阿里攻防24小时：压力、对抗与反制

凌晨四点以后，几百号人从阿里巴巴杭州总部“光明顶”渐渐散去。

过去的六个小时，空气中充斥着紧张与兴奋。阿里在这里展开了天猫双11前，最后一次全链路压测，所有技术、系统、安全策略与应急预案被一一演练。

好几次，技术人员模拟双11期间的流量峰值，将QPS（峰值时间每秒请求数）打到几千万，也就是一秒内有几千万次请求，这意味着一秒会产生数百万次交易，服务器和系统顶住了压力。

此时，距离2018年天猫双11没多久了。

阿里巴巴安全部产品专家砚墨和团队可以稍微休整一下。“我们把所有能够预见的事都做了排查，双11算是准备就绪了。”砚墨接受「蓝洞商业」独家专访时说。

砚墨所在的安全部2005年成立，是阿里最低调的部门，主要负责保障阿里系平台账户、交易等安全工作。

今年9月，阿里巴巴集团首席风险官郑俊芳公开分享过一组数据。在阿里生态体系中，每天黑客通过4000万次恶意访问，试图寻找系统安全漏洞，网络黑灰产通过爬虫发起17亿次恶意访问，试图窃取数据。仅在淘宝平台，每天会有400万次恶意登录尝试，在交易环节，阿里每天会完成亿级风控计算。

事实上，网络黑灰产已是一个严峻的社会问题，也是各互联网平台面临的棘手问题。《2018网络黑灰产治理研究报告》显示，2017年中国网络安全产业规模仅为450多亿元，而黑灰产早已达千亿元规模。

“若没有创新的安全技术作为保障，就无法认清敌人，实现源头治理。”郑俊芳表示，除了大量创新技术，阿里还建立了一套完整的实践机制与理念，比如推出数据安全合作伙伴计划、成立数据安全研究院等。

双11，可能是黑客与网络黑灰产最蠢蠢欲动的时刻。过去9年，阿里安全团队抵御了DDoS攻击、黄牛党、垃圾注册等各类风险，避免了报错等意外的发生。

一次误伤

10月的一天，凌晨四点左右，阿里一项业务受到了有史以来最大规模的DDoS攻击。一瞬间，数百G流量攻向网络。这是什么概念？相当于所有浙江人在一家购物网站同时下单。

事后分析，这是一次“误伤”。DDoS攻击最常出现在游戏行业，是通过大量请求占用大量网络资源，以达到瘫痪网络的目的。本次DDoS攻击，正是黑客针对某游戏公司发起，波及到阿里。

阿里巴巴安全部高级安全专家国栋表示，由于平日预案准备充分，此次“误伤”没有造成什么影响，但也不能掉以轻心。去年年底，阿里曾遭遇一种隐秘的反射型DDoS攻击。

以往的DDoS攻击，黑客侵入一些服务器，直接攻击目标对象。反射型攻击，是利用互联网上一些公共开放的服务器间接攻击，隐蔽性强，难以溯源。

对此，今年年初开始，阿里做了针对性防控，改进系统，与运营商合作从源头清洗恶意流量。此外，配合警方，打击此类犯罪。

今年5月，阿里安全配合浙江景宁警方，打掉了一个反射型DDoS攻击大型网络黑灰团伙，这在全国是第一次。

阿里安全部门的工作就像是猫捉老鼠，安全小二与网络黑灰产持续攻防。不同的是，老鼠逃脱，猫只不过失去了一顿美餐，黑灰产团伙得手，后果将不堪设想。

在业务发展初期，淘宝推出很多活动，给商家让利，对消费者低价优惠。但这也引来了网络黄牛的抢购。

砚墨回忆，几年前的某个周一，安全部照常开晨会，做预警。突然，大规模交易涌入平台，流量达到正常峰值的几千倍，导致交易系统故障，用户无法下单。经分析排查，是黄牛党利用程序攻击所致。

事实上，为了获取非法利益，黑灰产不断提升自己的作案手法和技术水平。比如黄牛攻击，已形成完整的产业链，分工明确，有人写攻击程序，有人售卖攻击程序，有人秒杀商品等。

面对黄牛党的侵扰，阿里安全小二也不断学习，进行技术迭代。还从各部门抽调精英，组成一个特别小组应对危机，砚墨是成员之一。

头一个月，特别小组对整个阿里安全防线做了梳理。“996”是最起码的工作节奏，即每天上午9点上班，晚上9点下班，一周工作6天。

最终，建立起完整的安全防线，已是当年10月。砚墨承认，“当时并不踏实，即将到来的双11能不能顺利，心里有问号。”

双11前夕，砚墨一早来到公司，跟团队开会，所有人再次明确任务与职责。一小时之后，开始分头行动，一旦发现蛛丝马迹，立即上报。

砚墨盯着作战室的大屏幕，数字快速跳动变化，这表明黄牛来势凶猛。风险被一一化解，砚墨悬着的心放下了。

经过几年的攻防战，阿里的对抗技术已经迭代，黄牛党只能薅走丁点“皮毛”。

惊心动魄

每年离双11还有几个月，阿里安全就会启动准备工作。阿里安全归零实验室作为研究网络黑灰产的团队，会分析各种黑灰产动向，新技术、新手法的变化，针对性地提出解决方案。

阿里巴巴安全部高级安全专家入侵主要从事黑灰产研究，通过分析黄牛抢购、套利行为，总结出黑灰产业链的运作模式。

一般来说，黑灰产研究相对轻松，但有一年双11，入侵过得惊心动魄。

当时距零点还有几个小时，入侵发现一批黄牛党，针对大促发起攻击。安全小二早有防备，黄牛党也有后招，调用七八个黄牛软件轮番轰炸，安全小二做出防御，黄牛软件立马升级。

“双方你来我往，对抗激烈。”入侵说，他和同事发现了黄牛软件的服务器，迅速采取行动，当年双11在平稳中度过。

如今，阿里形成一套由技术拦截、业务防控、线下配合公安打击的全链路防御体系，来化解黄牛扫货风险。

阿里安全部队，除了集团安全部门，还有两支不可忽视的力量，即阿里云和蚂蚁金服的安全人员。

阿里云与天猫双11都是2009年诞生。过去9年，天猫双11交易额从5200万元增长到1682亿元，阿里云也坐上了中国公有云市场的第一把金交椅。9年间，阿里云作为天猫业务的平台承载者，在护航双11过程中，沉淀了其工程化和大项目护航能力。

公开数据显示，2017年双11期间，阿里云自动识别并拦截来自8万个IP的15亿次攻击，防御4364次DDoS攻击，实现0误报，0漏报。

阿里平台上的交易，后半段主要依靠蚂蚁金服的支付宝平台。双11期间，蚂蚁金服一方面要在巨大流量进入下，保证交易正常，另一方面，要做好风控，防范欺诈。

“简单说，对天猫双11，蚂蚁金服既要保障正常会员的支付体验，也要避免它变成黑灰产的狂欢。”蚂蚁金服风险策略专家奕鸣向「蓝洞商业」总结说。

由于技术的进步，双11期间，阿里云和蚂蚁金服安全小二的双手得以解放。

阿里云安全专家云镜说，他们每天帮助云上客户防御数千起DDoS攻击，针对每次大流量攻击要做到1秒钟检测，3秒内自动启动清洗，并且不能有任何一起漏防御。他们还可以快速SaaS化交付给业务数Tbps的防御能力，使安全防御能力可以像自来水一样，打开水龙头就可以使用。

因此，双11压力并不会太大。一方面，多年积累下来，技术得到了锤炼；另一方面，云上日常防御实现了智能化和自动化，与传统安全相比，不用再到机房，需要人工分析处理的数据和风险也变得少之又少。

2017年，蚂蚁金服上线第五代风控引擎AlphaRisk，即无人驾驶智能终端风控引擎。AlphaRisk1.0上线后，支付宝的资损率降至千万分之五。

双11期间，通过AutoPilot（自动驾驶），系统根据交易流量、风险攻击变化、用户行为迁移，动态智能调整风控引擎的控制强度，风险打扰率明显降低，保障了极致的支付体验。

2017年双11前夕，奕鸣有过担心，AlphaRisk能否达到预想效果？

以往，双11前的几个月，奕鸣就要与团队评估风险抵御能力与效果。根据不同风险场景，哪怕出现一个符号错误，当天所有交易都有可能被拒绝。

事实证明，奕鸣的担心有些多余，人工智能不仅达到理想效果，精确度也更高更准。

又是一个双11，阿里安全小二们的期待很朴素，“希望整个过程如丝顺滑。”