当人们用我有一个朋友起头讲故事的时候，往往这个朋友就是他自己的。我在 MacTalk 写「我的朋友」的时候，是真的我的朋友，一般情况下，我都为我的朋友感到自豪和骄傲。当然了，二爷除外，他是剧情需要。

今天文章的主角是吴翰清，也就是我常说的道哥，在阿里男生叫他小黑，女生们则喊他帅哥。他的存在常常让二爷在年龄层面感受到压迫感，神童，科大少年班，高级技术专家，阿里 P10 等等，每次坐一块吃饭都让我们这些朋友喘不过气来，好了，最近他又多了一个新头衔。

今天《麻省理工学院科技评论》（MIT Technology Review）杂志揭晓了 2017 年全球青年科技创新人才榜（TR35）的评选结果，道哥脱颖而出，获此殊荣。TR35 是一个针对35岁以下青年科技才俊，为找出最有可能改变世界的牛人而设立的奖项。从 1999 年开始，该杂志每年会在全球 IT（计算机、通信、网络）和生物医药、商业等领域内，从影响力、创新力、进取力、未来潜力、沟通力五个维度进行评估，挖掘学术界和工业界的35位科技创新精英。Google 联合创始人拉里·佩奇（2002年）和谢尔盖·布林（2002年），Linux 之父林纳斯·托瓦兹（1999年），Facebook 创始人马克·扎克伯格（2007年），Yahoo 创始人杨致远（1999年），Apple 设计总监乔纳夫·伊森（1999年）等，都曾是该奖的座上宾。

关于道哥以前的故事，我写过很多，最近的一篇是「刺客的互联网江湖」。这篇文章描述了他在回到阿里的29个月里，想了些什么，做了些什么，未来还要做些什么？这位当年的天才黑客，已经从一个纯粹的技术人员，进化成了产品大师。他曾经希望通过十年的时间成为世界上最好的安全专家，经年以后，他发现成为世界上最好的安全专家这件事情看起来并不是难事。并且，如果一个人长期把成长的精力聚焦在个人身上，这个事情就会相对变得比较狭隘。他眼中的世界，变成了整个互联网的安全。

他对我们说：我的两次人生选择，第一次离开阿里，再加上两年之后重新回到阿里，其实从来没有变过，为的都是同一件事情，就是把互联网安全做彻底。

道哥有自己的产品理念，他认为自己在所有战略层面的思考和执行层面的坚持上，使命都是建设互联网安全的基础设施。

从这个角度来讲，我们会做很多东西。我们现在的产品，不管这个产品的形态如何发生变化，可能会经历一些阶段性的失败，但是我们的产品，最终它要去的那个地方，是始终没有动摇过的。

像我们的高防产品，我们第一天就打出一个使命，就是我们要消灭互联网的 DDoS，这是我们和其他所有做高防产品厂商的区别。他们都是希望 DDoS 存在的，因为这个能带来业务收入。

但我们是希望消灭整个互联网的 DDoS 的。只有真正到了那一天，我们对这个互联网和对这个社会的贡献的价值足够大，才会有足够大的商业空间诞生出来。我觉得这是我对整个商业的一个理解。

在整个使命愿景的坚持上面，是我们最根本的东西。今天经历的所有的波折，实际上都是可以根据时间随着来调整的。

为了这样的使命，他设计了「弹性安全网络」，并因此获得了「TR35」。

为什么要做弹性网络？

互联网的流量就像流淌在管道里的水，但互联网发展到今天，流量里已经掺杂了太多的东西，变得不再纯粹和健康了。比如说，这些流量里面包含了很多攻击请求，也有很多恶意爬虫请求和一些欺诈行为的请求。

理想状况下，我们希望未来的流量是干净、健康的，希望把所有的网络攻击前置到整个网络的边缘处。就是说进入这张网络的时候，流量本身就是干净的。这就是 clear traffic 的概念。

为了实现这个想法，需要用一个什么样的架构去实现它？刚巧这个时候，阿里云有一些客户尝试用快速切换的思路来对抗 DDoS 攻击。这给了道哥灵感。最终，他把两个东西结合起来，产生了做弹性安全网络的想法。

什么是弹性安全网络呢？

弹性安全网络真正想要去做的，是替换掉整个互联网最核心的心脏，替换掉 DNS，从而让网络变得有弹性，能够快速调度资源，形成一个全新的网络架构。

DNS 诞生在互联网早期，是互联网1.0时代的产物，是一个开放的协议，到了现在其实存在很多问题，比如解析时间过长，解析的地址有限制，另外，原本可以基于 DNS 去实现的一些安全机制，比如风险控制，并没有建立起来，因为原来不需要吗？如何解决这些问题呢？

答案是通过可靠的快速调度技术把互联网心脏重构掉。
 
首先，就是它的快速解析的能力，一定要非常实时以及干净。其次，就是它本身支持的调度能力，要能达到上万的这个级别，规模特别的重要，就是一个名字能够解析到上万个地址、甚至是十几万个地址。
 
道哥的团队以防御 DDoS 攻击为切入点，进行尝试。过去防御 DDoS 攻击时，必须要做的是储备单点大带宽。因为 IP 是变不了的，所以在DNS架构下，就是去硬抗这个 IP 遇到的流量攻击。比如说 300G 的流量打过来，必须要有 300G 的带宽在这里，才能够扛得住。如果只有 100G 的带宽，那整个机房就被堵死了，甚至可能会影响到运营商的网络稳定。
 
现在的思路是，你攻击这个 IP，我马上就把这个 IP 拿掉，不要这个 IP 了，然后启用一个新的地址，并告诉所有客户，你来访问新地址。这时候攻击者会跟随，但是攻击者跟随是有成本的。一般情况下，攻击者跟随到一个新地址，需要大概 10 多分钟。在这 10 分钟里，通过数据分析，就可以分析出攻击者到底是谁，把好人和坏人分离出来，阻止坏人的流量，并同时放干净的流量继续访问，这是整个弹性安全网络的核心思想。

如何实现弹性安全网络呢？

弹性安全网络的实现，是通过快速完成上万个地址的调度，从根本上改变过去需要在单点储备大带宽的一种防御方式能力。在弹性网络中，你需要的更多的地址，更强的数据分析能力，而不是大带宽。改用这种方式之后，DDoS防御成本可以下降两到三个数量级。

做完这件事情之后，道哥的团队发现，其实这个事情，最重要的不是多了一种对抗 DDoS 攻击的方法，而是改变了DNS本身，这是本质的东西。所以，他们是用一种新技术去解决了一个老问题。

未来，弹性安全网络将重新定义互联网的入口。通过为每一个访问者建立「足迹库」，分析这种访问是善意还是恶意。一旦判断这次访问请求超过了风险阈值，就可以随时终止这种访问。
 
道哥对我说：

目前来看，IoT 和移动互联网同样需要弹性安全网络技术，因为这两者实际上是没有 DNS 需求的。过去，之所以需要 DNS，是因为有一个浏览器，浏览器里面有一个地址栏，这个东西必须通过输入一个好记的地址，才能访问到资源。
 
在移动互联网时代，今天手机不需要浏览器，而是直接打开一个App。那这个App访问的是什么东西，它不一定需要DNS来解析。这是我们看到今天这个技术有可能走下去的一个非常重要的原因。延伸出来，在IoT时代，也是不需要有一个浏览器去访问你所需要访问的服务和资源的。
 
这是我看到，这张网在未来有可能升级今天整个互联网最重要的一个原因。

因为初心，道哥做出了弹性安全网络，因为这个技术，他获得了 TR35 的殊荣，他眼中的互联网安全的版图，已经延伸到了整个世界。

希望翰清在未来能够实现他的梦想，把互联网安全做彻底。另外，下次请我吃饭记得付账。