DDoS 流量清洗解决方案 一、部署方式及方案实现 DDoS 流量清洗解决方案由异常流量分析系统和流量清洗系统组成,异常流量分析系统使用Netflow 等方式对出口路由器流量数据进行采集,并对采集到的数据进行深入分析,发现DDoS 异常流量后,将触发告警,并通知流量清洗系统。流量清洗系统接收到异常流量分析系统发送的通知后,通过路由技术(如BGP、OSFP 等)对攻击流量进行牵引,然后对攻击流量进行识别与清洗,将攻击流量过滤,最后再使用路由技术(如策略路由、GRE 等)将清洗后的正常流量回注到网络中,由此实现对DDoS 异常流量的清洗和过滤。 在部署方式上,异常流量分析系统只需要与出口路由器IP 可达即可,不需要与出口路由器直接连接;流量清洗系统采用旁路部署方式,需要与出口路由器直接连接,以便于对DDoS 异常流量进行牵引和回注。DDoS 异常流量清洗步骤及过程如下图所示,绿色为正常流量,红色为 DDoS 异常流量,具体步骤和流程如下: 在出口路由器上配置和启用Netflow ,将Netflow 数据发送给异常流量分析系统; 异常流量分析系统对采集到的数据进行深入分析,判断是否有 DDoS 攻击流量发生; 确定有 DDoS 攻击流量后,发送通知给流量清洗系统,流量清洗系统开启攻击防御,通过路由技术的应用,将原来去往被攻击目标 IP 的流量牵引至旁路部署的流量清洗系统,被牵引的流量为攻击流量与正常流量的混合流量,且仅对可疑流量进行牵引,而通往其它目的地的流量将不受任何影响、按正常路径进行转发。 流量清洗系统通过多层的攻击流量识别与净化功能,将DDoS 攻击流量从混合流量中分离、过滤; 经过流量清洗系统净化之后的合法流量被重新注入回网络,到达目的IP,此时从服务器看,DDoS 攻击流量已经被抑止,服务恢复正常; DDoS 攻击流量停止后,异常流量分析系统通知流量清洗系统停止攻击防御,不再进行流量的牵引、过滤和回注,所有流量不再经过流量清洗系统,按正常路径进行转发,直到再次发现DDoS 攻击流量。 图1 部署方式及清洗步骤 二、方案效果 精准的攻击流量识别 应用自主研发的抗拒绝服务攻击算法,在对网络数据报文进行概率统计的基础上,针对不同种类的DDoS 攻击采用不同的算法(例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等)进行识别,从而准确地区分出恶意的DDoS 报文和正常访问的网络数据报文。另一方面,采...
