死扛无限防御-DDoS/CC流量清洗

发表时间：2020-05-11 17:30:59 作者：编辑部 来源：游戏王国 浏览：次

在上一篇文章中，小编为您详细介绍了关于《丰巢超时收费，惹众怒的是快递柜涨价，还是包裹被快递员强制投递》相关知识。本篇中小编将再为您讲解标题死扛无限防御-DDoS/CC流量清洗。

原标题：死扛无限防御-DDoS/CC流量清洗

在高防服务器租用中，“宽带流量清洗解决方案”的实施，减轻了来自于DDoS攻击流量对城域网造成的压力，提升带宽利用的有效性;保护企业网络免受来自互联网的攻击，提高网络性能，实现其核心业务的永续，保障其核心竞争力。

高防服务器宽带流量清洗解决方案提供的服务包括：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。

宽带流量清洗解决方案主要分为三个步骤。

第一步，利用专用的检测设备对用户业务流量进行分析监控。

第二步，当用户遭受到DDoS攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心。

第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下：

解决方案涉及的关键技术包括对DDoS攻击的检测防御，对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面天下数据小编为大家分享的描述。

流量检测防御技术

流量清洗宽带流量清洗解决方案，流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。

DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计，完成用户流量模型的自学习，并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后，探测设备向专用的业务管理平台上报攻击事件。

DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和计算用户行为的单向防御技术，可以实现多层次安全防护，精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。

流量牵引技术

为了在用户的业务遭受DDoS攻击时，将用户的流量动态的牵引到流量清洗中心来进行清洗。流量清洗中心利用IBGP或者EBGP协议，首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时，流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性，确保清洗中心发布的路由不会被扩散到城域网，同时在流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。

流量回注技术

流量清洗系统支持丰富的网络协议和多种物理接口来实现将清洗后的流量重新注入到城域网。可以提供策略路由、MPLS VPN、二层透传、双链路等多种方式进行用户流量的回注。