城域網DDoS攻擊的防護

潘 穎

城域網DDoS攻擊的防護

潘 穎

福州電信分公司網絡操作維護中心

分布式拒絕服務（DDoS）攻擊是一種資源占用型的攻擊行為，通過發出海量數據包，造成設備負載過高，最終導致網絡帶寬或設備資源耗盡。當用戶系統受到DDoS攻擊時，將用戶流量牽引到異常流量清洗設備進行清洗，并將清洗后的正常流量回注給用戶，用戶接收到的是正常的訪問流量，從而實現DDoS攻擊防護。

分布式拒絕服務 攻擊防護 技術

1 需求背景

目前，分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊日益嚴重地威脅著城域網用戶。DDoS攻擊通過偽造的流量淹沒服務器、網絡鏈路和網絡設備（路由器和防火墻等），造成整個系統的癱瘓。利用綠盟公司的異常流量清洗設備ADS4000對攻擊流量進行牽引清洗，清洗后的正常流量送回用戶，可處理的DDoS攻擊類型主要有：Syn flood，Udp flood，Icmp flood，Ack flood，HTTP Get flood。

2 可行性分析

福州電信城域網部署了1套清洗設備：1臺ADS4000（以下簡稱ADS）用于異常流量清洗（清洗能力4G，將來可根據需要擴展清洗能力）；1臺ADS-M600（以下簡稱ADS-M）用于維護管理。ADS采用單臂雙掛部署方式，分別與樞紐、廠巷的CRS-1設備的10G接口互聯,鏈路劃分子接口實現單鏈路流量牽引回注。ADS與CRS-1之間使用EBGP路由協議，CRS-1上配置接受ADS發布BGP路由策略，通過LDP協議與ADS建立LDP鄰居，CRS-1通過策略路由實現ADS對其下掛業務清洗流量的注入。

當DDoS攻擊超過用戶的鏈路帶寬時，用戶部署的防攻擊產品將無法進行防護，DDoS攻擊流量甚至完全堵塞用戶的鏈路，且目前市場上主流的防火墻、IDS/IPS、路由器等設備均不是專業的防DDoS攻擊設備，他們在設計原理中并沒有考慮針對DDoS攻擊的防護，在某些情況下，這些安全設備甚至成為DDoS攻擊的目標而導致整個網絡陷入癱瘓。……