全部产品
Search
文档中心

DDoS 防护:IDC代播防护概述

更新时间:Nov 06, 2024

IDC代播防护是针对非中国内地IDC服务器遭遇DDoS攻击时的解决方案,利用路由牵引方式将入方向流量重定向到阿里云全球Anycast清洗中心,对攻击流量进行智能过滤后再将合法流量回注到网络中。本文介绍什么是IDC代播防护。

功能介绍

IDC代播防护用于防护非中国内地的云上或云下IDC服务器,可以根据公网网段实现DDoS防护。能够抵御常见的网络层、传输层DDoS攻击,防护过程不需要改变原有业务IP地址和网络架构,防护能力最大可以到Tbps级别,适合为非中国内地的IDC服务器、小型运营商提供DDoS防护。

IDC代播防护由攻击检测、流量代播、流量回注、防护报表四部分构成,具体说明如下:

  • 攻击检测。

    • 方式一:由客户自行判断

      业务异常或中断时,由IDC运维人员对攻击行为进行诊断分析,断定该故障的确是由DDoS攻击引起。例如,突然出现来自大量不同IP的极高流量,或者特定类型的数据包异常增多‌。被攻击后需要IDC运维人员手动去流量安全控制台或通过API启动代播。

    • 方式二:由代播实例判断

      代播实例通过您上传的NetFlow数据监测业务流量,当业务流量超过代播实例设置的阈值时,代播实例自动启动代播防护。该方式仅支持阿里云的云上IDC,且仅支持特定协议,因此使用前请联系阿里云技术支持人员。

      说明

      上传到代播防护数据中心的NetFlow数据,需要您的路由器配置特定格式。NetFlow数据中通常包含源地址、目的地址、源端口、目的端口、协议类型、包数量、字节数等数据。

  • 流量代播。

    攻击发生时,清洗中心通过BGP协议向全球运营商发布BGP更新路由通告,所有发送到被防护网段的入方向流量,会自动路由到流量清洗中心进行DDoS清洗。

  • 流量回注。

    当阿里云清洗中心将异常流量清洗后,通过GRE隧道、交叉连接(Cross Connect)等连接方式回送到您的IDC。该流程基于TCP/IP协议OSI模型的2层或2.5层转发,因此避免流量直接回送到互联网之后,再次吸引回清洗中心,导致流量环路。

  • 防护报表。

    针对检测和清洗的各种攻击流量,提供丰富的攻击日志和报表统计功能,包括攻击前流量信息、清洗后流量信息、攻击流量大小等信息,便于了解网络流量状况。

代播模式介绍

IDC代播防护提供On-demand、Always-on两种代播模式。

image

On-demand

在正常情况下,流量不会被重定向到清洗中心,发生DDoS攻击时才启动代播防护,将流量牵引到清洗中心。但是,从检测到攻击到完全启用防护之间可能会有短暂的时间窗口,在此期间,您的服务可能会受到一定程度的影响。这种方式适合于攻击相对不是太频繁的业务。

On-demand模式根据防护次数不同,提供两种实例:

  • 保险模式(2次/月):即每月2次防护次数,次数使用完后可以联系阿里云技术支持,升级为无忧模式(不限次)。

  • 无忧模式(不限次):即每月无限次防护次数。

启动代播方式分为以下两种:

  • 手动方式:IDC运维人员在流量安全控制台手动操作来启动或停止代播。适用于对代播过程有较高控制要求的场景,IDC运维人员可以根据具体情况判断是否需要启动代播,对IDC运维人员的实时监控和响应能力要求较高。

  • 自动方式:代播实例根据预设的bps/pps阈值启动代播,无需人工干预。这种方式能够快速响应触发事件,减少人工操作的延迟和错误,但需要事先配置触发代播的阈值。

Always-on

流量一直重定向到清洗中心,受到攻击时可以提供即时防护,但同时也意味着即使在没有遭受攻击的情况下,所有流量也会经历额外处理步骤,延迟略有增加。Always-on模式拥有不限次的防护次数,成本也略高于On-demand模式,适合遭受攻击频率较高的业务。

原理介绍

以代播模式为On-demand,使用GRE隧道回注为例介绍。

  1. 在IDC的边缘路由器与阿里云清洗中心之间,配置GRE隧道并建立BGP对等关系(即通过BGP进行通信和交换路由信息的关系)。

  2. 当IDC的运维人员发现DDoS攻击,或阿里云代播实例检测到攻击时(已配置NetFlow自动开启),启动代播。

  3. 阿里云清洗中心使用AS134963向全球开始宣告您要保护的网段。

  4. 理论上,入流量不再直接流向您的IDC的路由器,而是先转由清洗中心清洗,通常所有流量会在两三分钟内完成重新选路生效。出方向流量则不会产生路径变化,仍由您的IDC服务器直接流向出口ISP。

  5. 如果您发现代播启动后,入流量仍旧直接到达您的IDC,可以检查RADB和RPKI是否生效,并检查您是否和阿里云清洗中心播发了同样颗粒度的子网(例如您的IDC服务器和阿里云同时广播1.1.XX.XX/24颗粒度网段),则您需要在IDC边界路由器停止向互联网服务提供商(ISP)发送同样颗粒度的BGP通告。

  6. 流量到达清洗中心后,当达到配置的清洗阈值流量会被清洗,过滤攻击流量,并将清洗后的流量通过GRE隧道转发回您的IDC。

  7. 停止代播防护后,清洗中心不再宣告您的网络前缀。如果您的IDC在前置步骤中曾经停止向ISP发送新的BGP通告,务必先重新发布路由通告,再停止阿里云代播。

与DDoS高防的区别

阿里云提供的DDoS防护产品中,IDC代播防护以及DDoS高防都能防护云上或云下IDC,两者有以下不同:

  • IDC代播防护主要抵御发生在网络层(如ICMP Flood、UDP Flood等)和传输层(例如TCP SYN Flood)上的DDoS攻击,而DDoS高防不仅涵盖了上述两个层面的安全保障,还支持防护应用层(比如HTTP/HTTPS Flood)的DDoS攻击,提供了更全面的安全解决方案。

  • IDC代播防护主要是整个基础设施层面的安全,能够为用户的网络提供基础级别的防御支持。DDoS高防则更加专注于保护特定的应用程序或者业务系统免受攻击影响。