道哥親筆：談談為什麼要做彈性安全網路

編者按：作為中國網路安全圈最具影響力的人物之一，吳翰清（道哥）是不少白帽子心中的標杆人物。幾年來，他和團隊一直在尋找如何讓網路變得更安全的方法，就在最近，他提出了「彈性安全網路」的概念，這是一種能把DDoS防禦前置到網路邊緣處的技術，他也因此入選了麻省理工TR35（為最有可能改變世界的牛人而設立的獎項，扎克伯格和楊致遠都曾入選）。最近，道哥親自寫了一篇文章闡述什麼是「彈性安全網路」，雷鋒網已獲授權轉載。

作者：吳翰清

前些天得知自己入選了MIT的TR35，非常開心。我想這是中國安全技術在國際上被認可的一次證明。但這個榮譽不僅屬於我一個人，更屬於我團隊中所有為此做出過努力和貢獻的人，也屬於那些敢於和我們一起嘗試最新技術的客戶們，因為新技術在誕生之初往往是生澀的，但缺少了孵化過程中的磨難，我們永遠見不到美麗綻放的那天。我也非常感謝王堅博士、弓峰敏博士、華先勝老師、Dawn Song教授能夠成為我的TR35推薦人，感謝你們對我所從事的工作的認可。

自從參加工作以來，我一直執著於將中國技術推向全球，我認為中國有著最好的安全技術和最好的人，只是缺乏了讓他們成長的土壤和展示的舞台。所以我也希望這次MIT對我個人的認可，能夠成為一次鼓勵中國安全產業的優秀人才和優秀技術成果走向世界的契機。長期以來，我們享受了很多開源技術的紅利，但中國技術對世界互聯網發展的貢獻卻非常微薄。我認為這中間有語言的障礙，有文化的障礙，但沒有能力的障礙。現在是時候讓我們去跨越這些障礙，去解決全球互聯網發展過程中遇到的那些問題了。只有中國本土的優秀人才成長起來，中國才會變得更加強大。

回顧我十多年的工作生涯，期間從事和研究過非常多的技術工作，但我認為唯有「彈性安全網路」的研究是最獨特的。「彈性安全網路」不是對現有技術的一種應用，它是真正的發明了一項此前所沒有的技術，提出了一種全新的方法，採用了一個全新的角度來看待現有世界。也因此它能跳出現有的技術框架，帶來一些突破性的驚喜。這些驚喜，往往連創造者都沒有辦法在一開始就想清楚。正如從比特幣中抽象出了區塊鏈技術一樣，最早我們構建的產品「遊戲盾」是用來防禦超大流量DDoS攻擊，最後抽象出來的「彈性安全網路」技術，卻讓我們看到了構建下一代互聯網的可能性。

簡單來說，彈性安全網路是將DDoS防禦前置到網路邊緣處。但是，未來真正要做的事情是通過端到端的連接，通過風險控制技術，重新構建一個乾淨的、安全的互聯網。

前些天《麻省理工學院技術評論》的記者對我做了一次採訪，我完整的闡述了一次關於彈性安全網路的構想。我把這次採訪的錄音放在這裡，分享給所有對這項技術感興趣的人，並附上整理後的文字稿（但依然強烈推薦聽錄音原文）。未來我希望有更多人參與到對「彈性安全網路」的建設中來。

互聯網的流量就像流淌在管道里的水，但互聯網發展到今天，流量里已經摻雜了太多的東西，變得不再純粹和健康了。比如說，這些流量裡面包含了很多攻擊請求，也有很多惡意爬蟲請求和一些欺詐行為的請求。

理想狀況下，我們希望未來的流量是乾淨、健康的，希望把所有的網路攻擊前置到整個網路的邊緣處。就是說進入這張網路的時候，流量本身就是乾淨的。這就是clear traffic的概念。

為了實現這個想法，我們遇到了很多的困難。我們在思考，需要用一個什麼樣的架構去實現它。剛巧這個時候，我們有一些客戶嘗試用快速切換的思路來對抗DDoS攻擊。這給了我靈感。最終，我把兩個東西結合起來，產生了做彈性安全網路的想法。

彈性安全網路真正想要去做的，是替換掉整個互聯網最核心的心臟，替換掉DNS，從而讓網路變得有彈性，能夠快速調度資源，形成一個全新的網路架構。

事實上， DNS誕生在互聯網早期，是互聯網1.0時代的產物，是一個開放的協議。到今天，也沒有一個獨立的運營商來運營整個互聯網的DNS Server。它分散在各家不同的運營商。全球可能有上百家運營商，都在提供自己的DNS服務。運營商跟運營商之間的打通，是通過標準的DNS協議進行數據交換。

這也是為什麼這麼多年DNS協議都沒辦法進步的原因，過於碎片化。

目前，DNS有三個顯著問題。第一個，是DNS完全解析的時間過長，這是整個DNS使用中遇到的一個非常大的痛點。

比如，對於一個大型網站，要把用戶的所有流量指向一個新地址。把DNS的解析修改之後，可能需要花兩到三天時間，流量才會百分之百的切到新地址去，不會在舊地址上還有殘餘流量。

為什麼需要兩到三天時間？原因是有很多運營商的DNS遞歸解析伺服器，都需要更新自己的數據。而有的運營商還有自己的省級運營商，甚至更下面的地市級的DNS的遞歸解析。過於碎片化，使得難於進行統一的數據管理，這是今天現實存在的問題。

第二個問題是今天DNS Server軟體中的解析數遇到了瓶頸，沒有辦法一個名字解析到幾千個、甚至上萬個，甚至未來十幾萬個不同地址。一個名字可能最多也就解析到十幾個或幾十個地址就不能再擴大了。這種瓶頸限制了我們的一些能力拓展。

第三個就是，原本可以基於DNS去實現的一些安全機制，比如風險控制，並沒有建立起來。其實也比較好理解，在互聯網1.0時代並沒有如今天這般強大的數據能力和計算能力。

今天，我們要解決這些問題。在整個彈性安全網路的架構下面，我們在構思下一代的互聯網應該是什麼形態？答案就是通過可靠的快速調度技術把互聯網心臟重構掉。

首先，就是它的快速解析的能力，一定要非常實時以及乾淨。其次，就是它本身支持的調度能力，要能達到上萬的這個級別，規模特別的重要，就是一個名字能夠解析到上萬個地址、甚至是十幾萬個地址。

我們以防禦DDoS攻擊為切入點，進行嘗試。過去防禦DDoS攻擊時，必須要做的是儲備單點大帶寬。因為IP是變不了的（在中國的網路環境下由於政策原因暫不考慮anycast的方案）。所以在DNS架構下，就是去硬抗這個IP遇到的流量攻擊。比如說300G的流量打過來，必須要有300G的帶寬在這裡，才能夠扛得住。如果只有100G的帶寬，那整個機房就被堵死了，甚至可能會影響到運營商的網路穩定。

這是在過去攻防對抗的思路，就是你攻擊打過來多少，我就必須要有多少帶寬儲備在這兒。這比的是資源，比的是單純的帶寬儲備。

我們現在的思路是，你攻擊這個IP，我馬上就把這個IP拿掉，不要這個IP了，然後啟用一個新的地址，並告訴所有客戶，你來訪問新地址。

當然，這時候攻擊者會跟隨，但是攻擊者跟隨是有成本的。一般，攻擊者跟隨到一個新地址，需要大概10多分鐘。

在這個10分鐘里，通過數據分析的方式，我們可以分析出攻擊者到底是誰，把好人和壞人分離出來，阻止壞人的流量，並同時放乾淨的流量繼續訪問，這就是整個彈性安全網路的核心思想。

如何實現彈性安全網路

彈性安全網路的實現，是通過快速完成上萬個地址的調度，從根本上改變過去需要在單點儲備大帶寬的一種防禦方式能力。

就是，你不需要在單點儲備大帶寬了，你需要的更多的地址，更強的數據分析能力。

要知道，單點儲備大帶寬的價格非常貴。改用這種方式之後，DDoS防禦成本可以下降兩到三個數量級，因為不需要再單點儲備大帶寬。

做完這個之後，我們就發現，其實這個事情，最重要的不是多了一種對抗DDoS攻擊的方法，而是改變了DNS本身，這是本質的東西。所以，我們是用一種新技術去解決了一個老問題。

彈性安全網路將誕生最大的人工智慧

沿著彈性安全網路的思路，我們希望通過風險控制來管理整個互聯網的資源。

未來，彈性安全網路將重新定義互聯網的入口。通過為每一個訪問者建立「足跡庫」，分析他是好人還是壞人的概率。一旦判斷這次訪問請求可能是有風險的，則可以隨即讓他訪問不到這個資源。

所以，未來最大的人工智慧應該是誕生在彈性安全網路，因為整個互聯網的資源都被管理起來了，而且是基於每一個訪問者的行為沉澱，來判斷風險。

相當於想要進入這個封閉的網路，每個訪客要先過安檢。只有通過安檢才能訪問到這個資源。而且，訪客所有的歷史行為會被積累下來，為未來的風險判斷做儲備。而今天互聯網的心臟 -- DNS，由於其開放性和碎片性，已經失去了將所有訪問數據統一匯聚後進行分析的可能性。

在一個自成閉環的體系裡面，由一家基礎設施的提供商，去運營整個網路心臟的這種解析服務。然後也基於這種解析服務，它能夠對整個網內的所有訪客進行智能分析，最終就能夠實現這張網內的所有訪客的請求，都是在風險控制之下的，從而構建一個全新的互聯網。

彈性安全網路的未來

今天，一些阿里雲上的遊戲客戶，就是通過彈性安全網路的技術，來調度他們所有的遊戲資源，同時對所有玩家進行風險控制的。

彈性安全網路自成閉環。也就是說，這些使用彈性安全網路的遊戲，已經從我們現在的互聯網，也就是今天以DNS為支撐的這個互聯網裡，消失掉了。

一個玩家，通過DNS，是訪問不到彈性安全網路這張網裡的所有資源的。未來我們要做的事情就是，不斷地去擴大這張網，直到網內可調度的資源覆蓋整個互聯網的資源。

目前來看，主要機會就是在IoT和移動互聯網，因為這兩者實際上是沒有DNS的需求的。過去，之所以需要DNS，是因為有一個瀏覽器，瀏覽器裡面有一個地址欄，這個東西必須通過輸入一個好記的地址，才能訪問到資源。

在移動互聯網時代，今天手機不需要瀏覽器，而是直接打開一個App。那這個App訪問的是什麼東西，它不一定需要DNS來解析。

這是我們看到今天這個技術有可能走下去的一個非常重要的原因。

延伸出來，在IoT時代，也是不需要有一個瀏覽器去訪問你所需要訪問的服務和資源的。

所以這是我看到，這張網在未來有可能升級今天整個互聯網最重要的一個原因。

阿里將開放彈性安全網路技術能力

未來，阿里會開放彈性安全網路的技術。

類似DNS，彈性安全網路本身也不涉及任何訪問資源，它只是知道你今天到這個地方來了。就像，一個人今天到某個國家去，需要入關和出關，是一個道理。

事實上，在很多關鍵領域，彈性安全網路非常有價值。

比如，各個國家政府，或者大型企事業單位的專網或內網。如果它是以DNS為核心的話，那這是一個暴露在整張網內的弱點。因為DNS是一個公開的服務。一旦DNS這個單點被癱瘓掉，整張網可能就沒法工作了，所以這是非常大的風險。

所以，彈性安全網路技術，不是為某一個客戶設計的，它是為整個互聯網設計的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！