上海联通：从运营困境到DDoS防护增值服务创收

DDoS攻击因其廉价的攻击成本已然成为严重的安全挑战。在IDC的分析报告中，全球DDoS防护市场规模从2011年到2017年的年均复合增长率达到18.2%。

利用僵尸网络发起的DDoS攻击依然占网络攻击事件的绝大多数，除了大流量攻击外，应用层的小流量、慢速DDoS攻击越来越普遍。随着移动化的普及，移动终端也正在成为DDoS的攻击源，并且可以预测，针对IPv4和IPv6的网络及应用的混合攻击会在未来几年内成为新型的DDoS攻击威胁。

众所周知，电信运营商面临着逐渐增大的管道压力，流量增长迅猛。在大流量的背后，运营商还面临着DDoS攻击的困境。上海联通城域网资深架构师陈强在近日的华为网络大会上就指出，庞大的僵尸网络群体导致DDoS攻击一触即发。运营商面临着业务可能中断、客户投诉增多和较高的运营维护成本等一系列难题。

上海联通城域网资深架构师陈强(右二)，华为企业网络产品线副总裁，防火墙领域总经理刘立柱(右三)接受媒体采访

陈强在接受媒体采访时指出，“在上海联通遭遇的DDoS攻击中，最大的攻击流量已经超过了20G。2013年共探测到DDoS攻击11万余次，累计清洗流量超过了10万G。”

并且，每年的攻击规模和次数还呈增长趋势，陈强认为，这对上海联通来说挑战巨大。

借助国外运营商的经验，上海联通在几年前开始发展安全运营业务，2008年引入DDoS防护系统，逐渐完善成为互联网流量安全运营解决方案，包括DDoS防护运营方案和流量经营运营方案。

陈强介绍了上海联通安全运营系统的整体架构，“华为SIG产品做城域网用户行为分析，可实现基于用户的精准识别和管控，热点分析和精准营销。AntiDDoS8000做DDoS异常流量清洗，可精确防御应用型攻击，且清洗响应速度快。并在城域网内通过Netflow进行全网流量分析，ATIC管理系统能够同Netflow、SIG实现统一的调度和管理。”

上海联通DDoS安全运营目前面向VIP用户、IDC用户和金牌/银牌用户提供安全增值服务，提供了五大DDoS安全运营服务内容，包括实时检测/实时防护，短信/邮件告警，用户自助平台，抓包与攻击取证/追踪与溯源，和攻防演练服务。

在用户侧，上海联通DDoS安全服务也获得了较高的评价，陈强说，2013年上海联通曾为某VIP银行客户提供每年的DDoS攻防演练服务，客户在测试过程中采用2G流量中混杂有2M的攻击流量，华为的AntiDDoS方案成功且精准地清洗掉了攻击流量。

据介绍，目前上海联通的DDoS系统具备70G的防护能力，在攻击流量增长的趋势下，“2014年，上海联通规划把这个能力提升一倍，年内由70G清洗能力提升至140G到150G。并且考虑VIP用户的高价值，将优化它们的独享清洗服务，跟公共清洗空间进行分离。”

在DDoS攻击的大流量攻击方面，华为也不断升级其产品方案。华为企业网络产品线副总裁，防火墙领域总经理刘立柱介绍说，一是从本身的硬件设备上不断提升处理能力，二是在解决方案上逐渐转向SDN感知的方式，在攻击源头上实现动态分布式的DDoS防御。同时，华为也在跟运营商探讨合作，实现基于客户私有云的DDoS防御方式。