什么是DDoS攻击?
DDoS攻击是一种常见的网络攻击行为,攻击者通过劫持大量的网络主机或服务器来攻击目标节点,达到消耗目标节点资源和带宽,使其无法正常工作或无法提供服务的目的。
DDoS攻击的特点
DDoS攻击具有以下特点:
• 大规模性:DDoS攻击一般由大量的主机(常为僵尸网络)协同攻击,攻击流量规模庞大。这使得目标服务器容易过载,并使其无法正常运行。
• 难以识别攻击源:攻击者利用多个来源地址发起攻击,使得攻击源难以识别。
• 持续性:DDoS攻击可以持续较长时间,可能几小时、几天甚至几个月。这对于目标受害者来说是极其致命的,往往造成重大的经济损失。
• 多种攻击方式:攻击者可以采用多种攻击方式,如SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击、HTTP POST请求攻击等。由于攻击方式多样化,难以预测。
• 难以防范:因为攻击者会不断变换DDoS攻击策略,网络安全人员需要不断更新和维护设备以适应不断变化的攻击方式,从而导致DDoS攻击难以完全防范。
• 高度匿名性:攻击者往往通过自主搭建的傀儡网络进行攻击,而且攻击者常使用匿名支付手段来隐藏其身份,几乎难以追溯。
关注DDoS攻击的原因
大中型企业和数据中心通常拥有庞大的网络资源,包括众多服务器、链路和网络设备。DDoS攻击通过生成大量的流量或请求,耗尽企业的网络资源,导致网络服务暂时或完全不可用,在极端情况下,可能导致整个网络系统瘫痪,为企业带来不可估量的损失。因此,采取有效的措施防范和应对各种DDoS攻击对保障企业网络安全至关重要。
DDoS攻击有哪些类型?
根据DDoS攻击的特点,DDoS攻击主要分为三种类型:资源消耗型、连接消耗型和带宽消耗型。
图1 DDoS攻击分类图
资源消耗型DDoS攻击
资源消耗型DDoS攻击是指,攻击者通过发送大量恶意数据流量,来占用目标服务器的计算资源和网络带宽,最终导致目标服务器耗尽资源、无法正常处理合法的请求或提供正常的服务。资源消耗型DDoS攻击通常是由多个攻击源同时发起的,攻击者通常会使用一些控制大量机器的技术,如僵尸网络或分布式拒绝服务攻击来隐藏攻击源的身份和位置。
表1 常见的资源消耗型DDoS攻击
资源消耗型DDoS攻击 | DDoS攻击对象 |
DNS query泛洪攻击 | DNS服务器 |
DNS reply泛洪攻击 | DNS客户端 |
泛洪攻击 | 支持协议的Web |
HTTPS泛洪攻击 | 支持协议的Web |
SIP泛洪攻击 | VoIP服务器 |
慢速攻击 | 支持协议的Web |
SSL重协商攻击 | 支持SSL协议的Web服务器和应用服务器 |
连接消耗型DDoS攻击
连接消耗型DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST等报文发起的DDoS攻击,意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。
连接消耗型DDoS攻击是一种利用网络层协议的连接建立过程对目标服务器发起的攻击方式。攻击者通过大量的无效连接请求占用目标服务器的连接队列和资源,从而使得合法的用户请求无法被处理,最终导致目标服务器的服务不可用或性能严重下降。
表2 常见的连接消耗型DDoS攻击
连接消耗型DDoS攻击 | DDoS攻击对象 |
SYN泛洪攻击 | 任何支持TCP协议的服务器 |
SYN-ACK泛洪攻击 | 支持TCP协议的客户端 |
ACK泛洪攻击 | 任何支持TCP协议的服务器 |
RST泛洪攻击 | 任何支持TCP协议的服务器 |
TCP分片泛洪攻击 | 任何支持TCP协议的服务器 |
带宽消耗型DDoS攻击
带宽消耗型DDoS攻击指的是攻击者通过发送海量无用请求或恶意数据流量给目标服务器,以占用其带宽和计算资源。此类攻击的主要目的是耗尽服务器资源,阻止其处理合法请求或正常提供服务。带宽消耗型DDoS攻击是DDoS攻击中最常见的一种。
• 在带宽消耗型DDoS攻击中,攻击者通常控制众多的僵尸计算机,从而生成大量的数据流量,向目标服务器发起攻击。攻击者会使用一些特定的工具或脚本自动生成大量的请求并同时将这些请求发送到目标服务器的多个端口,从而使得目标服务器无法正常处理请求流量。
• 攻击者通常会选择使用UDP和ICMP等协议来发起攻击,因为这两种协议不需要建立像TCP那样的连接,从而使得攻击者可以在短时间内构建大量攻击流量。攻击者也会使用特别设计的攻击工具,来增加攻击流量和速率,将目标服务器带宽和计算资源耗尽。
表3 常见的带宽消耗型DDoS攻击
带宽消耗型DDoS攻击 | DDoS攻击对象 |
UDP泛洪攻击 | 任何支持UDP协议的服务器 |
UDP分片泛洪攻击 | 任何支持UDP协议的服务器 |
ICMP泛洪攻击 | 任何支持ICMP协议的服务器 |
ICMP分片泛洪攻击 | 任何支持ICMP协议的服务器 |
IP流量攻击 | 任何类型的服务器 |
抗DDoS攻击如何工作?
三大组件,协同联动
为了监测和防范DDoS攻击,H3C设计推出了抗DDoS系统。抗DDoS系统包含管理中心、检测设备和清洗设备三大组件,三者联动执行DDoS攻击检测与防范任务。
图2 抗DDoS系统简介图
检测设备、管理中心和清洗设备三大组件搭配多重检测与清洗技术,共同组成多应用场景下的综合性抗DDoS攻击解决方案,可针对各类DDoS攻击进行高效防范。
检测设备、管理中心和清洗设备分别负责DDoS攻击检测、设备管理和DDoS攻击流量清洗,责任清晰、目标明确。
• 检测设备:负责从网络流量中检测DDoS攻击,将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。
• 管理中心:是DDoS攻击检测与防范框架的中枢,提供基于Web的管理界面,具有如下功能。
ο 对DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理。
ο 对DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析。
ο 向旁路模式部署的DDoS攻击清洗设备下发引流策略。
ο 提供DDoS攻击检测与防范统计信息的可视化展示。
• 清洗设备:提供多重清洗手段,对DDoS攻击流量执行丢弃、限速等操作。
图3 三大组件搭配多重检测与清洗技术综合概览图
抗DDoS攻击部署模式
旁路部署和串联部署两种系统部署模式,可灵活应对不同业务场景下的DDoS攻击防御需求。
旁路部署模式
检测设备与清洗设备均旁路部署于网络出口处的核心设备旁,由管理中心统一进行配置、管理和监控。旁路部署模式具备如下特点:
• 检测设备与清洗设备分别进行DDoS攻击检测与清洗任务,运行高效。
• 设备旁路部署于网络出口,对现网拓扑以及其它业务性能影响小,且设备故障不会造成网络瘫痪。
• 清洗设备仅对DDoS攻击相关流量进行清洗,防护精准。
旁路部署模式适用于需要应对大流量DDoS攻击的场景,如数据中心防护。
串联部署模式
清洗设备作为网关设备直接部署在内部网络的出口处,由管理中心对其进行配置、管理和监控。串联部署模式具备如下特点:
• 无需部署检测设备,组网简单。
• 清洗设备作为网关设备直接部署在内部网络的出口处,可直接对检测到的DDoS攻击流量执行清洗操作,响应迅速;清洗设备对所有进出网络的流量进行处理,可能造成性能瓶颈。
• 管理中心对清洗设备进行配置、管理和监控。
串联部署模式适用于仅需应对中小流量DDoS攻击的场景,如中小企业网防护。
图4 抗DDoS系统部署模式示意图
DDoS攻击流量检测技术
H3C提供了深度报文检测和深度流检测两种DDoS攻击检测模式,对流经网络的流量进行DDoS攻击检测,用于满足不同流量场景下对DDoS攻击检测与防范的不同需求。
深度报文检测
深度报文检测是一种网络流量分析技术,通过深入分析数据包的内容和头部信息,以便更全面地了解网络流量中的应用、协议和 Payload,深度报文检测技术可以通过检查报文中的细节来识别协议类型、应用程序、数据内容、流量特征等。
配置了深度报文检测功能后,首先要对进入网络的所有流量进行DDoS攻击检测。
• 在串联部署方案中,由于网关具有检测功能,因此网关会直接对进入的所有业务流量进行DDoS攻击检测。
• 在旁路部署方案中,网络核心设备利用端口镜像对流经网络核心设备的流量进行1:1复制,发送到专用的检测设备对镜像流量实施DDoS攻击检测。
采用深度报文检测时,检测设备要对所有的网络流量检测,在网络流量大的情况下检测设备的工作量会很大、对检测设备的处理能力要求高,所以深度报文检测适用于需要精细化DDoS攻击检测的小流量场景或需要执行报文应用层检测的场景(如中小企业网)。
深度流检测
深度流检测是一种高级网络流量分析技术,通过深入分析数据包的内容和头部信息,用于对网络流量进行深度分析和处理,识别应用层协议、进行流量分析、实施策略匹配等操作。
配置了深度流检测功能后,检测设备会利用诸如Netflow、Netstream和sFlow等流量统计技术对流经网络核心设备的流量进行1:N采样,将采样结果使用流量统计报文封装,发送至检测设备实施DDoS攻击检测。流量统计报文作为真实网络流量的概要,包含报文目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、报文长度等信息,但不包含报文的应用层信息,因此该检测模式适用于仅需粗粒度DDoS攻击检测的大流量场景(如城域网等)。
DDoS攻击流量清洗技术
抗DDoS系统利用多重复合清洗技术逐步过滤DDoS攻击流量。各清洗技术的处理顺序如下图所示:
图5 核心清洗技术处理顺序示意图
黑白名单
黑名单与白名单是一种常见的基于IP地址的访问控制手段。采用黑白名单后,在确保防御效果的同时,会提升清洗设备的防御效率。黑名单与白名单表项由用户手工添加,或由其它清洗技术触发生成。
• 黑名单:将攻击源的IP地址加入黑名单,防止其流量继续对目标主机造成影响。清设备对匹配黑名单表项的流量直接丢弃,不再进行后续环节的检测分析。
• 白名单:将信任源的IP地址加入白名单。设备放行源IP地址匹配白名单表项的报文,后续仅对其进行限速处理,不会经由其它过滤单元处理。
图6 黑白名单流量清洗示意图
过滤器
过滤器是一组报文匹配规则,基于多种报文属性定义,能对报文进行精细化过滤。清洗设备可对匹配过滤器的报文执行丢弃、限速等操作。过滤器允许用户手工指定一系列报文匹配规则进行报文过滤。用户可利用报文协议、端口号、IP地址以及其他的协议独有字段构造报文匹配规则,以达成细粒度、精细化的报文过滤。过滤器分为通用过滤器配置和专用过滤器:
• 通用过滤器:基于通用报文字段进行过滤,包含的报文属性有:报文源IP地址、目的IP地址、DSCP字段、TTL字段、分片情况和报文长度等。
• 专用过滤器:基于各协议报文专有属性进行过滤,支持的协议有:TCP、UDP、DNS、和SIP。
图7 过滤器流量清洗示意图
指纹防护
数据报文的网络层和传输层头部中有很多字段,包括报文长度、TTL、源和目的端口等,这些字段以及报文载荷中的一些信息具有一定的统计特征,称为指纹。例如位于报文首部第21-23字节区域的字符串“abc”。指纹可由用户手工指定,或者由清洗设备通过统计攻击报文的特征来自动学习。
指纹防护功能基于指纹防护策略实现,通过对指纹特征的学习和匹配,对匹配指纹特征的报文进行过滤、限速等操作,可以有效防范诸如UDP泛洪攻击等流量型DDoS攻击。清洗设备提供两种指纹特征建立方式,手工指定指纹和指纹自学习。
• 手工指定指纹:手工指定指纹的所有特征,包括指纹的内容、指纹在IP报文头中的偏移量以及指纹长度。
• 指纹自学习,手工指定指纹在IP报文头中的偏移量及指纹长度,不指定具体的指纹内容,由清洗设备自动分析并学习报文首部以及载荷部分的统计学特征,即报文指纹,据此高效识别攻击报文。
图8 指纹自学习示意图
源验证
启用源验证功能后,清洗设备将代替被访问者响应访问者发来的连接请求,以防范连接消耗型DDoS攻击和资源消耗型DDoS攻击。在源验证过程中,由清洗设备主动向访问者发起验证:如果访问者向清洗设备回应了合法的应答信息,则通过验证;否则,清洗设备将会拒绝来自访问者的后续流量。
图9 源验证原理示意图
报文限速
报文限速用来限制访问指定IP地址的特定类型报文的速率,以防范针对目标地址的DDoS攻击。如果访问流量超过了限定的速率,清洗设备将丢弃流量中超出的部分。
配置报文限速后,清洗设备会对发往DDoS攻击防护对象内IP地址的指定类型的报文进行限速,将向每个IP地址发送该类型报文的最大速率限制为指定值,超出速率上限的报文将被设备丢弃。
抗DDoS系统支持对多种类型报文进行限速:
• 首先进行TCP、UDP、ICMP和其他报文类型的速率限制,再进行TCP分片报文、UDP分片报文和ICMP分片报文的速率限制,最后进行IP报文的总速率限制。
• 若同时配置某类型报文与其分片报文的限速阈值,建议将分片报文限速阈值配置为更小的值。
DDoS攻击流量引流回注技术
旁路部署模式下的抗DDoS系统需要通过引流技术将DDoS攻击相关流量牵引至清洗设备进行清洗,之后通过回注技术将正常流量回送核心设备,由核心设备将其转发至原目的地址。
• 引流技术:
ο 抗DDoS攻击引流技术包括静态引流(策略路由引流)和动态引流(BGP引流)两种技术。
ο 清洗设备上往往同时存在静态引流与动态引流配置,以满足差异化的DDoS攻击检测与防范需求。
• 回注技术:旁路模式下,由于核心设备提前学习到了引流路由,可能造成回注流量被重复引流至清洗设备,形成路由环路。为避免此现象,清洗设备可通过如下多种方式,将正常流量回注至原网络中,继续转发至被保护网络。
ο 静态回注技术的回注规则由用户手工配置,静态回注技术包括:静态路由回注、二层回注、策略路由回注、GRE回注。
ο 动态回注技术的回注规则由相关协议动态生成,动态回注技术包括:MPLS LSP回注。
用户可根据不同部署场景和网络环境,将相应引流技术与回注技术进行搭配。抗DDoS系统支持的引流和回注技术以及它们的搭配情况如下表。
表4 引流与回注技术配合使用情况
回注类型 | 回注技术 | 搭配引流技术 | 搭配说明 |
静态回注 | 静态路由回注 | 策略路由引流 | 采用策略路由引流方式时,核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备 |
二层回注 | BGP引流 | 采用BGP引流方式时,核心设备上存在下一跳为清洗设备的引流路由。抵达核心设备的回注流量可能因引流路由的存在而被重复牵引至清洗设备,形成环路。清洗设备需要通过二层回注、策略路由回注等方式,将正常流量送达汇聚设备,使其不再匹配核心设备上的引流路由 | |
策略路由回注 | |||
GRE回注 | |||
动态回注 | MPLS LSP回注 |
策略路由引流
策略路由引流是一种静态引流方式,需要用户在核心设备上配置策略路由,将外网侧接口收到的访问被保护网络的流量转发至清洗设备。所有匹配策略路由的流量都将被转发至清洗设备进行DDoS攻击清洗。
策略路由需要静态配置,且引流前无需经检测设备进行检测,此引流方式适合对重点防护目标进行全面的DDoS攻击防范。
图10 策略路由引流示意图
BGP引流
BGP引流是一种动态引流方式。仅被攻击IP的报文会被转发至清洗设备进行DDoS攻击清洗,其余无关流量无需经过清洗设备,提高设备的处理效率。此引流方式适合对海量IP进行精准防护。引流步骤如下:
(1) 管理中心根据攻击信息自动生成引流路由(Guard路由),并下发给清洗设备。
(2) 清洗设备通过BGP向核心设备发布引流路由。
(3) 核心设备利用引流路由将DDoS攻击相关流量转发至清洗设备。
图11 BGP引流示意图
静态路由回注
静态路由回注是一种静态回注方式,采用策略路由引流方式时,核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备。
图12 静态路由回注示意图
二层回注
二层回注是一种静态回注方式。清洗设备通过二层转发将正常流量回注至被保护网络。
用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。此回注方式适用于二层组网环境,即清洗设备可与被保护网络进行二层转发的场景。
图13 二层回注示意图
策略路由回注
策略路由回注是一种静态回注方式。需要在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由。如果网络拓扑发生变化,需要手工修改静态路由和策略路由的配置。此回注方式适用于网络拓扑稳定的三层组网环境,且用户需要具备核心设备的配置权限。回注步骤如下:
(1) 清洗设备利用静态路由,将正常流量转发至核心设备。
(2) 核心设备利用策略路由将回注口收到的访问被保护网络的流量转发至汇聚设备。
图14 策略路由回注示意图
GRE回注
GRE回注是一种静态回注方式,由清洗设备通过GRE隧道将正常流量转发至汇聚设备。清洗设备需要提前与不同汇聚设备分别建立GRE隧道。如果网络拓扑发生变化,需要手工修改GRE隧道配置。此回注方式适用于汇聚设备较少、网络拓扑稳定的三层组网环境。
图15 GRE回注示意图
MPLS LSP回注
MPLS LSP回注是一种动态回注方式。清洗设备向核心设备回注携带MPLS标签的正常流量,核心设备基于MPLS标签进行转发,转发的优先级高于引流路由的优先级,从而使报文转发至汇聚设备,再由其传递至报文的原目的地。MPLS LSP回注需要核心设备和汇聚设备均支持MPLS功能。需要提前在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP。
由于LSP动态建立,且用户无需手工配置抵达被保护网段的路由,因此适用于汇聚设备较多,被保护网段比较分散的场景。
MPLS LSP回注对网络拓扑变化不敏感、可以自动适应网络拓扑变化,可拓展性强,便于维护,因此适用于网络拓扑多变的三层组网环境。
MPLS LSP回注步骤如下:
(1) 汇聚设备将抵达被保护网络的路由通过BGP发布给清洗设备。
(2) 清洗设备将该路由迭代到LSP后,通过LSP将正常流量转发至汇聚设备。
图16 MPLS LDP回注示意图
抗DDoS攻击有哪些典型组网应用?
H3C提供了多种抗DDoS攻击典型组网方案,用户可根据实际的业务需求,选择适合的组网方案。
说明:在下文的典型应用组网图中,AFC(Abnormal Flow Cleaning)表示异常流量清洗设备,AFD (Abnormal Flow Detection)表示异常流量检测设备。
串联模式部署方案
适用场景
串联模式部署方案适用于中小流量DDoS攻击的场景,如中小企业网防护。
典型组网
Host所在网络出口带宽较小(约为1~2G),且网络出口的核心设备不允许旁路部署其他设备。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,抗DDoS系统的部署如下:
• 在Host所在网络出口以串联方式部署清洗设备,对双向流量进行实时DDoS攻击防护
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 将清洗设备的上下游接口统一配置为二层模式,不改变三层网络拓扑。
图17 串联模式部署方案组网图
旁路模式静态路由回注部署方案
适用场景
旁路模式静态路由回注部署方案适用于需要对重点防护目标进行全面实时的DDoS攻击防范的场景,可应对大流量DDoS攻击。
典型组网
核心设备Switch A与汇聚设备Switch B均为交换机。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况,抗DDoS系统的部署具体要求如下:
• 通过旁路部署抗DDoS系统,降低引入网络故障的概率。
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 在核心设备上配置策略路由,将外网侧接口收到的访问被保护网络的流量转发至清洗设备。
• 在清洗设备上配置静态路由,将正常流量回注送达核心设备。
图18 旁路模式静态路由回注部署方案组网图
旁路模式二层回注部署方案
适用场景
旁路模式二层回注部署方案适用于需要应对大流量DDoS攻击,且抗DDoS系统与被保护网络间只有二层转发设备,而没有三层转发设备的场景。
典型组网
核心设备SwitchA与汇聚设备Switch B均为交换机,网络下游为二层部署。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况,抗DDoS系统的部署具体要求如下:
• 通过旁路部署抗DDoS系统,降低引入网络故障的概率。
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
• 用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。
图19 旁路模式二层回注部署方案组网图
旁路模式策略路由回注部署方案
适用场景
旁路模式策略路由回注部署方案适用于需要应对大流量DDoS攻击,被保护网段地址较少且下游汇聚设备较少,网络拓扑稳定的三层组网环境。
典型组网
Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,被保护业务地址段聚合度较高。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况,抗DDoS系统的部署具体要求如下:
• 通过旁路部署抗DDoS系统,降低引入网络故障的概率。
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
• 用户需要手工在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由,将正常流量回注送达汇聚设备。
图20 旁路模式策略路由回注部署方案组网图
旁路模式GRE回注部署方案
适用场景
旁路模式GRE回注部署方案适用于需要应对大流量DDoS攻击,且汇聚设备较少,网络拓扑稳定的三层组网环境。
典型组网
Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,且设备不支持MPLS功能。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况,抗DDoS系统的部署具体要求如下:
• 通过旁路部署抗DDoS系统,降低引入网络故障的概率。
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
• 用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道,将正常流量回注送达汇聚设备。
图21 旁路模式GRE回注部署方案组网图
旁路模式MPLS LSP回注部署方案
适用场景
旁路模式MPLS LSP回注部署方案适用于需要应对大流量DDoS攻击,且汇聚设备较多、被保护网段比较分散、网络拓扑多变的三层组网环境的场景。
典型组网
Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较多、被保护网段比较分散,且设备支持MPLS功能。需要通过部署抗DDoS系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况,抗DDoS系统的部署具体要求如下:
• 通过旁路部署抗DDoS系统,降低引入网络故障的概率。
• 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
• 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
• 在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP,将正常流量回注送达汇聚设备。
图22 旁路模式MPLS LSP回注部署方案组网图
期待您的一键三连支持(点赞、在看、分享~)