信,长波这个名字还是有电信化特色的,下面的内容是我给大家分享中国电信作为基础运营商在安全领域具备哪些优势,或者是在我们中国电信的视角来看可以为我们的合作伙伴,为我们的客户解决哪些问题,这是我的联系方式,大家有兴趣可以会后交流。

大家知道北京的天是有特色的,跟这个图一样,不知道大家看到这个图有什么敢想,我刚才我跟一个交往很久的朋友交流,他说今天来参加安全论坛的人都是生死之交,大家冒着生命的危险来互相交流,就像这张图一样,这跟我们真实的网络环境没有任何的区别。大家看我们的愿望是右边这张图,蓝天白云、青山绿水。但是真正的网络环境是大家现在经历过的,也就是这张图左边,雾霾,痛彻心肺,但又无可奈何。

刚才说现实的网络环境充满雾霾,其实跟我们互联网环境充满安全隐患是一样的道理,我今天讲两个方面,一个是方面是DDOS,面对这种攻击存在三种人,第一种人是正在被攻击,第二种人是不知道被攻击,第三种人是不承认被攻击。其实对应着每一个维护安全的工程师有三种态度,第一个不知道网络安全风险,第二个是知道风险但不知道如何解决,第三个是知道风险但是不愿意去面对。在座的同仁我们是第四种人,我们知道网络是存在安全风险的,我们也要一起去面对,同时我们要清楚地知道如何去解决,针对不同的安全风险,我们有不同的针对性的解决方案。

这是前几天网上特别火的图,DDOS攻击,非常的形象。这么多鱼同时过来的时候,网、人都会承受不了。这张图刚才有同事也讲过,DDOS攻击,这就是DDOS攻击给我们带来的现状。这是前几天俄罗斯十几家银行同时遭受了DDOS攻击,其实每天发生在互联网环境下的DDOS攻击有很多,我们一起看一下DDOS攻击现状到底是怎样的。

首先这两张图,我们做一个非常形象的对比,所有人都认为我购买了三家运营商的,或者第三方的二级运营商的宽带,特别是做IDC的同伴,你们购买了运营商的贷款,或者是你们的客户会认为你们的带宽现状是左边这张图,非常好,我想开多少就开多少。但是DDOS攻击来的时候就像右边这张图,哪怕你花了很多的精力、人力、物力,把我们的应用设计成像跑车一样快,当你们的路塞满了无用的数据包,再快的跑车只能爬窝。

我们来看看从中国电信来看DDOS攻击的现状,这是我们模拟的一张图,这是南京的一个客户遭受DDOS攻击,大家可以非常明显地看到,来自四面八方的流量同时打到南京这个客户,其实对客户而言是灭顶之灾,如果攻击流量足够大,其实对我们运营商,比方说省网、城域网也是灭顶之灾,城域网会因为DDOS攻击全部瘫痪,所有的用户都没法上网。这个网址是我们的官网,大家可以去看一下现在DDOS的现状、疯狂程度,官网的数据有一个安全态势模块,全是来自中国电信的专业网管,提供所有的数据都是真实有效的,当然我们为了保证客户的安全,会打IP地址呈现一部分。

这是我们统计,从2013年1月份到2016年11月份,大家注意我们的单位是T。在2016年的10月份,整个DDOS攻击流量达到历史峰值,应该是超过了4万T,整个网络充满了很多的恶意攻击流量。大家可以很明显地看到,我们从这边看到上是一个非常明显的增长趋势,可能有人会问为什么这里面会有一些突然的下降,这个其实跟我们国家的战略,或者是一些运营商关键时期的调整是有关系的。

我们再看一下攻击的峰值,80%的攻击在40个G以下,作为一个普通的客户有多少客户的带宽会超过40个G,在座的有很多是IDC圈的同仁,IDC圈可能比单个客户的带宽大很多,比如你们购买了100个G,这100个G购买以后,你们是为你们的客户提供服务的,超过70%或者80%在扩容。在100G带宽,有70%左右是你们客户的正常流量,剩下30%的流量,可能我们用带宽可以吃掉一定的流量攻击,攻击过来以后我们可以吃掉一些,但是大家都知道任何的带宽利用率不能达到理论上的百分之百,所以大家去想这40G的攻击到了你的机房会出现什么样的情况。

我们再看看这个数据,超过100G的攻击,每一天35次。它已经比我们上一个统计周期增长了4-5倍,也就是说大流量攻击越来越多、越来越频繁。大家试想一下,超过100G的攻击一天35次,不幸哪位同仁中奖了会怎么样?来的时候我们也一直在讨论,很多的朋友问我说,咱们云堤现在看到大的攻击有多大,我们正常防护的客户业务没有影响的攻击峰值是692G,而且我们见过更大的是超过800G的,发生在国内。

DDOS的攻击到底亲睐与谁呢?这是按照我们每天数据的统计,其实刚才大家如果去云堤的官网,可以看到从今天的凌晨到现在,全国DDOS被攻击的现状,大家发现有没有什么特点?我们总结的是DDOS重灾区分布与经济发展密切相关,大家可以看到整个的沿海省份,而且跟政治敏感密切挂钩。比方说新疆、西藏,或者某一个省,我们的客户在做一个全国或者全球性质的论坛,或者我们的某一个客户在某一个省发布一个重要的产品,这个时候攻击绝对会随之而来。这是我引用第三方的数据,2015年遭受DDOS攻击行业分布,第一个是新闻媒体,第二个是互联金融,政府、企业、游戏都排在前十位。

DDOS攻击原因很多,之前很多业内的朋友都说,大家都是为了业余爱好,我的技术能力很强,我试一试我的能力能不能打开一个网站,其实这是一个初级的形态,到现在最重要的是恶性竞争、敲诈勒索、政治原因。现在整个中国大陆,整个互联网行业是大众创业、万众创新,只要有竞争,自然而然会引起一些黑色、灰色的不正当的手段。政治原因不用说,我们再说一下敲诈勒索。以前大家都说敲诈勒索会在一些创业公司或者互联网公司遇到,我要办一个新闻发布会,办一个新产品发布的时候很容易受到攻击,但是我跟大家分享一个信息,现在敲诈勒索到政府、到国家的企事业单位概率也明显地上升。比方说某一个地市的汽车车牌摇号平台,这种网站经常遭受DDOS攻击的勒索,你不给我钱,我让你26号摇号就不能成功,或者26号开始摇号,我让所有人访问不了你。我这边加了白菜价,DDOS攻击发起的成本非常低廉,它跟DDOS攻击防护的成本完全不成比例,DDOS攻击成本的廉价也是导致DDOS攻击泛滥的一个非常重要的原因。

这是我们总结的DDOS攻击会带来哪些危害。比方说刚才提到的品牌效益,好多公司成立以后打出自己的品牌非常不易,当你的品牌在一个非常关键的时期受到攻击,或者是社会舆论导致你的股价或者其他的影响,这个会对你的品牌效益造成不可估量的损失。业务全阻,特别是对做互联网,比方说IDC,提供语音服务的同仁影响大。为什么这么说?比如说我们购买了中国电信的专线100个G,对于IDC、云服务商我们对外提供了一千个IP地址,当一个IP地址受到攻击,或者当一个客户受到攻击,你们共用的出口带宽完全壅塞,其他999个客户也会受到影响,也就是我们说的一点受攻全点受阻,它影响的是整个机房,或者整个节点业务的连续性。

这是我们做的一个示意,比方说现在最常用的叫DDOS攻击防护,大家看会有一定的效果,当大流量的攻击来了以后,流量已经超过运营商给你提供的专线带宽的时候,在你的家门口做防护是没有任何效果的,因为你的接入电路已经完全壅塞了,这个时候你的路上塞满了没有用的数据包,真正想过来的流量堵在路上,根本到达不了。

我们这边总结了DDOS攻击防护的四个先决条件。第一个带宽,我们的DDOS攻击防护能力有多大?有的同事突然说我有200G,我有500G,其实我说的带宽是目前DDOS攻击防护高的成本,没有之一。而且必须有足够的贷款才能不能把DDOS攻击来的流量全部吃下去,只有把流量有能力吸进来的时候才能进行下一步的动作,我来清洗。如果不能完全吸过来,清无从谈起。第二个防护设备,必须有专业的、规则比较完备的清洗设备,才能达到好的清洗效果。第三个专业队伍。第四个DDOS攻击的处治必须有非常完备的响应机制,不然当攻击来我们束手无策。

我们看看云堤对DDOS攻击主要是两个处治方式,第一个处治方式,我们叫流量压制。流量压制翻译成业内的专业名词叫黑洞,为什么我们把黑洞包装了一下叫流量压制呢?就是因为我们的这个动作跟其他传统意义上的黑洞是完全不一样的。首先IP业务黑掉以后整个业务就断掉了,有的朋友说断掉以后已经达到了黑客攻击的目的,我的目的就是让他的业务不能用,现在中国电信云堤把IP地址本身黑掉,我为什么还愿意跟你合作呢?这就是我们云堤流量压制的特点,首先我们把攻击源,或者把流量分了三个方向。第一个方向来自于国外,第二个方向来自于国内,除了中国电信之外的其他运营商,比方说联通、移动。第三个方向来自于中国电信内部的三十几个省的内网。接入中国电信线路的IDC或者云服务提供商很多的正常业务,是为中国大陆网民提供服务,更聚焦一点,其实它是为中国电信的网民提供服务,因为它是多线进入,但是真正攻击发生的时候,我们三年的统计数据分析,40%的攻击流量来自于国外,4:3:3,现在随着DDOS攻击的变化,来自国外的DDOS攻击个别现象不超过99%,所以我们做了一个动作,当国外攻击来的时候,国内大陆所有的运营商都能访问你的业务,如果这次攻击60%来自于国外,60%没了,剩下40%看IDC、合作伙伴、带宽、清洗能力能否实现。我们流量压制有几个特点,首先是把能力开放给自己的客户,客户自己来操作,我们很多的语言服务提供商或者IDC都在用,提供时间五秒以内,全网生效。

这是云堤的流量清洗,流量清洗跟刚才做了个对比。我们的清洗动作离客户越远越安全。这边举了个例子,南京的客户受到DDOS攻击,来自四面八方,甚至国外的流量都打到南京这个客户来,既然清洗启动以后,我们会把来自某个省或者某个方向的流量就近迁移到云堤就近的清洗机房做清洗,通过中国电信另外一张骨干网回驻到客户那里去,这样来保证我们的能力分布。有的同仁会问中国电信有多少清洗能力?中国地图跟世界地图,之前我们的清洗中心部署在全国26个清晰节点,它的流量是1200G,目前我们的能力增加到香港、欧洲、美洲,所以我们现在云计算能力是将近2000G,覆盖了全球。

还有一个是我们正在测试而且有很多客户试用的云堤高防,这也是我第一次在比较大的场合来推荐我们的概念,云堤高防的概念顾名思义,如果没有云堤高防正常的访问流量经过中国电信接到服务器,到IDC,我们利用部署在中国电信31个省高质量的IDC,首先把流量就近牵引到高防IDC,然后回到客户那里去。现在我们的这种模式也是可以把全中国电信的能力集中起来,为我们单个客户提供攻击保护。

第二,雾霾DNS。中国电信能做什么呢?首先可能有的DNS提供商提供的是权威DNS托管,中国电信提供的是缓存DNS。权威DNS被篡改,这种故障非常大,比如说苹果导致了130亿美元的损失,据分析它的故障原因是权威DNS的故障,不管是恶意篡改,还是因为自己的失误导致的DNS没有及时同步,它跟运营商的缓存DNS同步。在座有IDC行业的同仁,你们的客户做游戏,预测的DNS以后发现只能等待,因为缓存DNS没有同步,只有同步以后,通过缓存DNS才能解析到它要访问的业务上。

我们现在的传统的域名应急痛点有两个,一个是发现迟,一个是恢复慢。现在我们中国云堤为DNS安全提了一个名字叫运营无忧,提供两个服务。第一个是监控,中国电信31个省的探针,现在覆盖了三家运营商,电信、联通、移动去实时检测用户DNS是否被篡改,是否有变化,DNS被动检测是通过DNS的数据实时分析。第二个是域名快速修正服务,我们要确保我们客户的权威DNS修改迅速的与中国电信缓存DNS同步。

现在我们修正服务也完全支持API,我们的客户用的还是蛮开心的。

它有四个特点。第一个特点是主被动监控。第二个特点是自动的API接口,我们为我们客户提供的能力是完全开放给我们客户的,这样来确保实时性。第三个特点是自服务系统以及微信服务号,都可以为大家提供相符的服务。第四个生效时间快。

这张图片跟第一张有个呼应,刚才跟大家分享整个网络环境完全不如意,现实的网络环境就是今天,其实我们中国电信作为基础运营商我们愿意跟我们的合作伙伴一起让我们的互联网环境更加蓝天,我们愿意为我们明天的互联网安全贡献我们应该贡献的力量,谢谢大家!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-05-25 08:48:28
运营商 中国电信与招商局集团签署战略合作框架协议
5月23日,中国电信集团有限公司与招商局集团有限公司在深圳举行战略合作框架协议签约仪式。 <详情>
2023-05-19 08:53:14
运营商 中国电信邵广禄:投资结构向数字经济倾斜,天翼云、AI等数字产业投资每年增长40%
在5月17日举办的2023年世界电信和信息社会日大会上,中国电信集团有限公司董事、总经理、党组副书记邵广禄介绍了中国电信在云、网、数、智、安等方面的新进展。 <详情>
2023-05-09 09:39:55
运营商 中国电信研究院发布两项云计算领域RISC-V研究成果
基于RISC-V的云服务器操作系统适配以及轻量级虚拟化平台研发,是业界推动RISC-V入云进程的关键步骤,也是中国电信构建RISC-V云计算生态领先优势的重要突破。 <详情>
2023-03-14 09:09:33
运营商 中国电信启动2023年天翼云安全产品集采:总规模1068台
3月13日,中国电信发布公告称,中国电信2023年天翼云安全产品集中采购项目资格预审公告(以下称原资格预审公告)于2023年3月3日发布,现对原资格预审公告进行变更, <详情>