DDoS流量清洗解决方案-2017年10月.docxVIP

DDoS流量清洗解决方案一、部署方式及方案实现DDoS流量清洗解决方案由异常流量分析系统和流量清洗系统组成，异常流量分析系统使用Netflow等方式对出口路由器流量数据进行采集，并对采集到的数据进行深入分析，发现DDoS异常流量后，将触发告警，并通知流量清洗系统。流量清洗系统接收到异常流量分析系统发送的通知后，通过路由技术（如BGP、OSFP等）对攻击流量进行牵引，然后对攻击流量进行识别与清洗，将攻击流量过滤，最后再使用路由技术（如策略路由、GRE等）将清洗后的正常流量回注到网络中，由此实现对DDoS异常流量的清洗和过滤。在部署方式上，异常流量分析系统只需要与出口路由器IP可达即可，不需要与出口路由器直接连接；流量清洗系统采用旁路部署方式，需要与出口路由器直接连接，以便于对DDoS异常流量进行牵引和回注。DDoS异常流量清洗步骤及过程如下图所示，绿色为正常流量，红色为DDoS异常流量，具体步骤和流程如下：在出口路由器上配置和启用Netflow，将Netflow数据发送给异常流量分析系统；异常流量分析系统对采集到的数据进行深入分析，判断是否有DDoS攻击流量发生；确定有DDoS攻击流量后，发送通知给流量清洗系统，流量清洗系统开启攻击防御，通过路由技术的应用，将原来去往被攻击目标IP的流量牵引至旁路部署的流量清洗系统，被牵引的流量为攻击流量与正常流量的混合流量，且仅对可疑流量进行牵引，