国内知名度相对较高的抗D服务商（一）

一、中国电信云堤

1. 团队

云堤团队核心成员均来自中国电信集团公司运维部，隶属于中国电信集团网络安全产品运营中心，清一色技术专家出身，人均拥有10年以上IP骨干网络维护和网络安全经验，以及网络和安全方面多项国际高水平认证。成员3/4是中国电信IP专业或安全专业B级实操人才。

云堤团队规模并不大，但这个“浓缩”的团队在高负荷的工作下，从研发、运营到市场推广一路走过来。“云堤”推出仅半年，在几次重大突发攻击事件中都很好的展现出了能力，在市场上拥有良好的用户口碑。

2. 技术

“云堤”的主要功能包括攻击检测、攻击防护和分析溯源三个部分：

1）攻击检测利用覆盖电信全网核心路由器的NetFlow数据进行攻击监测，其优势是可以对经过中国电信大网的任意互联网目标地址的进行在线实时流量监控，在大流量攻击发生时，有别于传统攻击检测方式只能在近攻击目的端的网络或主机上计算攻击流量和访问量因而无法避免出现因为流量拥塞或丢包带来的记数严重偏小问题，云堤可以在全网所有链路上对去往目标IP所的实际攻击流量进行全面评估，因此对大型DDoS攻击的流量规模测度最为准确。

2）攻击防护包含流量压制和流量清洗两种主要功能，其突出优势是“近源防护”的概念，云堤监控分析电信全网的路由器的NetFlow数据，能够准确的辨别一个攻击的主要区域来向，可以判断是从境外发起还是从国内其他运营商发起，并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房，从而调度IP承载网路由器和分布式部署的流量清洗设备将攻击流量在“最靠近攻击发起源”的网络节点上对攻击流量的进行清除，因此其攻击防护能力理论上无限大。

云堤的近源流量压制利用了很多BGP核心功能，如Anycast/虚拟下一跳/FlowSpec进行控制信令的全网散步，利用IP网核心路由器将攻击流量进行可区分方向的丢弃、限速和其他QoS动作。近源清洗则是利用对攻击源进行实时分析后，启动最靠近攻击源的部署在电信IP网核心节点的清洗中心，将攻击流量牵引至清洗中心进行恶意流量的处置，再将正常的业务流量通过隔离的回送通道送达目标网站。云堤的清洗节点带宽是固化独享的，不存在攻击引流时与其他业务流量共享清洗带宽的情况，极大降低了因为攻击流量引发带宽拥塞的业务受损可能性，同时云堤利用BGP实现了对攻击流量牵引导流的秒级全网生效，而对比传统的通过修改DNS/NS权威解析导流的方式，往往十几分钟才能生效，而且受制于用户本地递归中的TTL最小值限制，无法保障网内攻击流量的完全引导。

清洗设备采用运营商级大容量高性能清洗设备为主，有很强的小包处理和转发性能，对Web安全过滤有一定的能力，同时接受用户对清洗防护策略模板的深度定制。

3）分析溯源主要解决对攻击来源的准确定位。我们知道，黑客利用僵尸主机发起攻击时时常会使用虚假源IP地址，以达到混淆身份，藏匿归属的目的。云堤通过将每一个监测到的攻击进行实时的NetFlow分析，找出攻击发起点接入网络设备的物理电路接口，通过该接口就能准确定位攻击源，不需要进行任何关于IP源地址的归属推测。由于云堤了解骨干运营商的所有网络资源位置，而不依赖于IP地址归属映射（互联网公司常用）和源端是否存在有效探针（安全公司的做法），这使云堤在攻击溯源定位能力的领先优势难以撼动。

3. 客户群

云堤的客户群主要分为两类，一类是直接或间接使用电信网络的大型互联网公司、云服务提供商（IDC）和二级SP；另一类是直接使用电信专线的传统政企类客户，包括金融、政府、能源制造等用户。据了解，几家国内最具代表性的互联网公司、以及数家知名云服务提供商均已在使用云堤的服务。

4. 云堤的特点：

· 全网覆盖（含电信海外网络）

· 对大攻击流量的全面客观测度

· 近源防护，并可区分攻击来向的流量压制，防护能力上不封顶

· 全网1T的清洗容量

· 基于BGP anycast技术的近源攻击流量牵引，秒级防护生效；覆盖全网的准确攻击溯源

· 用户零操作，零设备部署