DDoS防御分流方案


方案背景

分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法,简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
数据中心(IDC)通过与互联网的高速连接,以丰富的计算、存储、网络和应用资源向服务提供商(SP)、内容提供商(CP)、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。在IDC面临的各类安全威胁中,DDoS攻击由于会对IDC业务产生重大影响而显得尤为重。为此,国内运营商的IDC均部署了流量清洗系统,流量清洗就是对进入客户IDC的数据流量进行实时监控,及时发现包括DDoS攻击在内的异常流量,在不影响正常业务的前提下,清洗掉异常流量。
除了运营商IDC以外,还有很多中立的第三方IDC,国内的中立IDC从运营商租用链路,可以购买运营商的流量清洗服务。但是,也有部分中立IDC在国外也有机房,但是国外机房链路不具备没有流量清洗服务,需要自建DDoS防御系统。
中创腾锐针对这部分客户的需求,提供了基于PacketFabric系列产品的DDoS防御方案。

方案特点

精准检测

DDos防御分流方案可提供绝对精准,实时IP流量检测,基于全面详实的数据,可及时发现包括DDoS攻击在内的异常流量,不漏过任何攻击事件,在不影响正常业务的前提下,将出现问题的报文流发往后端分析系统。

全自动化

DDos防御分流方案所有检测、统计事宜全部由设备自主自动完成,后端运维仅通过API获取最终数据即可,完全无额外的编程、降低了运维压力,并可与现有运营系统DevOps对接,支持自动化运维管理。

丰富的报文处理功能

DDos防御分流方案在流量保护的同时,提供性能无损的报文截短能力,可对报文进行隧道终结,提供线速的报文截短和打时间戳等功能,降低后端系统的处理压力,提升了整体系统性能。

灵活的扩容方案

DDos防御分流方案可按需、灵活的横向扩展,基于Scale-out 架构理念,方案支持灵活的横向扩展能力,满足日益增长的流量需求,降低一次性投入,并且扩容不需要调整原有部署。

方案简介

为满足中立IDC机房的DDoS防御需求,需要接入分析来自不同运营商的互联网流量和数据中心内部的关键链路流量,精准分析、统计各IP地址的流量信息(PPS/bps等),将出现问题的报文流发往后端报文存储与分析系统,并与现有运营系统DevOps对接,支持自动化运维管理。

方案部署如下图所示:

DDoS防御部署方案

PF9032实现100G链路的接入和负载均衡输出,PX306P-48S-S实现基于目的IP的流量信息(PPS/bps等)统计,发现异常流量,并将异常流量发给报文存储与分析系统,并与现有运营系统DevOps对接,实现自动化安全管控。