這樣就可以實現(xiàn)來自不同運營商的600G流量接入����,在確保數(shù)據(jù)采集的準確性和完整性的同時���,且不影響現(xiàn)有網(wǎng)絡的穩(wěn)定性和安全性���。
針對需求2的解決方案
被采集到的600G流量全部接入到網(wǎng)絡可視交換機后,數(shù)據(jù)中心的運維人員根據(jù)預先設置的規(guī)則將流量按照4個不同的B類地址�����,分配給不同的二層分流設備進行分析和統(tǒng)計�,每一個二層設備分析和統(tǒng)計64K地址。系統(tǒng)針對每個具體的DIP進行流量統(tǒng)計��,確保在海量數(shù)據(jù)中精確定位到被攻擊目的�。
針對需求3的解決方案
二層分流設備通過提供API將流量統(tǒng)計結(jié)果提供給DDoS系統(tǒng),在進行報文的深入檢測后將出現(xiàn)問題的流量發(fā)往后端的存儲系統(tǒng)�。同時,二層分流設備按照預先設置的策略�,將運營商特別關注的數(shù)據(jù)流量過濾出來,也發(fā)往后端的存儲系統(tǒng)���,做好日志存儲�,為后續(xù)的運維提供數(shù)據(jù)支持。報文分析系統(tǒng)從報文存儲系統(tǒng)中獲取需要進行分析的數(shù)據(jù)信息�,完成深度關聯(lián)分析工作。這樣有選擇性的流量存儲和分析�,可降低存儲系統(tǒng)和分析系統(tǒng)的負荷,避免不必要的流量對系統(tǒng)性能的損耗�����。
針對需求4的解決方案
部署方案中使用的兩層設備全部是騰銳Teraspek的網(wǎng)絡可視化產(chǎn)品�,均支持通過RESTful API實現(xiàn)與DDoS防御系統(tǒng)的對接�����。DDoS系統(tǒng)可直接下發(fā)規(guī)則給二層分流設備��,網(wǎng)絡可視化設備能夠根據(jù)下發(fā)的規(guī)則執(zhí)行流量的相關處理����。例如,當DDoS檢測到有一個攻擊流量���,DDoS會下發(fā)一個屏蔽該流量的策略路由到交換機��,交換機就會執(zhí)行屏蔽指令了���。
部署的優(yōu)點顯而易見�,可歸納為以下幾點:
– DIP檢測精準�、實時,基于全面詳實的數(shù)據(jù)�����,不漏過任何一次DDoS攻擊����;
– 所有檢測/統(tǒng)計事宜全部由AMF(ActionMessage Format,動作消息格式)自動完成��,后端運維僅僅通過API獲取最終數(shù)據(jù)即可��,無額外的編程�����、運維壓力��;
– 高密度���、高速率端口的組合��,超高的性價比�����;
– 按需����、橫向可擴展性,從64K DIP的容量開始���,按照項目進展、線路數(shù)量����、DIP數(shù)量按需橫向擴展AMF容量,降低一次性投入��,并且擴容不需要調(diào)整原有部署���;
– 性能無損的報文截短能力��,只為后端服務器提供報文頭信息����,提升整體系統(tǒng)性能,降低后端服務器的投資規(guī)模�,并且滿足合規(guī)要求(不保存、識別用戶的流量)�����。
名詞解釋
* DevOps(Development和Operations的組合詞)是一組過程�、方法與系統(tǒng)的統(tǒng)稱,用于促進開發(fā)(應用程序/軟件工程)���、技術運營和質(zhì)量保障(QA)部門之間的溝通����、協(xié)作與整合���。它是一種重視“軟件開發(fā)人員(Dev)”和“IT運維技術人員(Ops)”之間溝通合作的文化���、運動或慣例。透過自動化“軟件交付”和“架構(gòu)變更”的流程��,來使得構(gòu)建�����、測試、發(fā)布軟件能夠更加地快捷�����、頻繁和可靠���。
* DDoS(Distributed Denial of Service�,分布式拒絕服務)攻擊指借助于客戶/服務器技術�,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DDoS攻擊����,從而成倍地提高拒絕服務攻擊的威力。
