全部產品
Search

搜尋本產品

    Anti-DDoS:IDC代播防護概述

    文件中心

    Anti-DDoS:IDC代播防護概述

    更新時間:Nov 07, 2024

    IDC代播防護是針對非中國內地IDC伺服器遭遇DDoS攻擊時的解決方案,利用路由牽引方式將入方向流量重新導向到阿里雲全球Anycast清洗中心,對攻擊流量進行智能過濾後再將合法流量回注到網路中。本文介紹什麼是IDC代播防護。

    功能介紹

    IDC代播防護用於防護非中國內地的雲上或雲下IDC伺服器,可以根據公網網段實現DDoS防護。能夠抵禦常見的網路層、傳輸層DDoS攻擊,防護過程不需要改變原有業務IP地址和網路架構,防護能力最大可以到Tbps層級,適合為非中國內地的IDC伺服器、小型電訊廠商提供DDoS防護。

    IDC代播防護由攻擊檢測、流量代播、流量回注、防護報表四部分構成,具體說明如下:

    • 攻擊檢測。

      • 方式一:由客戶自行判斷

        業務異常或中斷時,由IDC營運人員對攻擊行為進行診斷分析,斷定該故障的確是由DDoS攻擊引起。例如,突然出現來自大量不同IP的極高流量,或者特定類型的資料包異常增多‌。被攻擊後需要IDC營運人員手動去流量安全控制台或通過API啟動代播。

      • 方式二:由代播執行個體判斷

        代播執行個體通過您上傳的NetFlow資料監測業務流量,當業務流量超過代播執行個體設定的閾值時,代播執行個體自動啟動代播防護。該方式僅支援阿里雲的雲上IDC,且僅支援特定協議,因此使用前請聯絡阿里雲技術支援人員。

        說明

        上傳到代播防護資料中心的NetFlow資料,需要您的路由器配置特定格式。NetFlow資料中通常包含源地址、目的地址、源連接埠、目的連接埠、協議類型、包數量、位元組數等資料。

    • 流量代播。

      攻擊發生時,清洗中心通過BGP協議向全球電訊廠商發布BGP更新路由通告,所有發送到被防護網段的入方向流量,會自動路由到流量清洗中心進行DDoS清洗。

    • 流量回注。

      當阿里雲清洗中心將異常流量清洗後,通過GRE隧道、交叉串連(Cross Connect)等串連方式回送到您的IDC。該流程基於TCP/IP協議OSI模型的2層或2.5層轉寄,因此避免流量直接回送到互連網之後,再次吸引回清洗中心,導致流量環路。

    • 防護報表。

      針對檢測和清洗的各種攻擊流量,提供豐富的攻擊日誌和報表統計功能,包括攻擊前流量資訊、清洗後流量資訊、攻擊流量大小等資訊,便於瞭解網路流量狀況。

    代播模式介紹

    IDC代播防護提供On-demand、Always-on兩種代播模式。

    On-demand

    在正常情況下,流量不會被重新導向到清洗中心,發生DDoS攻擊時才啟動代播防護,將流量牽引到清洗中心。但是,從檢測到攻擊到完全啟用防護之間可能會有短暫的時間視窗,在此期間,您的服務可能會受到一定程度的影響。這種方式適合於攻擊相對不是太頻繁的業務。

    On-demand模式根據防護次數不同,提供兩種執行個體:

    • 保險模式(2次/月):即每月2次防護次數,次數使用完後可以聯絡阿里雲支援人員,升級為無憂模式(不限次)。

    • 無憂模式(不限次):即每月無限次防護次數。

    啟動代播方式分為以下兩種:

    • 手動方式:IDC營運人員在流量安全控制台手動操作來啟動或停止代播。適用於對代播過程有較高控制要求的情境,IDC營運人員可以根據具體情況判斷是否需要啟動代播,對IDC營運人員的即時監控和響應能力要求較高。

    • 自動方式:代播執行個體根據預設的bps/pps閾值啟動代播,無需人工幹預。這種方式能夠快速響應觸發事件,減少人工操作的延遲和錯誤,但需要事先配置觸發代播的閾值。

    Always-on

    流量一直重新導向到清洗中心,受到攻擊時可以提供即時防護,但同時也意味著即使在沒有遭受攻擊的情況下,所有流量也會經歷額外處理步驟,延遲略有增加。Always-on模式擁有不限次的防護次數,成本也略高於On-demand模式,適合遭受攻擊頻率較高的業務。

    原理介紹

    以代播模式為On-demand,使用GRE隧道回注為例介紹。

    1. 在IDC的邊緣路由器與阿里雲清洗中心之間,配置GRE隧道並建立BGP對等關係(即通過BGP進行通訊和交換路由資訊的關係)。

    2. 當IDC的營運人員發現DDoS攻擊,或阿里雲代播執行個體檢測到攻擊時(已配置NetFlow自動開啟),啟動代播。

    3. 阿里雲清洗中心使用AS134963向全球開始宣告您要保護的網段。

    4. 理論上,入流量不再直接流向您的IDC的路由器,而是先轉由清洗中心清洗,通常所有流量會在兩三分鐘內完成重新選路生效。出方向流量則不會產生路徑變化,仍由您的IDC伺服器直接流向出口ISP。

    5. 如果您發現代播啟動後,入流量仍舊直接到達您的IDC,可以檢查RADB和RPKI是否生效,並檢查您是否和阿里雲清洗中心播發了同樣顆粒度的子網(例如您的IDC伺服器和阿里雲同時廣播1.1.XX.XX/24顆粒度網段),則您需要在IDC邊界路由器停止向互連網服務提供者(ISP)發送同樣顆粒度的BGP通告。

    6. 流量到達清洗中心後,當達到配置的清洗閾值流量會被清洗,過濾攻擊流量,並將清洗後的流量通過GRE隧道轉寄回您的IDC。

    7. 停止代播防護後,清洗中心不再宣告您的網路首碼。如果您的IDC在前置步驟中曾經停止向ISP發送新的BGP通告,務必先重新發布路由通告,再停止阿里雲代播。

    與DDoS高防的區別

    阿里雲提供的DDoS防護產品中,IDC代播防護以及DDoS高防都能防護雲上或雲下IDC,兩者有以下不同:

    • IDC代播防護主要抵禦發生在網路層(如ICMP Flood、UDP Flood等)和傳輸層(例如TCP SYN Flood)上的DDoS攻擊,而DDoS高防不僅涵蓋了上述兩個層面的安全保障,還支援防護應用程式層(比如HTTP/HTTPS Flood)的DDoS攻擊,提供了更全面的安全解決方案。

    • IDC代播防護主要是整個基礎設施層面的安全,能夠為使用者的網路提供基礎層級的防禦支援。DDoS高防則更加專註於保護特定的應用程式或者業務系統免受攻擊影響。