阿里攻防24小时:压力、对抗与反制

来源:界面 2018-11-10 16:00:21

撰文 | 蓝洞商业(ID:value_creation)郭朝飞

凌晨四点以后,几百号人从阿里巴巴杭州总部“光明顶”渐渐散去。

过去的六个小时,空气中充斥着紧张与兴奋。阿里在这里展开了天猫双11前,最后一次全链路压测,所有技术、系统、安全策略与应急预案被一一演练。

好几次,技术人员模拟双11期间的流量峰值,将QPS(峰值时间每秒请求数)打到几千万,也就是一秒内有几千万次请求,这意味着一秒会产生数百万次交易,服务器和系统顶住了压力。

此时,距离2018年天猫双11没多久了。

阿里巴巴安全部产品专家砚墨和团队可以稍微休整一下。“我们把所有能够预见的事都做了排查,双11算是准备就绪了。”砚墨接受「蓝洞商业」独家专访时说。

砚墨所在的安全部2005年成立,是阿里最低调的部门,主要负责保障阿里系平台账户、交易等安全工作。

今年9月,阿里巴巴集团首席风险官郑俊芳公开分享过一组数据。在阿里生态体系中,每天黑客通过4000万次恶意访问,试图寻找系统安全漏洞,网络黑灰产通过爬虫发起17亿次恶意访问,试图窃取数据。仅在淘宝平台,每天会有400万次恶意登录尝试,在交易环节,阿里每天会完成亿级风控计算。

事实上,网络黑灰产已是一个严峻的社会问题,也是各互联网平台面临的棘手问题。《2018网络黑灰产治理研究报告》显示,2017年中国网络安全产业规模仅为450多亿元,而黑灰产早已达千亿元规模。

“若没有创新的安全技术作为保障,就无法认清敌人,实现源头治理。”郑俊芳表示,除了大量创新技术,阿里还建立了一套完整的实践机制与理念,比如推出数据安全合作伙伴计划、成立数据安全研究院等。

双11,可能是黑客与网络黑灰产最蠢蠢欲动的时刻。过去9年,阿里安全团队抵御了DDoS攻击、黄牛党、垃圾注册等各类风险,避免了报错等意外的发生。

一次误伤

10月的一天,凌晨四点左右,阿里一项业务受到了有史以来最大规模的DDoS攻击。一瞬间,数百G流量攻向网络。这是什么概念?相当于所有浙江人在一家购物网站同时下单。

事后分析,这是一次“误伤”。DDoS攻击最常出现在游戏行业,是通过大量请求占用大量网络资源,以达到瘫痪网络的目的。本次DDoS攻击,正是黑客针对某游戏公司发起,波及到阿里。

阿里巴巴安全部高级安全专家国栋表示,由于平日预案准备充分,此次“误伤”没有造成什么影响,但也不能掉以轻心。去年年底,阿里曾遭遇一种隐秘的反射型DDoS攻击。

以往的DDoS攻击,黑客侵入一些服务器,直接攻击目标对象。反射型攻击,是利用互联网上一些公共开放的服务器间接攻击,隐蔽性强,难以溯源。

对此,今年年初开始,阿里做了针对性防控,改进系统,与运营商合作从源头清洗恶意流量。此外,配合警方,打击此类犯罪。

今年5月,阿里安全配合浙江景宁警方,打掉了一个反射型DDoS攻击大型网络黑灰团伙,这在全国是第一次。

阿里安全部门的工作就像是猫捉老鼠,安全小二与网络黑灰产持续攻防。不同的是,老鼠逃脱,猫只不过失去了一顿美餐,黑灰产团伙得手,后果将不堪设想。

在业务发展初期,淘宝推出很多活动,给商家让利,对消费者低价优惠。但这也引来了网络黄牛的抢购。

砚墨回忆,几年前的某个周一,安全部照常开晨会,做预警。突然,大规模交易涌入平台,流量达到正常峰值的几千倍,导致交易系统故障,用户无法下单。经分析排查,是黄牛党利用程序攻击所致。

事实上,为了获取非法利益,黑灰产不断提升自己的作案手法和技术水平。比如黄牛攻击,已形成完整的产业链,分工明确,有人写攻击程序,有人售卖攻击程序,有人秒杀商品等。

面对黄牛党的侵扰,阿里安全小二也不断学习,进行技术迭代。还从各部门抽调精英,组成一个特别小组应对危机,砚墨是成员之一。

头一个月,特别小组对整个阿里安全防线做了梳理。“996”是最起码的工作节奏,即每天上午9点上班,晚上9点下班,一周工作6天。

最终,建立起完整的安全防线,已是当年10月。砚墨承认,“当时并不踏实,即将到来的双11能不能顺利,心里有问号。”

双11前夕,砚墨一早来到公司,跟团队开会,所有人再次明确任务与职责。一小时之后,开始分头行动,一旦发现蛛丝马迹,立即上报。

砚墨盯着作战室的大屏幕,数字快速跳动变化,这表明黄牛来势凶猛。风险被一一化解,砚墨悬着的心放下了。

经过几年的攻防战,阿里的对抗技术已经迭代,黄牛党只能薅走丁点“皮毛”。

惊心动魄

每年离双11还有几个月,阿里安全就会启动准备工作。阿里安全归零实验室作为研究网络黑灰产的团队,会分析各种黑灰产动向,新技术、新手法的变化,针对性地提出解决方案。

阿里巴巴安全部高级安全专家入侵主要从事黑灰产研究,通过分析黄牛抢购、套利行为,总结出黑灰产业链的运作模式。

一般来说,黑灰产研究相对轻松,但有一年双11,入侵过得惊心动魄。

当时距零点还有几个小时,入侵发现一批黄牛党,针对大促发起攻击。安全小二早有防备,黄牛党也有后招,调用七八个黄牛软件轮番轰炸,安全小二做出防御,黄牛软件立马升级。

“双方你来我往,对抗激烈。”入侵说,他和同事发现了黄牛软件的服务器,迅速采取行动,当年双11在平稳中度过。

如今,阿里形成一套由技术拦截、业务防控、线下配合公安打击的全链路防御体系,来化解黄牛扫货风险。

阿里安全部队,除了集团安全部门,还有两支不可忽视的力量,即阿里云和蚂蚁金服的安全人员。

阿里云与天猫双11都是2009年诞生。过去9年,天猫双11交易额从5200万元增长到1682亿元,阿里云也坐上了中国公有云市场的第一把金交椅。9年间,阿里云作为天猫业务的平台承载者,在护航双11过程中,沉淀了其工程化和大项目护航能力。

公开数据显示,2017年双11期间,阿里云自动识别并拦截来自8万个IP的15亿次攻击,防御4364次DDoS攻击,实现0误报,0漏报。

阿里平台上的交易,后半段主要依靠蚂蚁金服的支付宝平台。双11期间,蚂蚁金服一方面要在巨大流量进入下,保证交易正常,另一方面,要做好风控,防范欺诈。

“简单说,对天猫双11,蚂蚁金服既要保障正常会员的支付体验,也要避免它变成黑灰产的狂欢。”蚂蚁金服风险策略专家奕鸣向「蓝洞商业」总结说。

由于技术的进步,双11期间,阿里云和蚂蚁金服安全小二的双手得以解放。

阿里云安全专家云镜说,他们每天帮助云上客户防御数千起DDoS攻击,针对每次大流量攻击要做到1秒钟检测,3秒内自动启动清洗,并且不能有任何一起漏防御。他们还可以快速SaaS化交付给业务数Tbps的防御能力,使安全防御能力可以像自来水一样,打开水龙头就可以使用。

因此,双11压力并不会太大。一方面,多年积累下来,技术得到了锤炼;另一方面,云上日常防御实现了智能化和自动化,与传统安全相比,不用再到机房,需要人工分析处理的数据和风险也变得少之又少。

2017年,蚂蚁金服上线第五代风控引擎AlphaRisk,即无人驾驶智能终端风控引擎。AlphaRisk1.0上线后,支付宝的资损率降至千万分之五。

双11期间,通过AutoPilot(自动驾驶),系统根据交易流量、风险攻击变化、用户行为迁移,动态智能调整风控引擎的控制强度,风险打扰率明显降低,保障了极致的支付体验。

2017年双11前夕,奕鸣有过担心,AlphaRisk能否达到预想效果?

以往,双11前的几个月,奕鸣就要与团队评估风险抵御能力与效果。根据不同风险场景,哪怕出现一个符号错误,当天所有交易都有可能被拒绝。

事实证明,奕鸣的担心有些多余,人工智能不仅达到理想效果,精确度也更高更准。

又是一个双11,阿里安全小二们的期待很朴素,“希望整个过程如丝顺滑。”

点击查看原文

相关链接