行文初衷

由于工作关系，最近接触了很多云上用户，对抗D产品做了一下用户调研，有些想法想和大家分享一下。首先，从数据分析角度上，看一下抗D安全业务需求，然后站在产品经理的角度上，从用户体验的五要素战略层、范围层、结构层、框架层、表现层方面深度解析市面的云厂商的抗D产品。最后，站在攻击者的角度上看看攻防双方博弈的手段。

安全业务需求

1、前言

任何安全业务需求其实都源于其自身的需求，满足自己的安全需求后才能有对外输出能力。所以，有必要聊一下，云厂商为啥把抗D的需求做为云计算平台的首要安全需求。

国内公有云大致分类：

阵营	厂商
云基础服务&行业结局方案	阿里云、腾讯云、UCloud、金山云等
运营商云	天翼云、大云、华为云（暂放）等
IDC云	世纪互联、网宿云、蓝汛云等
应用云	京东云、乐视云、美团云等

备注：排名不分先后。

现在国内主流提供公有云服务的厂商无论自研还是二道贩子加起来超过100家。这为安全业务提供了需求基础。

2、DDoS数据解读

我们从被DDoS行业和攻击次数趋势两个维度分析一下公有云厂商面临抗D需求，下图是某公有云厂商提供的2016Q4和2017Q1行业数据对比。

解读：

l   针对游戏用户的攻击占比最多。

l   直播被DDoS次数成上升趋势。

l   针对公有云基础设施的攻击，一直不断，例如：CDN扫段DDoS攻击、DNS DDoS攻击等。

l   SaaS，提供在线服务的公有云用户也是黑客攻击重点。例如：在线教育、App SDK提供商。

2016Q4与2017Q1攻击趋势数据对比：

解读：

l   攻击频率在不断升高

综上所述：公有云业务基本上天天被D，它上面的SaaS服务也在天天被D。保护自身的安全才能保障在云上的所有SaaS服务的SLA。所以，对于保护自身安全是公有云厂商首选要做的事情。

3、公有云厂商内部DDoS防御架构

为了更清晰的了解公有云厂商内部抗D系统的业务，我简单描述一下其架构。

主要是针对SYN Flood、UDPFlood bps和pps做阈值告警，设置流量牵引规则。

一般云厂商BPS阈值一般设置在2G<x<10G。超过后牵引到黑洞路由上。

4、现阶段DDoS攻击峰值态势解读

根据报告分析，现在DDoS攻击峰值在不断增高。

l   攻击峰值小于5G的在增加，一般公有云厂商自身清洗设备都能处理，并且没有财务负担。

l   攻击峰值在5G<x<10G之间的用户，比如说直播或者游戏，公有云厂商也忍了，对这些用户照顾一下。使用本地清洗设备处理，也可以忍受，同时要考虑内部清洗设备总清洗流量以及公有云带宽负载情况，综合考虑评估。

l   攻击峰值在10G<x<20G /20<x<50G之间的用户，那对不起，如果你没有购买抗D服务，公有云厂商立刻黑洞，会影响你的业务。公有云厂商需要调用运营商接口黑洞，有财务成本。

l   攻击峰值在50G<x<300G之间的用户，一般都是专业高防机房或者专业的高防供应商帮助你清洗，保证你的业务存活。一般都需要购买昂贵的高防IP来完成。（昂贵到什么程度，一般都是大几十万的费用一个月，还是固定套餐，超出部分还需要弹性收费）。

l   攻击峰值大于300G的用户，恭喜你，黑客盯上你了，你的业务也非常赚钱（一个月流水要上千万，叫点保护费也是应该的）。防御手段：单家高防解决方案无法满足你的需求。需要联合解决方案。

根据云上用户调研，对抗D产品的核心诉求是：

l   保证业务存活

| 公有云提供一定免费清洗能力，同时需要购买一定量的云外抗D资源（一般云上会提供高防IP服务）。根据自身业务特点购买，比如说游戏、SaaS等。由于目前的攻击峰值在不断升高，建议准备T级别的抗D资源。

l   在线用户不要掉线

| 抗D线路质量好坏

| 防护高级攻击抗击程度例如：CC攻击、Web socket攻击。

l   尽量在抗D上少投入

| 需要固定和弹性套餐结合。

高防产品竞品分析

1、战略层面分析

竞品选择：通过以上安全业务需求分析，以及自己的能接触到提供试用机会的高防产品，我选择了一下几个比较典型的厂商做对比。

入选厂商	入选理由（抗D特点-产品定位）
阿里云盾-BGP高防	BGP线路连通性优越
阿里云盾-游戏盾	抗D解决方案从资源对抗型转为资源对等型
知道创宇-抗D保	借助腾讯强大的高防机房资源，7层防护优越
金山云-普通高防	大流量防护，单点支持1.4T防护。

备注：腾讯大禹高防也是非常优秀的产品，但是没有试用，这里没入选，其最大的优点，BGP线路最大可到100G，是目前防御峰值最大的BGP高防（阿里最大套餐才20G，号称防300G，那是BGP高防+静态高防组合达到峰值）。

2、产品范围层面分析

l   阿里云盾-BGP高防（绑定静态高防）

|  用户体验：

|  20G以内线路质量不错，但是大流量攻击需要结合静态高防，线路质量下降。

|  CC防护针对棋牌类用户误杀严重，CC不支持Web socket防护。

|  攻击流量超过600G阿里BGP高防会强制黑洞。

|   产品功能体验：

|  核心功能模块成熟度

模块名称	成熟度
四层转发配置（高防机房防火墙配置，机房调度能力）	***
7层CC防护策略灵活度（CC策略细粒度ip/url//ua/refer）	**
攻击流量图（大数据支持，时序数据库支持）	***
原始/攻击日志	*
业务可用性监控	*

l   阿里云盾-游戏盾

|   用户体验：

|  抗D四层防护用户体验非常好，同时可以节省云厂商的带宽投入，动态调度节点。但是用户购买也不便宜呀。由于是App SDK接入一般不提供按月购买。

|  CC防护效果最好，CC支持Websocket防护。

|  CDN近源清洗，攻击还没到大网上就处理很让其只能徘徊在新用户分配的用户组中，可以保住绝大部分现有付费用户。

|   产品功能体验：

|  核心功能模块成熟度

模块名称	成熟度
四层转发配置（高防机房防火墙配置，机房调度能力）	***
7层CC防护策略灵活度（CC策略细粒度ip/url//ua/refer）	**
攻击流量图（大数据支持，时序数据库支持）	***
原始/攻击日志	*
业务可用性监控	*

l   知道创宇-抗D保

|   用户体验：

|  背靠腾讯线路质量不错。

|  CC防护效果用户反馈非常好，CC支持Websocket防护。

|  CDN近源清洗，攻击还没到大网上就处理大部分DDoS攻击。

|   产品功能体验：

|  核心功能模块成熟度

模块名称	成熟度
四层转发配置（高防机房防火墙配置，机房调度能力）	***
7层CC防护策略灵活度（CC策略细粒度ip/url//ua/refer）	**
攻击流量图（大数据支持，时序数据库支持）	***
原始/攻击日志	***
业务可用性监控	***

l   金山云安全-普通高防

|   用户体验：

|  在用户实际遭受攻击超过800Gbps，用户的业务存活。

|  联通性一般。业务有波动（听说刚上线BGP高防，但是没有测试过，听说联通性不错，）

|  CC防护效果一般，CC有限支持Websocket防护。

|   产品功能体验：

|  核心功能模块成熟度

模块名称	成熟度
四层转发配置（高防机房防火墙配置，机房调度能力）	***
7层CC防护策略灵活度（CC策略细粒度ip/url//ua/refer）	***
攻击流量图（大数据支持，时序数据库支持）	***
原始/攻击日志	*
业务可用性监控	*

3、产品结构与框架层分析

l   阿里云盾-BGP高防产品信息架构

l   阿里云盾-游戏盾产品信息架构

l   知道创宇-抗D保产品信息架构

l   金山云-普通高防产品信息架构

4、产品表现层分析

这部分涉及到交互设计：（流程图）

由于本部分涉及到用户隐私，咱不在这里分享。谢谢大家理解。

DDoS攻击和防御技术总结

现代化DDoS攻击手段不断翻新，下面是一个游戏用户碰到的部分攻击情况：

攻击手段	防御手段
SYN Flood/TCP Flood/UDP Flood流量型攻击小于公有云机房黑洞阈值	公有云机房自身清洗设备处理
SYN Flood/TCP Flood/UDP Flood流量型攻击大于公有云机房黑洞阈值，到上T级别攻击	专用高防机房/公有云高防IP
CC攻击（针对用户API攻击、例如:登陆API、开房间API等）	公有云高防IP支持7层过滤CC防护的高防IP
业务逻辑攻击-游戏用户App登陆前要做版本对比，如果App升级程序在CDN节点上缓存，攻击者会针对其CDN节点攻击，导致用户登录不成功	把CDN节点切换到高防IP节点上
暴力破解用户App，模拟游戏协议攻击	类似游戏盾的解决方案 自身开发业务安全过滤规则
打用户薄弱环节-DNS攻击	需要选择抗D能力的DNS提供商-dnspod/dns.com
。。。（魔高一尺）	。。。（道高一丈）

高防技术也在这种博弈中不断的发展。预祝2017年大家完美的解决自身的抗D问题。