文档介绍：城域网 DDoS攻击的防护
福州电信分公司网络操作维护中心潘颖
[摘要] 分布式拒绝服务(DDoS)攻击是一种资源占用型的攻击行为,通过发出海量数据包,造成设备负载过高,最终导致
网络带宽或设备资源耗尽。当用户系统受到 DDoS攻击时,将用户流量牵引到异常流量清洗设备进行清洗,并将清洗后的正常
流量回注给用户,用户接收到的是正常的访问流量,从而实现 DDoS攻击防护。
[关键词] 分布式拒绝服务攻击防护技术
当ADS上配置对某个IP进行清洗时,ADS发布一条掩码
1 1 需求背景
,
目前,分布式拒绝服务 Service, of Denial (Distributed 走正常路径的流量转发到ADs,ADS将异常流量清洗后再将
DDoS)攻击日益严重地威胁着城域网用户。,
伪造的流量淹没服务器、网络链路和网络设备(路由器和防 SR设备。,因此只有
火墙等),造成整个系统的瘫痪。利用绿盟公司的异常流量进出城域网的流量才能得到清洗,城域网内部的攻击流量由
清洗设备 ADS4000对攻击流量进行牵引清洗,,故城域网内部的DDoS攻击流量无法得到
流量送回用户,可处理的 DDoS攻击类型主要有:Synflood, 清洗,目前DDoS攻击主要来自城域网外,城域网内异常流量
Udpflood,Icmp flood, Ackflood,HTTP Get flood。的清洗待后期项目建设。网络拓扑如下图所示:
2 可行性分析
福州电信城域网部署了1套清洗设备:1台ADS4000(以
下简称ADS)用于异常流量清洗(清洗能力4G,将来可根据
需要扩展清洗能力);()用
于维护管理。ADS采用单臂双挂部署方式,分别与枢纽、厂
,链路划分子接口实现单链路
流量牵引回注。,
上配置接受ADS发布BGP路由策略,通过LDP协议与ADS建
立LDP邻居,
洗流量的注入。异常流量发现有 2个途径:异常流量检测设备自动发现
当 DDoS攻击超过用户的链路带宽时,用户部署的防攻或者用户申告。城域网使用的异常流量检测设备为
击产品将无法进行防护,DDoS攻击流量甚至完全堵塞用户 NTG6169,NTG接收城域网 ,经分析如果
的链路,且目前市场上主流的防火墙、IDS/IPS、路由器等设发现有针对某个 IP的攻击流量,则发送 l条告警给 ADS,
备均不是专业的防 DDoS攻击设备,他们在设计原理中并没 ADS上配置成接受 NTG联动,ADS收到告警时自动触发目
有考虑针对 DDoS攻击的防护,在某些情况下,这些安全设标 IP的牵引清洗。如果是用户主动申告,则手工在 ADS上
备甚至成为 DDoS攻击的目标而导致整个网络陷入瘫痪。在配置用户路由并启用牵引。
城域网上部署的电信级抗 DDoS设备,不仅能够避免用户侧 3.