抗DDoS流量清洗系统由哪些子系统组成
抗DDoS流量清洗系统由以下三个子系统组成:
攻击检测系统:攻击检测系统对用户业务流量进行逐包检测,发现网络流量中隐藏的非法攻击流量(如NTP Flood、SSDP Flood、SYN Flood、ACK Flood、RST Flood、ICMPFlood、UDP Flood、DNS Query Flood、StreamFlood和HTTPGetFlood等),发现攻击后及时通知并激活防护设备进行流量的清洗。采用的检测技术一般包括静态漏洞攻击特征检查、动态规则过滤、异常流量限速和用户流量模型异常检测等。
攻击缓解系统:通过专业的流量净化产品,将可疑流量从原始网络路径中重定向到净化清洗中心上进行恶意流量的识别和剥离,还原出的合法流量回注到原网络中转发给目标系统,其他合法流量的转发路径不受影响。流量清洗中心一般利用IBGP或者EBGP协议,首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时,流量清洗中心通过BGP协议向核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经所有核心设备的被攻击服务器的流量动态牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性,确保清洗中心发布的路由不会扩散到城域网,同时在流量清洗中心通过路由策略不接收核心路由器发布的路由更新,从而严格控制对城域网造成的影响。清洗完成后,通过多种网络协议和物理接口将清洗后的流量重新注入到城域网,主要包括策略路由、MPLS VPN、二层透传和双链路等。
监控管理系统:监控管理系统对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控,以及及时输出流量分析报告和攻击防护报告等报表。除了上述流量清洗系统外,要抵御风暴型DDoS的攻击,IDC还必须有足够的网络带宽来接收攻击流量。因此,近年来,很多重要的网络服务大多选择部署在专业的IDC上,充分利用IDC的高带宽和防护优势。