上海联通:从运营困境到DDoS防护增值服务创收

2014-08-24 |  作者:陈广成 |  来源:ZDNet安全频道 |  查看原文

摘要众所周知,电信运营商面临着逐渐增大的管道压力,流量增长迅猛。在大流量的背后,运营商还面临着DDoS攻击的困境。在上海联通遭遇的DDoS攻击中,最大的攻击流量已经超过了20G。2013年共探测到DDoS攻击11万余次,累计清...

DDoS攻击因其廉价的攻击成本已然成为严重的安全挑战。在IDC的分析报告中,全球DDoS防护市场规模从2011年到2017年的年均复合增长率达到18.2%。

利用僵尸网络发起的DDoS攻击依然占网络攻击事件的绝大多数,除了大流量攻击外,应用层的小流量、慢速DDoS攻击越来越普遍。随着移动化的普及,移动终端也正在成为DDoS的攻击源,并且可以预测,针对IPv4和IPv6的网络及应用的混合攻击会在未来几年内成为新型的DDoS攻击威胁。

众所周知,电信运营商面临着逐渐增大的管道压力,流量增长迅猛。在大流量的背后,运营商还面临着DDoS攻击的困境。上海联通城域网资深架构师陈强在近日的华为网络大会上就指出,庞大的僵尸网络群体导致DDoS攻击一触即发。运营商面临着业务可能中断、客户投诉增多和较高的运营维护成本等一系列难题。

上海联通城域网资深架构师陈强(右二),华为企业网络产品线副总裁,防火墙领域总经理刘立柱(右三)接受媒体采访

陈强在接受媒体采访时指出,“在上海联通遭遇的DDoS攻击中,最大的攻击流量已经超过了20G。2013年共探测到DDoS攻击11万余次,累计清洗流量超过了10万G。”

并且,每年的攻击规模和次数还呈增长趋势,陈强认为,这对上海联通来说挑战巨大。

借助国外运营商的经验,上海联通在几年前开始发展安全运营业务,2008年引入DDoS防护系统,逐渐完善成为互联网流量安全运营解决方案,包括DDoS防护运营方案和流量经营运营方案。

陈强介绍了上海联通安全运营系统的整体架构,“华为SIG产品做城域网用户行为分析,可实现基于用户的精准识别和管控,热点分析和精准营销。AntiDDoS8000做DDoS异常流量清洗,可精确防御应用型攻击,且清洗响应速度快。并在城域网内通过Netflow进行全网流量分析(+微信网络世界),ATIC管理系统能够同Netflow、SIG实现统一的调度和管理。”

上海联通DDoS安全运营目前面向VIP用户、IDC用户和金牌/银牌用户提供安全增值服务,提供了五大DDoS安全运营服务内容,包括实时检测/实时防护,短信/邮件告警,用户自助平台,抓包与攻击取证/追踪与溯源,和攻防演练服务。

在用户侧,上海联通DDoS安全服务也获得了较高的评价,陈强说,2013年上海联通曾为某VIP银行客户提供每年的DDoS攻防演练服务,客户在测试过程中采用2G流量中混杂有2M的攻击流量,华为的AntiDDoS方案成功且精准地清洗掉了攻击流量。

据介绍,目前上海联通的DDoS系统具备70G的防护能力,在攻击流量增长的趋势下,“2014年,上海联通规划把这个能力提升一倍,年内由70G清洗能力提升至140G到150G。并且考虑VIP用户的高价值,将优化它们的独享清洗服务,跟公共清洗空间进行分离。”

在DDoS攻击的大流量攻击方面,华为也不断升级其产品方案。华为企业网络产品线副总裁,防火墙领域总经理刘立柱介绍说,一是从本身的硬件设备上不断提升处理能力,二是在解决方案上逐渐转向SDN感知的方式,在攻击源头上实现动态分布式的DDoS防御。同时,华为也在跟运营商探讨合作,实现基于客户私有云的DDoS防御方式。

相关文章