12月12日，全球首個(gè)探討產(chǎn)業(yè)互聯(lián)網(wǎng)的大型會(huì)議，2014 CVW﹒產(chǎn)業(yè)互聯(lián)網(wǎng)大會(huì)在北京亦莊召開(kāi)，并通過(guò)紐約時(shí)代廣場(chǎng)大屏幕同步呈現(xiàn)。大會(huì)由亞信集團(tuán)、云基地和亦莊經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)聯(lián)合舉辦，匯聚超過(guò)5000名關(guān)注互聯(lián)網(wǎng)和傳統(tǒng)產(chǎn)業(yè)發(fā)展的全球IT和傳統(tǒng)行業(yè)領(lǐng)袖和精英，探討“互聯(lián)網(wǎng)進(jìn)入傳統(tǒng)行業(yè)”、“傳統(tǒng)行業(yè)互聯(lián)網(wǎng)化”的演進(jìn)以及產(chǎn)業(yè)互聯(lián)網(wǎng)的技術(shù)模式和業(yè)務(wù)創(chuàng)新。

在下午的“網(wǎng)絡(luò)安全@互聯(lián)網(wǎng)”主題論壇上，中國(guó)電信SOC中心主任劉紫千<2D困局和運(yùn)營(yíng)商的機(jī)會(huì)>的主題演講.

以下是他的演講全文：

劉紫千：今天我們講2D，2D不是電影不是平面。2D是DDoS和DNS，看看這兩個(gè)兄弟在互聯(lián)網(wǎng)上面干了什么事情？在產(chǎn)業(yè)互聯(lián)網(wǎng)，今天亞信提供一個(gè)非常好的平臺(tái)，我們叫產(chǎn)業(yè)互聯(lián)網(wǎng)化。從消費(fèi)互聯(lián)網(wǎng)走到產(chǎn)業(yè)互聯(lián)網(wǎng)，之前見(jiàn)到龐總也說(shuō)在產(chǎn)業(yè)互聯(lián)網(wǎng)講什么東西？定這個(gè)題目大概兩三周之前，為什么定2D兄弟。其實(shí)任何產(chǎn)業(yè)互聯(lián)網(wǎng)都會(huì)面臨DDoS，DDoS是Dos的衍生品，拒絕服務(wù)，一般是比較典型的帶寬，也有人說(shuō)這個(gè)企業(yè)放在網(wǎng)上，只要聯(lián)網(wǎng)就有可能遭受DDoS，第一個(gè)D是分布式，網(wǎng)上有很多機(jī)器，我們叫做肉機(jī)，他會(huì)發(fā)起很多應(yīng)用層行為，將你的網(wǎng)站或者所有的聯(lián)網(wǎng)資源耗盡，不管是帶寬資源還是計(jì)算機(jī)的服務(wù)資源。如果你的機(jī)器你的應(yīng)用你的服務(wù)接到互聯(lián)網(wǎng)上，你會(huì)面臨這個(gè)風(fēng)險(xiǎn)，會(huì)面臨成倍的增長(zhǎng)，到底多少兇險(xiǎn)？我們看一下這個(gè)圖。這個(gè)圖是13年1月到14年11月份中國(guó)電信檢測(cè)的網(wǎng)絡(luò)攻擊趨勢(shì)，我們檢測(cè)到的攻擊整體趨勢(shì)，每個(gè)月是一個(gè)柱狀圖，這一個(gè)柱子的高低代表這個(gè)月份，我們檢測(cè)的攻擊總流量，是總流量，不是流速，是一個(gè)累計(jì)值一個(gè)絕對(duì)值。

很明顯，兩年時(shí)間互聯(lián)網(wǎng)的攻擊流量一直在往上漲，但是大家看到說(shuō)，這里好像矮了一下，整體趨勢(shì)在往上漲的，我們的攻擊一直越來(lái)越大。這三個(gè)顏色代表什么意思？我們看一下顏色定位，綠色代表攻擊源頭在中國(guó)電信網(wǎng)內(nèi)，紅色代表國(guó)內(nèi)其他兄弟運(yùn)營(yíng)商，聯(lián)通教育網(wǎng)、移動(dòng)或者鐵通，藍(lán)色代表境外國(guó)際的互聯(lián)網(wǎng)。那么也就是說(shuō)這個(gè)柱子的高低代表攻擊源頭貢獻(xiàn)攻擊流量占到總攻擊流量的比例，拿11月份來(lái)說(shuō)，如果電信網(wǎng)絡(luò)一個(gè)IP被打10G的攻擊流量，電信攻擊流量占到3.5G，從其他兄弟運(yùn)營(yíng)商打到電信的占到將近30%，但是不到50%是從境外打過(guò)來(lái)的，從北美、香港、歐洲等等。

我們看這個(gè)，這個(gè)紅色代表著在14年的年初，從聯(lián)通進(jìn)入電信的攻擊流量明顯的下降了。但是藍(lán)色，國(guó)際過(guò)來(lái)的流量總體趨勢(shì)一直很兇，那么電信自己打自己的綠色，雖然有所增長(zhǎng)但是基本占比比較穩(wěn)定。為什么這個(gè)占比會(huì)下降？現(xiàn)在說(shuō)說(shuō)我們自己，我?guī)ьI(lǐng)的團(tuán)隊(duì)從12年開(kāi)始持續(xù)做一件事情，就是壓縮國(guó)內(nèi)互聯(lián)網(wǎng)虛假原地址的流量。什么意思？大家知道發(fā)生DDoS的攻擊的時(shí)候，IP可以仿冒。如果仿冒IP的流量在互聯(lián)網(wǎng)上大行其道的時(shí)候，你可能很難。特別是終端用戶，你看到一個(gè)IP，這個(gè)IP怎么是我家隔壁鄰居，對(duì)不起，這個(gè)IP很可能是仿冒的。你想定位源頭很難，如果不是骨干網(wǎng)運(yùn)營(yíng)商。我們當(dāng)時(shí)做這個(gè)事情的之前，國(guó)內(nèi)虛假流量占電信總流量的4%到5%，不保守大概是4%到6%，非常大，中國(guó)電信現(xiàn)在的峰值流量50TBS，它占到好幾個(gè)點(diǎn)。通過(guò)兩年的努力，我們將這種控制源不斷將網(wǎng)絡(luò)邊緣化，現(xiàn)在占到互聯(lián)網(wǎng)總流量的只有不到千分之一，縮減了將近兩個(gè)數(shù)量級(jí)。我們后來(lái)做了這個(gè)事情以后，我們聯(lián)通的同事積極跟進(jìn)，他們做的稍微晚一點(diǎn)。在14年把聯(lián)動(dòng)過(guò)來(lái)的流量明顯壓制，大家知道黑客最寶貴的攻擊是肉機(jī)，肉機(jī)可以拿來(lái)賣(mài)，如果發(fā)現(xiàn)以后肉機(jī)不存在了，地下黑客產(chǎn)業(yè)鏈會(huì)受影響。

我解釋完這個(gè)圖，回到這里面第二點(diǎn)，就是電信網(wǎng)外的源頭，現(xiàn)在國(guó)際加上國(guó)內(nèi)其他兄弟運(yùn)營(yíng)商過(guò)來(lái)的攻擊流量占比占7成左右，那么還有一個(gè)數(shù)據(jù)我們現(xiàn)在骨干網(wǎng)檢測(cè)的攻擊，每天大概六百到八百，有時(shí)候會(huì)超過(guò)一千。還有DNS的攻擊占百分之三點(diǎn)多，雖然它的占比少，但是它的危害一點(diǎn)都不小。持續(xù)時(shí)間小于30分鐘，大部分的攻擊持續(xù)比較短，但是一個(gè)效應(yīng)就是超過(guò)六個(gè)小時(shí)的攻擊，將近6%。12月10號(hào)到12月11號(hào)，剛才幾個(gè)嘉賓鋪墊了。我個(gè)人在參與處理一個(gè)互聯(lián)網(wǎng)的DDoS的攻擊，持續(xù)時(shí)間將近36個(gè)小時(shí)，這是我現(xiàn)在見(jiàn)到持續(xù)時(shí)間最長(zhǎng)，而且范圍最廣的DNS攻擊。這其實(shí)是6月份，從6月份到11月份，最近這六個(gè)月單次攻擊的峰值，剛才看到總量趨勢(shì)現(xiàn)在我們看看單次攻擊可以達(dá)到多大規(guī)模。這個(gè)圖將近62%的攻擊小于10個(gè)G，但是我們看到大于100G的攻擊，100+200G其中有1%，這里再看幾個(gè)數(shù)字。很多企業(yè)都有防火墻、IPS還有企業(yè)有流量清洗設(shè)備。流量清洗設(shè)備，都有抗DDoS能力，但是在我們看低于10G已經(jīng)不能算抗DDoS，如果你的攻擊只是在10個(gè)G以下，證明你沒(méi)有被人盯上。如果這些次數(shù)平均一天來(lái)說(shuō)，幾十次上百次的攻擊如果打到一個(gè)企業(yè)，你吃不吃的消？大于100G的一月58次，大于200G，這是我們最近的發(fā)布，這是統(tǒng)計(jì)數(shù)據(jù)不是企業(yè)信息。200G的一個(gè)月有超過(guò)14次，這是什么概念？做云中心的朋友們可能比較熟悉，一個(gè)典型的IDC可能不到100G，可能超過(guò)100G以上的攻擊，一個(gè)月將近170。

說(shuō)完了困惑，看看我們的機(jī)會(huì)，這里有一個(gè)概念叫近源防護(hù)。任何在靠近防護(hù)目標(biāo)，所謂目的端的防護(hù)，在抵抗大流量攻擊的時(shí)候都是徒勞，因?yàn)槟愕某隹趲捰邢?。一個(gè)小廣告，但是不會(huì)展開(kāi)。中國(guó)電信有一個(gè)產(chǎn)品我們叫做云D，專門(mén)抗擊T級(jí)，1000G以上的DDoS攻擊，這是我們的示意圖。如果我們的客戶在江蘇南京被DDoS，它的攻擊源頭肯定來(lái)自祖國(guó)四面八方，大好河山都過(guò)來(lái)了。我們的云D啟動(dòng)以后，這是骨干運(yùn)營(yíng)商玩的。我們有很多在全網(wǎng)分布式部署的清洗中心，將攻擊流量遷移到離他最近的清洗中心，然后再送達(dá)。如果你在單點(diǎn)來(lái)做，可能單點(diǎn)的網(wǎng)絡(luò)資源，你的投入抵擋不了超百G的攻擊，如果你守住自己的疆土，你可以做的帶寬上限是無(wú)窮的。講完了第一個(gè)D，我們看第二個(gè)D。

DNS的解析服務(wù)，剛才說(shuō)了DNS是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，那么也是一個(gè)入口的爭(zhēng)奪。特別是BAT或者互聯(lián)網(wǎng)公司都想自己做DNS，現(xiàn)在我們統(tǒng)計(jì)的數(shù)據(jù)中國(guó)電信網(wǎng)內(nèi)的用戶使用DNS的時(shí)候，他們的流量分布。在其他的剩下16%里面，第一是谷歌，360、114，差不多。流量我沒(méi)有統(tǒng)計(jì)，太小了?；炯壹覒魬舳颊f(shuō)，我能不能也有一席之地？那么他出來(lái)了，他出來(lái)問(wèn)題就來(lái)了。人人都爭(zhēng)奪入口，如果有人不合規(guī)矩爭(zhēng)奪入口，問(wèn)題就來(lái)了。這是我們?nèi)ツ甓径扔龅降恼鎸?shí)案例，有黑客篡改了你家寬帶路由器，就是你家的Wifi路由器的一個(gè)配置界面，把用戶的IP地址，從紅色改成惡意IP，用戶所有的查詢流量沒(méi)有去正規(guī)的DNS流量解析，而是去了黑客的DNS。我們的方式把這些惡意流量遷回到我們的節(jié)點(diǎn)，同時(shí)聯(lián)合BAT，后來(lái)新浪知道了希望加入這個(gè)行動(dòng)，我們一起來(lái)做，會(huì)提醒你的網(wǎng)絡(luò)DNS被劫持了。我們修復(fù)了將近一千萬(wàn)的被劫持用戶，這個(gè)量非?？捎^。

DNS的困惑列了幾點(diǎn)，我準(zhǔn)備這個(gè)片子，這個(gè)案例還沒(méi)有發(fā)生，但是兩天前這個(gè)案例折磨我到兩三點(diǎn)才睡。就是這個(gè)案例，開(kāi)放的解析器，這個(gè)好象不屬于任何一家運(yùn)營(yíng)商管，有些人去嘗試，他也可以當(dāng)DNS解析服務(wù)為我提供合域名解析，好，這個(gè)東西開(kāi)放有可能失控，怎么失控？這是一個(gè)真實(shí)案例。12月10號(hào)，早上4點(diǎn)56分，將近五點(diǎn)有一個(gè)尖峰，很快的過(guò)去不到一個(gè)小時(shí)。但是10點(diǎn)56的時(shí)候，這個(gè)尖峰引起我們注意，它大到什么程度？這里有兩個(gè)數(shù)字。電信所有的DNS服務(wù)器，那一時(shí)刻收到的PPS，因?yàn)閷?duì)于DNS來(lái)說(shuō)最重要是PPS就是每秒的應(yīng)用解析請(qǐng)求，不是絕對(duì)值流量是響應(yīng)包，將近一千萬(wàn)。整個(gè)電信的監(jiān)管互聯(lián)網(wǎng)有多少？一億五千萬(wàn)。這是什么概念？它已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)國(guó)內(nèi)現(xiàn)在DNS服務(wù)器一天解析的三到四倍，非常的不正常。那么好，還有一個(gè)概念，細(xì)心朋友會(huì)發(fā)現(xiàn)不對(duì)，深藍(lán)色表示所有的DNS解析，淺藍(lán)色表示電信，怎么深藍(lán)比淺藍(lán)還多？你電信占84%，開(kāi)放的DNS服務(wù)器可能誰(shuí)也不知道。今天這個(gè)說(shuō)提供解析，明天可能消失，后天另外一個(gè)人又出來(lái)了。這個(gè)占比在這兒存在，但是沒(méi)有人知道它到底歸屬誰(shuí)負(fù)責(zé)？這個(gè)比例非常明顯。

那么，到底什么原因？我大概還剩兩分鐘，一分鐘。剛才我們才得到結(jié)果，因?yàn)榻裉炝璩繒r(shí)候我們拿到了樣本，分析了以后，非常的復(fù)雜，因?yàn)檫@是一個(gè)對(duì)于運(yùn)營(yíng)商來(lái)講，可能對(duì)于在座很多朋友來(lái)講都是一個(gè)相對(duì)陌生的領(lǐng)域，我們講產(chǎn)業(yè)互聯(lián)網(wǎng)化，在產(chǎn)業(yè)非常末端、低成本的設(shè)備上存在的形態(tài)，就是嵌入式操作系統(tǒng)。我們提取了很多樣本，最終我們發(fā)現(xiàn)說(shuō)這種嵌入式的操作系統(tǒng)，是基于ARM的蠕蟲(chóng)病毒。這個(gè)結(jié)果結(jié)局很完美，控制端在境外。好像故事到此結(jié)束，但是其實(shí)我想說(shuō)，在我們整個(gè)產(chǎn)業(yè)互聯(lián)網(wǎng)來(lái)說(shuō)，我們運(yùn)營(yíng)商占到一個(gè)中間的環(huán)節(jié)，但是我們的產(chǎn)業(yè)末端還有很多小型設(shè)備，不光是骨干網(wǎng)這種大路由器，也不是企業(yè)級(jí)或者運(yùn)營(yíng)商的防火墻，可能是很小的東西，就是家里一個(gè)小東西，以后家里所有的東西，攝像頭開(kāi)關(guān)都有可能被黑客攻擊，這些東西直接就可以進(jìn)去了。

總結(jié)一下剛才的片子，第一點(diǎn)，DDoS安全防護(hù)和DNS安全防護(hù)是產(chǎn)業(yè)互聯(lián)網(wǎng)化進(jìn)程中無(wú)法避的問(wèn)題。任何一個(gè)企業(yè)你想服務(wù)所有的用戶，這兩個(gè)問(wèn)題都逃不了。有人說(shuō)DDoS我理解，DNS怎么理解？你企業(yè)要用域名，你申請(qǐng)了域名，這域名很有可能被人攻擊。兩天前的攻擊，它針對(duì)的就是一款挖礦的游戲，一個(gè)游戲服務(wù)提供商，有人看的不爽，因?yàn)檫@個(gè)游戲服務(wù)提供商很火，有人聲稱提供保護(hù)，另外一些人覺(jué)得不爽，我要給你顏色看。如果你的企業(yè)參與商業(yè)競(jìng)爭(zhēng)中，你的競(jìng)爭(zhēng)對(duì)手在正面場(chǎng)合打敗不了你，那么他就要從另外的方式打你。運(yùn)營(yíng)商兩個(gè)資源，一個(gè)是網(wǎng)絡(luò)資源第二是政企資源，網(wǎng)絡(luò)資源剛才說(shuō)了只有骨干網(wǎng)運(yùn)營(yíng)商能做，這是我們的競(jìng)爭(zhēng)優(yōu)勢(shì)。第三，剛才在開(kāi)頭講的產(chǎn)業(yè)鏈當(dāng)中一環(huán)，運(yùn)營(yíng)商扮演著，對(duì)上我們用商業(yè)伙伴給我們的工具，為大眾提供服務(wù)。我們希望能做的就是聯(lián)動(dòng)上游服務(wù)，把整個(gè)蛋糕做大。不光是安全蛋糕還有服務(wù)蛋糕，這個(gè)市場(chǎng)上我特別想提醒，如果在產(chǎn)業(yè)聯(lián)盟上有做家庭網(wǎng)關(guān)，做智能小家電的設(shè)備，他們?cè)谄髽I(yè)研發(fā)中可能很少關(guān)注他們代碼層面的問(wèn)題；那么這些東西比一個(gè)正常的Windows更容易植入一些特征，而且研判中，因?yàn)樗鄬?duì)小眾化，可能不被人注意。這里發(fā)出一個(gè)號(hào)召，我們上游不光是關(guān)注大家伙，還有數(shù)量眾多的小家伙們，我們一起為中國(guó)互聯(lián)網(wǎng)的網(wǎng)民提供一個(gè)安全的使用體驗(yàn)，良好的互聯(lián)網(wǎng)環(huán)境。