中国IDC圈1月7日报道，1月5-7日，第十届中国IDC产业年度大典（IDCC2015）在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会，之前已成功举办过九届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

华为企业网络产品线首席安全架构师钱晓斌出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《云清之道》的精彩演讲。

华为企业网络产品线首席安全架构师钱晓斌

以下为钱晓斌演讲实录：       

大家好，非常高兴来做分享。DDOS在二十年中变化非常多，从1996年到2016年二十年的时间，攻击在持续升级，防御技术方面在不断跟进，最早从简单的扫描演进到网络层面的攻击，最后到应用层，现在到了移动端的应用攻击，变化非常多。近几年出现大的问题是利用了大型的僵尸网络以及协议的漏洞导致放大的攻击非常严重。一旦DDOS的攻击者从互联网世界里找到可以利用的攻击资源，利用大量的僵尸网络发起攻击的时候，互联网世界就处于非常大的威胁中。可以看到开放的免费的服务器资源NTP、DDOS还有其他，利用原始的非常简单的协议特点可以发起庞大的DDOS攻击。大家知道NTP的指令发出去只是234字节的小包，这个请求包在很大程度上利用技术手段可以变得更小，一个请求包发过去，NTP的服务器会把最近统计的600个客户端的IP地址发送，每六个一组变成100组，每组482个字节，每次请求的返回数量非常大，用482除以234再乘以100，如果把这个请求包变得更小，可以把放大倍数放到500倍，很多网络服务协议都有这个特点。在互联网上做DDS的攻击非常容易。

DDOS的攻击，DDOS攻击向全球化、大流量发展，管道拥塞频发。2014年底出现过一次接近500的攻击，对运营商或者互联网用户来说影响非常大，最头疼的就是运营商，用户抱怨，它的运营成本会极大增高，很多电路费用都让供给者占了。2016年P2P的网络会被攻击者利用，利用P2P的特性做反射的放大攻击会成为一种趋势，大家可以观察。HDTP的反射攻击开始崛起，主要是两种，一种是基于JS脚本的DDOS攻击，还有一些特殊应用，像WordPress，需要整个机制增加一些特性，比如地理位置的过滤、验证、会话级的检测、更高层面的情景分析。对于IDC来说，面临的DDOS威胁分成这三大类，第一类首当其冲的是低流量的DDOS攻击，会给IDC造成带宽上的麻烦，给应用造成威胁。

互联网威胁的世界里，我的看法像病毒，如果把DDOS看作一种生物的话，二十年的演进过程中也是从原先很小的单体的单细胞的粗暴型的攻击，慢慢变成强大的类似于运营的攻击机制。对DDOS防御的关键点是三方面，如果用简单的模型来看，这里面的主要要素是三点，一个是管理中心的云查杀，云端是做管控的以及外部的威胁收集。下端是做检测的查看或者检测的流量，进一步判定它是不是DDOS的攻击流量。专业的流量分析设备在国内有很多厂商能提供，但现在在DDOS的进一步演进下需要出现清洗中心，以前买了DDOS这个设备之后，检测跟清洗是一体的，现在在大的环境里，比如数据中心运营商这一层，用单体功能设备或者单体集群都不能解决，需要不同的个体间进行联合的防御，所以这块就更有必要加强管理端的能力。

从防御的架构要点，这些核心技术都会涉及到前面说的云查杀三个点上的技术，云端更加职能化，原先通过人，通过运维方面去配置，需要设备或者系统了解更多的外部威胁情报，全球化收集数据，在防御体系里去分享。另外对于下层的检测能力，更需要增加一些新的方法，像指纹技术，更多的倾向于系统内部或者是外部加一些机器学习或者智能化的方法，在流量层面更智能地判定它的攻击流量跟正常流量的区别。对于僵尸工具的特征跟踪也是辛苦的工作，新的地理位置的过滤、会话的监控。网络流层面的检测和连包检测方案，这是在防护能力、响应时间、对现网路由器或交换机要求、检测精度、每G流量成本、检测性能扩展性方面二者的比较。技术流派就这两种，下一代的网络里这两种方案，第一方案会被基础的网络设备吸收，第二种方案在未来的网络里会变成安全资源池，池子里可以动态地调用，在前端使用成本比较低的方案，虽然延时比较大，但在全网范围内可以看得更多。如果精准定位了一些流量，一定要用后端精准的检测，在前面还有一些无法判断的流量可以引到后面做检测。

再看一下清洗中心要干的事情。这个中心是相对复杂的机制，检测结果已经送达到这个地方的时候，对引过来的流量还要做进一步分析，最终返回给用户干净的流量，这叫清洗。运营层面的考虑，DDOS在很多层面无论是小网站、数据中心本身还是运营商本身，最终会站到运营的角度看，经济上要考虑成本，问题集中在两点，一个是传统的本地化清洗方案已经很难满足上游管道拥塞问题的解决，大部分运营商都在云端寻找流量的清洗方案，运营商在微观上可以采取更多更好的异构设备，在更高层面控制DDOS流量的清晰。这里面要解决的问题具体来说是从外部供给网络的流量怎么处理，第二是本网内往外攻击的流量怎么处理，要解决这两个问题。

我们提出云清联盟这个思想，安全圈里提联盟的特别多，昨天又看到云安全服务的联盟在成立。这个联盟里我们希望有哪些成员在里面，一个是全球TOP50的运营商，第二是数据中心服务提供商，第三是抗击设备提供商，第三是专门搞安全服务运营的，华为这种做云安全的厂商。这个联盟的核心组件是三个，一是云安全的SOC，这是云查杀云的这端，核心是去感知资源，了解客户的需求，通过技术的手段确定流量迁移的方向和自费的这些技术。清洗中心要解决清洗的带宽能力，拥有ATP的协议，把各地闲散的或者本来就要用来做清洗的资源整合起来，共同来应对威胁。应急响应中心，所有的成员在里面都会按照固定的指令或者规则做整体的防御。云清联盟的全球化部署，我们希望构建全球化的网络，这个网络有一个云清洗的中心，这个中心可能是虚拟的，全球会有很多的分中心，加入联盟的成员有两种状态，一个他本身就是接受服务的，还有一种他本身有检测和清洗的能力，能够把闲散的资源贡献出来，为其他的客户提供服务。在这个时候某个成员在本地的时候，内部的DDOS系统去监控到的DDOS带宽如果超过他的处理能力，他就会把攻击检测发到云SOC，由云SOC来调度最靠近检测跟清洗的成员，启动防护。

在这样一个联盟的运作方式里，大家享受到不同的利益，一方面有些成员可以通过更强大的抗击能力服务于自身的联盟内的成员跟客户，资源在很大程度上90%的时候可能都是闲置的，闲置的时候可以贡献出来给大家。有一种好的模式，可以构建全球化的十个以上的清洗中心，通过大数据的智能调度完成清洗的任务。这个联盟里如果想要取得成功，需要让成员取得长期的价值跟短期的价值。短期就是让这个成员为自己的客户解决DDOS的清洗问题，通过服务来获得收益。长期可以在更大视野里获得全球的攻击数据跟趋势分析，也可以借助大平台将自己对安全服务能力推向更多的用户。如果我们在国内做得很好，如果说有这个联盟，清洗的能力、服务的能力能够通过平台收到全球其他的平台。

我把清洗的工作流程整理成四步，第一步很简单，在云清洗的管理平台里为客户提供清洗的服务提供商，这个可以针对用户的特点，因为用户对防御的级别或者自己应用的特点以及区域性会有些服务商的倾向，通过客户的本地检测设备实时的监控，如果一旦监控到超大流量的攻击，这个阈值设在这儿，云清的平台会把攻击事件实时上传，也会动态检测攻击流量可能达到的攻值，来判断需不需要调动云清外部资源来协同。这个时候会针对用户的流量来启动云清洗。清洗结果很简单，流量的分析报告里有一块相当于承担了清洗的总和，干净的流量要返回给客户，中间的流量差是攻击流量，攻击流量可以看到更加明细的东西，可以看到流量的内部，它的构成是什么。对于客户来说，他可以通过客户化的Portal看到所有运作的过程和攻击的效果，实时地反馈用户的数据和相关的请求及攻击的数据。

整个工作流程看起来非常简单，现在的困难主要是怎么构建商业的联盟，本质上是商业的联盟，支撑这个商业联盟的后端有很多技术，底层有检测的技术，检测技术在不断的变化，我们必须要更跟进威胁变化的方式，为客户提供更好的检测服务。全球化的清洗中心，运营商和一些数据中心都可以加入进来，最后为全网的用户提供网络层面的安全共同体。联盟更像全网的协作机制，这种机制能够为互联网所有处在这个系统里的人，有能力的提供更多的能力服务于其他的人员，有问题的，全球有更多资源来响应，通过这种机制抗力的问题在一定程度上会持续得到抑制，未来网络演进也会帮助我们有更好的办法去帮助我们解决，谢谢大家！