阿里云DDoS高防的演进：防御效果成核心

分布式拒绝服务(DDoS)攻击这一网络公敌，是任何互联网业务的重大威胁。随着DDoS攻击工具化的发展，无论是简单野蛮的流量型攻击，还是复杂精巧的应用型攻击，黑客发起DDoS攻击变得越来越简单和自动化。面对频发的以T为单位的DDoS攻击，大多数互联网服务组织没有足够的带宽资源来有效抵御攻击，颇感无奈和绝望。

阿里云高防诞生之初的愿景就是消灭互联网DDoS。面对不断增强的DDoS攻击，魔高一尺，道高一丈，在过去的2018年，阿里云云盾高防在网络、攻防对抗、数据可视化等方面做了持续创新和升级，为用户的安全保驾护航。

全球网络升级:T级BGP带宽，提高响应速度和稳定性

网络&带宽是DDoS防护的首要考虑因素。目前国内主流高防机房分为：静态单线机房和BGP多线机房。静态单线机房购买成本适中，防护带宽较大，但访问质量一般，容灾不足；BGP多线机房访问质量最优，支持自动容灾，但购买成本昂贵，防护带宽相对较小。低成本T级BGP高防逐步成为DDoS防护的首选。

目前，阿里云已在全球范围内升级云盾高防网络，以提高响应速度和稳定性。在国内，云盾主推新BGP高防，突破了现有BGP高防防护带宽小、购买成本昂贵等不足。相比传统静态高防优势更明显，主要体现在更好的网络稳定性和交付体验上。

在国际上，云盾高防全面升级成BGP Anycast高防网络。充分利用阿里云全球清洗中心的能力，采用分布式技术将DDoS攻击流量自动牵引至距离攻击源最近的清洗中心进行清洗，同时也具备多机房自动容灾的能力。

防护智能化升级:提高接入场景覆盖面和防护成功率，降低成本

层出不穷的互联网新业务场景推动着技术的快速发展：为了更安全，大多数网站都从HTTP过渡到HTTPS；伴随社交类APP、弹幕、视频直播类、共享单车、智能物联网等低延迟，高实时性业务的兴起， websocket、websockets 、http2.0应运而生。新业务场景进行DDoS防护遇到的最大问题是如何快速接入高防产品。目前，阿里云对云盾高防产品进行了全面防护升级，接入场景覆盖更加全面，支持情况如下：

同时，业务范围越广的企业遭遇的DDoS攻击就越复杂。面对来势汹汹的攻击，云盾高防产品在防护智能化方面做了全新升级，四招“御敌”，远可攻近可守，防护成功率更高：

近源清洗：与运营商合作建立防护生态圈，在源头上进行清洗，近攻击点的第一层防护；
流量封禁：可按区域或协议进行自定义封禁，或根据僵尸网络威胁情报进行自动封禁，近攻击点的第二层防护；
智能四层防护：自动学习正常业务流量并建立模型，攻击流量无所遁形；
智能WEB防护：智能识别攻击报文特征，精准匹配过滤攻击流量。

在提升防护效果的同时，进一步降低用户成本，让越来越多的互联网服务组织选择将业务常态化通过高防进行防护和转发。

数据可视化升级:攻防数据实现数据化、可视化、透明化

很多企业在遇到DDoS攻击的时候希望能完整记录下攻击的详细日志，一方面可以进行快速有效的实时分析，进一步改进防护效果；另一方面也便于后续取证和溯源，变被动防守为主动对抗。这种“看得见”的能力越来越得到企业客户的青睐。

目前，云盾高防依托于日志服务提供网站业务全量日志的实时采集、秒级查询和深度分析，实现DDoS攻击防护数据化、透明化和可视化。实时展示被保护网站的总体运营状况和被访问状况，包括有效请求状况、流量趋势、CC攻击分布、PV/UV趋势、访问者分布、流量线路分布等数据，帮助用户在遭遇DDoS攻击时完整地记录下详细日志，并对关键业务或攻击进行深入分析。

阿里云的一直致力于在降低客户使用成本的同时提升产品能力。在五年前的安全市场上，客户防御300G DDoS攻击的费用需要上百万，而今天，成本已经下降了数十倍，并且可以实现自助购买。在成本降低的同时，阿里云承诺实现无限抗，目标是帮助用户有效防住DDoS攻击，而不是单纯的以防御流量模式售卖产品。

如果您被DDoS攻击勒索，阿里云提供免费的24小时技术支持服务，为用户业务保驾护航。

本文作者：云安全专家

原文链接

本文为云栖社区原创内容，未经允许不得转载。