IDC代播防護是針對非中國內地IDC伺服器遭遇DDoS攻擊時的解決方案,利用路由牽引方式將入方向流量重新導向到阿里雲全球Anycast清洗中心,對攻擊流量進行智能過濾後再將合法流量回注到網路中。本文介紹什麼是IDC代播防護。
功能介紹
IDC代播防護用於防護非中國內地的雲上或雲下IDC伺服器,可以根據公網網段實現DDoS防護。能夠抵禦常見的網路層、傳輸層DDoS攻擊,防護過程不需要改變原有業務IP地址和網路架構,防護能力最大可以到Tbps層級,適合為非中國內地的IDC伺服器、小型電訊廠商提供DDoS防護。
IDC代播防護由攻擊檢測、流量代播、流量回注、防護報表四部分構成,具體說明如下:
攻擊檢測。
業務異常或中斷時,由IDC營運人員對攻擊行為進行診斷分析,斷定該故障的確是由DDoS攻擊引起。例如,突然出現來自大量不同IP的極高流量,或者特定類型的資料包異常增多。被攻擊後需要IDC營運人員手動去流量安全控制台或通過API啟動代播。
流量代播。
攻擊發生時,清洗中心通過BGP協議向全球電訊廠商發布BGP更新路由通告,所有發送到被防護網段的入方向流量,會自動路由到流量清洗中心進行DDoS清洗。
流量回注。
當阿里雲清洗中心將異常流量清洗後,通過GRE隧道、交叉串連(Cross Connect)等串連方式回送到您的IDC。該流程基於TCP/IP協議OSI模型的2層或2.5層轉寄,因此避免流量直接回送到互連網之後,再次吸引回清洗中心,導致流量環路。
防護報表。
針對檢測和清洗的各種攻擊流量,提供豐富的攻擊日誌和報表統計功能,包括攻擊前流量資訊、清洗後流量資訊、攻擊流量大小等資訊,便於瞭解網路流量狀況。
代播模式介紹
IDC代播防護提供On-demand、Always-on兩種代播模式。
On-demand
在正常情況下,流量不會被重新導向到清洗中心,發生DDoS攻擊時由IDC營運人員手動啟動代播防護,將流量牽引到清洗中心。但是,從檢測到攻擊到完全啟用防護之間可能會有短暫的時間視窗,在此期間,您的服務可能會受到一定程度的影響。這種方式適合於攻擊相對不是太頻繁的業務。
On-demand模式根據防護次數不同,提供兩種執行個體:
保險模式(2次/月):即每月2次防護次數,次數使用完後可以聯絡阿里雲支援人員,升級為無憂模式(不限次)。
無憂模式(不限次):即每月無限次防護次數。
Always-on
流量一直重新導向到清洗中心,受到攻擊時可以提供即時防護,但同時也意味著即使在沒有遭受攻擊的情況下,所有流量也會經歷額外處理步驟,延遲略有增加。Always-on模式擁有不限次的防護次數,成本也略高於On-demand模式,適合遭受攻擊頻率較高的業務。
原理介紹
以代播模式為On-demand,使用GRE隧道回注為例介紹。
在IDC的邊緣路由器與阿里雲清洗中心之間,配置GRE隧道並建立BGP對等關係(即通過BGP進行通訊和交換路由資訊的關係)。
當IDC的營運人員發現DDoS攻擊時,啟動代播。
阿里雲清洗中心使用AS134963向全球開始宣告您要保護的網段。
理論上,入流量不再直接流向您的IDC的路由器,而是先轉由清洗中心清洗,通常所有流量會在兩三分鐘內完成重新選路生效。出方向流量則不會產生路徑變化,仍由您的IDC伺服器直接流向出口ISP。
如果您發現代播啟動後,入流量仍舊直接到達您的IDC,可以檢查RADB和RPKI是否生效,並檢查您是否和阿里雲清洗中心播發了同樣顆粒度的子網(例如您的IDC伺服器和阿里雲同時廣播1.1.XX.XX/24顆粒度網段),則您需要在IDC邊界路由器停止向互連網服務提供者(ISP)發送同樣顆粒度的BGP通告。
流量到達清洗中心後,當達到配置的清洗閾值流量會被清洗,過濾攻擊流量,並將清洗後的流量通過GRE隧道轉寄回您的IDC。
停止代播防護後,清洗中心不再宣告您的網路首碼。如果您的IDC在前置步驟中曾經停止向ISP發送新的BGP通告,務必先重新發布路由通告,再停止阿里雲代播。
與DDoS高防的區別
阿里雲提供的DDoS防護產品中,IDC代播防護以及DDoS高防都能防護雲上或雲下IDC,兩者有以下不同:
IDC代播防護主要抵禦發生在網路層(如ICMP Flood、UDP Flood等)和傳輸層(例如TCP SYN Flood)上的DDoS攻擊,而DDoS高防不僅涵蓋了上述兩個層面的安全保障,還支援防護應用程式層(比如HTTP/HTTPS Flood)的DDoS攻擊,提供了更全面的安全解決方案。
IDC代播防護主要是整個基礎設施層面的安全,能夠為使用者的網路提供基礎層級的防禦支援。DDoS高防則更加專註於保護特定的應用程式或者業務系統免受攻擊影響。