DDOS攻击时网络带宽保护案例分析.pdf

关键字：DDOS 攻击 网络带宽保护 黑洞路由 摘要：当数据中心的某台服务器遭受到 DDOS 网络攻击时，不但遭受攻击的服务器因资 源耗尽而无法提供正常的网络服务，同时由于 DDOS 攻击流量巨大，异常流量往往使数 据中心上行链路严重拥塞，从而导致整个数据中心的所有服务器都无法正常接入互联网。 此时为确保其他服务器可正常工作，可在数据中心出口路由器上将受攻击服务器的主机 地址加入黑洞路由，当攻击流量到达核心路由器后，相关攻击报文被丢弃，从而实现保 护数据中心上联电路带宽的目的。 案例正文： 背景 某大客户域用户投诉，反映接入互联网时延异常，同时丢包严重。 问题、事件描述 链路拥塞引发接入互联网故障 通过查看大客户域网管，并登陆大客户域核心设备，检查设备相关状态，发现设备 工作正常，设备上行流量比平时略高，但带宽利用率在合理范围内。当查看到大客户域 核心路由器下某数据中心接入链路群时，发现相关链路群链路带宽利用率达到 90%以上， 链路拥塞严重。对比之前相关链路的带宽利用率，初步判定是网络攻击引发了异常流量， 导致链路拥塞，从而造成该数据中心下接入用户无法正常接入互联网。 分析与对策 通过引流解决故障 通过进一步查看流量分析系统，发现该数据中心下某主机遭受了 DDOS 攻击，从 而造成该数据中心上行链路流量异常，链路发生拥塞。 为确保该数据中心其它服务器能正常接入，在沟通相关客户并取得客户同意后，维 护人员在大客户域核心路由器上做了该主机的主机黑洞路由，将到该主机的流量引入黑 洞丢弃。具体指令如下： IP ROUTE 124.160.X.X 255.255.255.255 NULL0 1 处理结果 链路带宽利用率恢复正常 在大客户域核心路由器上将相关攻击流量引入黑洞丢弃后，相关故障链路流量恢复 正常，链路带宽利用率降低到40%。相关数据中心接入主机接入互联网时延正常，PING 网关无丢包。 经验教训及推广 1. 数据中心大范围的主机接入质量恶化，大概率是由于接入链路拥塞引起。 2. 数据中心突发性链路拥塞，基本是由网络攻击引发。 3. 针对单主机的网络攻击，最有效的的应对措施是将攻击流量引入黑洞丢弃，从而 达到保护数据中心上行链路带宽的目的。 2