摘要： 2016年10月21日，美国发生了一次震惊全球互联网的安全事件，大半个美国的互联网因为DDoS攻击发生瘫痪，攻击从清晨开始一直持续到傍晚，黑客发起了长时间多批次攻击，直接导致twitter、Spotify、Netflix、Github、Airbnb、Visa等出现无法登陆的情况，而且twitter甚至都出现了长时间瘫痪的情况，因此造成的直接和间接经济损失无法估量。

2016年10月21日，美国发生了一次震惊全球互联网的安全事件，大半个美国的互联网因为DDoS攻击发生瘫痪，攻击从清晨开始一直持续到傍晚，黑客发起了长时间多批次攻击，直接导致twitter、Spotify、Netflix、Github、Airbnb、Visa等出现无法登陆的情况，而且twitter甚至都出现了长时间瘫痪的情况，因此造成的直接和间接经济损失无法估量。这场网络瘫痪从美国东部开始，一路蔓延至全美，根本原因是DNS服务商Dyn的服务器遭受了黑客的大流量DDoS攻击，使得大量互联网公司DNS解析失败，以致无法提供服务。

DDoS作为互联网领域非常敏感的一个词，因为其强大的杀伤力，很多互联网从业者都谈之色变，在科技高度发达的今天仍旧是一个技术难题。

首先，发起攻击的技术门槛越来越低，互联网随处可见各种攻击工具，攻击源代码等，只要稍微懂一些计算机操作的人都可能参与进来。

其次，随着互联网的普及，特别是网络基础设施建设的投入极大地提升了互联网带宽，这在一定程度上也提升了黑客的攻击能力。

同时，PC，移动接入设备，各种物联网设备的大规模普及，任意设备都可能存在漏洞，只要能够连网就非常容易被黑客利用成为攻击工具。很多设备因为安全意识薄弱导致被入侵成为肉鸡，远程控制，随时发起攻击都成为可能。

除了技术上的原因，发起DDoS攻击很多情况下可能是因为利益驱使，商业竞争，国际政治等多种其他原因。

如果说互联网这张大网把全世界的人们彼此之间都连了起来，让我们能够如此简单地享受科技带来的便捷，那么DDoS攻击一定是一把破坏这张网的邪恶魔剑，而今天阿里妹要介绍的阿里巴巴自研高性能DDoS攻击防御产品AliGuard则是用来抵挡这把魔剑的金钟罩和铁布衫。

自研高性能防攻击产品的发展历程

一、当互联网公司遇到传统设备厂商
AIS前身阿里巴巴集团技术保障部于2012年末正式组建项目组探索做自研大流量攻击防护产品开始到2013年中产品第一版正式上线，主要目标是通过定制化开发，为集团日益增长的安全需求提供保障，按照阿里巴巴集团业务自身特点量身定做一套高性能DDoS防护系统，为集团日益增长的业务提供技术保障。

在这之前全集团曾经采购过一些传统设备厂商的商业设备用于DDoS攻击清洗，商业设备价格昂贵，维护成本相对较高，而且整机的防御能力有限，使用过程中经常出现商业设备因为攻击量太大导致设备的流表被打爆而造成无法服务的情况，从而直接影响了公司的正常业务。

我们决定开发自研设备主要有以下几个原因：
1）商业设备版本迭代速度慢，我们需要专业定制化而不是大而全的系统；有时候一种新型的攻击方式出现到大规模流量的时间非常短，这就要求软件层面要做到自主可控才能将可能的潜在风险迅速解决掉；有时候适合自己的才是最好的，自己实现的DDoS清洗策略，根据客户的需求随时可以增删改，只有自主可控才是核心科技。

2）商业设备性能有限，前面提到商业设备整体大机框式的架构就决定了无法大规模横向扩容，但是我们自研的AliGuard具备弹性扩容的能力，只要业务场景需要从几十G到几个T的能力都可以在短时间内弹性伸缩的。而且今天传统的服务器的计算能力以及网络数据包处理能力都已经有了质的飞跃，AliGuard一台普通的服务器就可以具备上百G的处理能力，一个普通集群就具备上T的能力。

归根结底传统设备厂商的DDoS防护产品并不能很好地跟上互联网企业的高速发展的节奏。我们需要廉价且高性能的设备，厂商机框式的设备架构的整体的建设成本和人力投入非常巨大，阿里巴巴数据中心全球化的部署量势必要求成本可控，具备自主知识产权。

自研产品使用传统的x86服务器架构，普通服务器就可以轻松部署，上下线服务器和基础的配置都非常简单，不需要专业的安全工程师额外支持，日常维护成本低廉。但是价格廉价并不意味着功能少，性能差，到目前为止AliGuard已经具备了30多种防御策略，涵盖主流的DDoS攻击，从畸形包攻击，各种大流量攻击，到L7的http攻击等等，业务场景也完全覆盖阿里巴巴集团所有业务线。

图1为AliGuard基本的防御模型，我们已经涵盖了主流的DDoS攻击场景。

二、从单一用户到多用户的转变
最开始AliGuard只是为了集团防护针对电商或者支付类业务所设计的一套非常定制化的DDoS攻击清洗解决方案，使用了一套相对比较固定的防御策略模板。但是后面随着阿里巴巴集团业务的高速发展，越来越多的业务线出现大流量DDoS防护需求，特别是云计算领域的快速崛起，一线的客户直接就面临攻击防御需求，那么变革随之而来，这使得我们扩展自身的产品架构、同时支持多用户变得理所当然。

随着版本的多次迭代升级，目前已经具备这样的能力，每天成千上万的客户同时都会被保护起来。攻击发生时，客户彼此之间的业务相互不影响，DDoS攻击的防御策略和攻击数据都相互独立，客户可以非常直观地看到实时展示出来的各种攻击数据，而且我们已经开放给用户部分联动能力，可以让客户参与到攻击联动的过程中来。

下图2就是适用于不同业务场景的清洗模型，我们的数据处理能力