摘要:中国互联网企业发展迅猛,大家耳熟能详的企业都对网络完全非常重视,投资到位,管理得当。但这些企业依然有一个非常头疼的问题,就是DDOS攻击。 |
IDC通过两条专线连接到运营商网络(PE),一条是主用电路提供服务,另一条是清洗中心连接到运营商网络。当用户发现有攻击流量(如攻击TCP80端口)时,从用户端清洗中心向PE广播一条Flowroute,将流向服务器80端口的流量(不是所有数据流)重定向到清洗中心,经过清洗后,流量回送到服务器。如果用户受到的是ICM Pflood而导致主用电路拥塞,清洗中心可以广播一条Flowroute将所有ICMP协议的流量从主用电路上移走,重定向到清洗电路上,保证主用电路的带宽。
其次Flow Spec技术具有高效性。路由器上Flowroute会自动产生一个过滤列表,这个列表将作用于转发表,对所有接口都有效。如今路由器端口密度成倍增加,甚至可以达到1个路由器有上百个端口,如果用普通访问控制列表来防止DDOS攻击,将是一个巨大的工程。而对Flow Spec技术来说,不需要运营商针对攻击做任何配置。从运营流程上来说,也不需要运营商经过各种增减配置的审批流程。
当运营商和IDC达成某种信任关系,Flowroute可以通过BGP广播到运营商的所有边缘路由器(图中路由器A,路由器B),在边缘路由器上生成相同的Flowroute,每个边缘路由器都可以对攻击流进行阻止,如图3。这样分布式的攻击可以通过分布式防御手段来解决,真正做到在“千里之外”过滤DDOS攻击。
图3