阿里攻防24小時:壓力、對抗與反制
本文轉自公眾號: 藍洞商業(ID:value_creation),作者:郭朝飛
凌晨四點以後,幾百號人從阿里巴巴杭州總部“光明頂”漸漸散去。
過去的六個小時,空氣中充斥著緊張與興奮。阿里在這裡展開了天貓雙11前,最後一次全鏈路壓測,所有技術、系統、安全策略與應急預案被一一演練。
好幾次,技術人員模擬雙11期間的流量峰值, 將QPS(峰值時間每秒請求數)打到幾千萬,也就是一秒內有幾千萬次請求,這意味著一秒會產生數百萬次交易 ,伺服器和系統頂住了壓力。
此時,距離2018年天貓雙11沒多久了。
阿里巴巴安全部產品專家硯墨和團隊可以稍微休整一下。“我們把所有能夠預見的事都做了排查,雙11算是準備就緒了。”硯墨接受「藍洞商業」獨家專訪時說。
硯墨所在的安全部2005年成立,是阿里最低調的部門,主要負責保障阿里系平臺賬戶、交易等安全工作。
今年9月,阿里巴巴集團首席風險官鄭俊芳公開分享過一組資料。在阿里生態體系中,每天黑客通過4000萬次惡意訪問,試圖尋找系統安全漏洞,網路黑灰產通過爬蟲發起17億次惡意訪問,試圖竊取資料。僅在淘寶平臺,每天會有400萬次惡意登入嘗試,在交易環節,阿里每天會完成億級風控計算。
事實上,網路黑灰產已是一個嚴峻的社會問題,也是各網際網路平臺面臨的棘手問題。《2018網路黑灰產治理研究報告》顯示,2017年中國網路安全產業規模僅為450多億元,而黑灰產早已達千億元規模。
“若沒有創新的安全技術作為保障,就無法認清敵人,實現源頭治理。”鄭俊芳表示,除了大量創新技術,阿里還建立了一套完整的實踐機制與理念,比如推出資料安全合作伙伴計劃、成立資料安全研究院等。
雙11,可能是黑客與網路黑灰產最蠢蠢欲動的時刻。過去9年,阿里安全團隊抵禦了DDoS攻擊、黃牛黨、垃圾註冊等各類風險,避免了報錯等意外的發生。
一次誤傷
10月的一天,凌晨四點左右,阿里一項業務受到了有史以來最大規模的DDoS攻擊。 一瞬間,數百G流量攻向網路。這是什麼概念?相當於所有浙江人在一家購物網站同時下單。
事後分析,這是一次“誤傷”。DDoS攻擊最常出現在遊戲行業,是通過大量請求佔用大量網路資源,以達到癱瘓網路的目的。本次DDoS攻擊,正是黑客針對某遊戲公司發起,波及到阿里。
阿里巴巴安全部高階安全專家國棟表示,由於平日預案准備充分,此次“誤傷”沒有造成什麼影響,但也不能掉以輕心。去年年底,阿里曾遭遇一種隱祕的反射型DDoS攻擊。
以往的DDoS攻擊,黑客侵入一些伺服器,直接攻擊目標物件。反射型攻擊,是利用網際網路上一些公共開放的伺服器間接攻擊,隱蔽性強,難以溯源。
對此,今年年初開始,阿里做了針對性防控,改進系統,與運營商合作從源頭清洗惡意流量。此外,配合警方,打擊此類犯罪。
今年5月,阿里安全配合浙江景寧警方,打掉了一個反射型DDoS攻擊大型網路黑灰團伙,這在全國是第一次。
阿里安全部門的工作就像是貓捉老鼠,安全小二與網路黑灰產持續攻防。不同的是,老鼠逃脫,貓只不過失去了一頓美餐,黑灰產團伙得手,後果將不堪設想。
在業務發展初期,淘寶推出很多活動,給商家讓利,對消費者低價優惠。但這也引來了網路黃牛的搶購。
硯墨回憶,幾年前的某個週一,安全部照常開晨會,做預警。突然,大規模交易湧入平臺,流量達到正常峰值的幾千倍,導致交易系統故障,使用者無法下單。經分析排查,是黃牛黨利用程式攻擊所致。
事實上,為了獲取非法利益,黑灰產不斷提升自己的作案手法和技術水平。 比如黃牛攻擊,已形成完整的產業鏈,分工明確,有人寫攻擊程式,有人售賣攻擊程式,有人秒殺商品等。
面對黃牛黨的侵擾,阿里安全小二也不斷學習,進行技術迭代。還從各部門抽調精英,組成一個特別小組應對危機,硯墨是成員之一。
頭一個月,特別小組對整個阿里安全防線做了梳理。“996”是最起碼的工作節奏,即每天上午9點上班,晚上9點下班,一週工作6天。
最終,建立起完整的安全防線,已是當年10月。硯墨承認,“當時並不踏實,即將到來的雙11能不能順利,心裡有問號。”
雙11前夕,硯墨一早來到公司,跟團隊開會,所有人再次明確任務與職責。一小時之後,開始分頭行動,一旦發現蛛絲馬跡,立即上報。
硯墨盯著作戰室的大螢幕,數字快速跳動變化,這表明黃牛來勢凶猛。風險被一一化解,硯墨懸著的心放下了。
經過幾年的攻防戰,阿里的對抗技術已經迭代,黃牛黨只能薅走丁點“皮毛”。
驚心動魄
每年離雙11還有幾個月,阿里安全就會啟動準備工作。阿里安全歸零實驗室作為研究網路黑灰產的團隊,會分析各種黑灰產動向,新技術、新手法的變化,針對性地提出解決方案。
阿里巴巴安全部高階安全專家入侵主要從事黑灰產研究,通過分析黃牛搶購、套利行為,總結出黑灰產業鏈的運作模式。
一般來說,黑灰產研究相對輕鬆,但有一年雙11,入侵過得驚心動魄。
當時距零點還有幾個小時,入侵發現一批黃牛黨,針對大促發起攻擊。 安全小二早有防備,黃牛黨也有後招,呼叫七八個黃牛軟體輪番轟炸,安全小二做出防禦,黃牛軟體立馬升級。
“雙方你來我往,對抗激烈。”入侵說,他和同事發現了黃牛軟體的伺服器,迅速採取行動,當年雙11在平穩中度過。
如今,阿里形成一套由技術攔截、業務防控、線下配合公安打擊的全鏈路防禦體系,來化解黃牛掃貨風險。
阿里安全部隊,除了集團安全部門,還有兩支不可忽視的力量,即阿里雲和螞蟻金服的安全人員。
阿里雲與天貓雙11都是2009年誕生。過去9年,天貓雙11交易額從5200萬元增長到1682億元,阿里雲也坐上了中國公有云市場的第一把金交椅。9年間,阿里雲作為天貓業務的平臺承載者,在護航雙11過程中,沉澱了其工程化和大專案護航能力。
公開資料顯示,2017年雙11期間,阿里雲自動識別並攔截來自8萬個IP的15億次攻擊,防禦4364次DDoS攻擊,實現0誤報,0漏報。
阿里平臺上的交易,後半段主要依靠螞蟻金服的支付寶平臺。雙11期間,螞蟻金服一方面要在巨大流量進入下,保證交易正常,另一方面,要做好風控,防範欺詐。
“簡單說,對天貓雙11,螞蟻金服既要保障正常會員的支付體驗,也要避免它變成黑灰產的狂歡。”螞蟻金服風險策略專家奕鳴向「藍洞商業」總結說。
由於技術的進步,雙11期間,阿里雲和螞蟻金服安全小二的雙手得以解放。
阿里雲安全專家雲鏡說,他們每天幫助雲上客戶防禦數千起DDoS攻擊,針對每次大流量攻擊要做到1秒鐘檢測,3秒內自動啟動清洗,並且不能有任何一起漏防禦。他們還可以快速SaaS化交付給業務數Tbps的防禦能力,使安全防禦能力可以像自來水一樣,開啟水龍頭就可以使用。
因此,雙11壓力並不會太大。一方面,多年積累下來,技術得到了錘鍊;另一方面,雲上日常防禦實現了智慧化和自動化,與傳統安全相比,不用再到機房,需要人工分析處理的資料和風險也變得少之又少。
2017年,螞蟻金服上線第五代風控引擎AlphaRisk,即無人駕駛智慧終端風控引擎。AlphaRisk1.0上線後,支付寶的資損率降至千萬分之五。
雙11期間,通過AutoPilot(自動駕駛),系統根據交易流量、風險攻擊變化、使用者行為遷移,動態智慧調整風控引擎的控制強度,風險打擾率明顯降低,保障了極致的支付體驗。
2017年雙11前夕,奕鳴有過擔心,AlphaRisk能否達到預想效果?
以往,雙11前的幾個月,奕鳴就要與團隊評估風險抵禦能力與效果。根據不同風險場景,哪怕出現一個符號錯誤,當天所有交易都有可能被拒絕。
事實證明,奕鳴的擔心有些多餘,人工智慧不僅達到理想效果,精確度也更高更準。
又是一個雙11,阿里安全小二們的期待很樸素,“希望整個過程如絲順滑。”
特別宣告:本文為合作媒體授權DoNews專欄轉載,文章版權歸原作者及原出處所有。文章系作者個人觀點,不代表DoNews專欄的立場,轉載請聯絡原作者及原出處獲取授權。