Anti-DDoS技术之引流回注介绍-6W100-整本手册.pdf

李华

572

1页

11次

2022-06-27

免费下载

 检测设备对镜像或采样（NetStream、sFlow）流量进行DDoS攻击检测

 检测设备发现DDoS攻击后将攻击信息上报管理中心

 管理中心向清洗设备下发防御策略和引流规则

 核心设备将DDoS攻击相关流量牵引至清洗设备进行清洗，丢弃其中的攻击

流量

 清洗设备将正常流量回注至核心设备

 核心设备继续将流量转发至原目的地址

抗DDoS

引流回注

技术介绍

技术简介

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

策略路由引流是一种静态引流方式，需要用

户在核心设备上配置策略路由，将外网侧接

口收到的访问被保护网络的流量转发至清洗

设备。

所有匹配策略路由的流量都将被转发至清洗

设备进行DDoS攻击清洗。

由于需要静态配置，且引流前无需经检测设

备进行检测，此引流方式适合对少量高危网

段进行全面防护。

MPLS LSP回注

回注技术

策略路由回注

GRE回注

二层回注

二层回注是一种静态回注方式。清洗设备通

过二层转发将正常流量回注至被保护网络。

用户需要预先获悉各被保护网段所处VLAN，

并在清洗设备上为不同VLAN分别创建回注

用VLAN接口。清洗设备利用该接口将正常

流量回注至与其VLAN ID相同的被保护网络。

此回注方式适用于二层组网环境，即清洗设

备可与被保护网络进行二层转发的场景。

策略路由回注是一种静态回注方式。回注步

骤如下：

1. 清洗设备利用静态路由，将正常流量转

发至核心设备。

2. 核心设备利用策略路由将回注口收到的

访问被保护网络的流量转发至汇聚设备。

需要在清洗设备和核心设备上为不同被保护

网段分别配置静态路由和策略路由。如果网

络拓扑发生变化，需要手工修改静态路由和

策略路由的配置。

此回注方式适用于网络拓扑稳定的三层组网

环境，且用户需要具备核心设备的配置权限。

GRE回注是一种静态回注方式，由清洗设备

通过GRE隧道将正常流量转发至汇聚设备。

清洗设备需要提前与不同汇聚设备分别建立

GRE隧道。如果网络拓扑发生变化，需要手

工修改GRE隧道配置。

此回注方式适用于汇聚设备较少、网络拓扑

稳定的三层组网环境。

MPLS LSP回注是一种动态回注方式。需

要提前在清洗设备、核心设备和汇聚设备三

者互联的接口上开启LDP功能动态建立

LSP。回注步骤如下：

1. 汇聚设备将抵达被保护网络的路由通过

BGP发布给清洗设备。

2. 清洗设备将该路由迭代到LSP后，通过

LSP将正常流量转发至汇聚设备。

由于LSP动态建立，且用户无需手工配置抵

达被保护网段的路由，此回注方式可以自动

适应网络拓扑变化，适用于网络拓扑多变的

三层组网环境。

此回注方式要求核心设备与汇聚设备均支持

MPLS功能。

策略路由引流

Anti-DDoS

Diversion & Injection

BGP引流是一种动态引流方式。引流步骤

如下：

1. 管理中心根据攻击信息自动生成引流路

由（Guard路由），并下发给清洗设备。

2. 清洗设备通过BGP向核心设备发布引

流路由。

3. 核心设备利用引流路由将DDoS攻击相

关流量转发至清洗设备。

仅目的为被攻击IP的报文会被转发至清洗设

备进行DDoS攻击清洗，其余无关流量无需

经过清洗设备。

此引流方式适合对海量IP进行精准防护。

BGP引流

引流技术

旁路部署模式下的抗DDoS系统需要通过引

流技术将DDoS攻击相关流量牵引至清洗设

备进行清洗，之后通过回注技术将正常流量

回送核心设备，将其转发至原目的地址。

抗DDoS系统支持多种引流和回注技术，用

户可根据不同部署场景和网络环境，将相应

引流技术与回注技术进行搭配。

 引流技术

 回注技术

攻击流量

正常流量

无关流量

管理流量

抗DDoS系统支持静态和动态两类回注技术。其中，静态回注技术的回注规则由用户手工配置，而动态回注技

术的回注规则由相关协议动态生成。

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

被保护网络

抗DDoS系统

引流/回注口

回注类型回注技术搭配引流技术搭配说明

静态回注

静态路由回注策略路由引流

采用策略路由引流方式时，核心设备外网侧接口应用的策略路由不会影响正

常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备

二层回注

BGP引流

采用BGP引流方式时，核心设备上存在下一跳为清洗设备的引流路由。抵达

核心设备的回注流量可能因引流路由的存在而被重复牵引至清洗设备，形成

环路。清洗设备需要通过二层回注、策略路由回注等方式，将正常流量送达

汇聚设备，使其不再匹配核心设备上的引流路由

策略路由回注

GRE回注

动态回注 MPLS LSP回注

• 策略路由引流

• BGP引流

• 静态路由回注

• 二层回注

• 策略路由回注

• GRE回注

• MPLS LSP回注

管理中心

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

被保护网络

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

Vlan-interface10

Vlan-interface20

被保护网络

VLAN 10

VLAN 20

二层转发

回注口

 检测设备对镜像或采样（NetStream、sFlow）流量进行DDoS攻击检测

 检测设备发现DDoS攻击后将攻击信息上报管理中心

 管理中心向清洗设备下发防御策略和引流规则

 核心设备将DDoS攻击相关流量牵引至清洗设备进行清洗，丢弃其中的攻击

流量

 清洗设备将正常流量回注至核心设备

 核心设备继续将流量转发至原目的地址

抗DDoS

引流回注

技术介绍

技术简介

新华三资料开发部出品

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品

策略路由引流是一种静态引流方式，需要用

户在核心设备上配置策略路由，将外网侧接

口收到的访问被保护网络的流量转发至清洗

设备。

所有匹配策略路由的流量都将被转发至清洗

设备进行DDoS攻击清洗。

由于需要静态配置，且引流前无需经检测设

备进行检测，此引流方式适合对少量高危网

段进行全面防护。

MPLS LSP回注

回注技术

策略路由回注

GRE回注

二层回注

二层回注是一种静态回注方式。清洗设备通

过二层转发将正常流量回注至被保护网络。

用户需要预先获悉各被保护网段所处VLAN，

并在清洗设备上为不同VLAN分别创建回注

用VLAN接口。清洗设备利用该接口将正常

流量回注至与其VLAN ID相同的被保护网络。

此回注方式适用于二层组网环境，即清洗设

备可与被保护网络进行二层转发的场景。

策略路由回注是一种静态回注方式。回注步

骤如下：

1. 清洗设备利用静态路由，将正常流量转

发至核心设备。

2. 核心设备利用策略路由将回注口收到的

访问被保护网络的流量转发至汇聚设备。

需要在清洗设备和核心设备上为不同被保护

网段分别配置静态路由和策略路由。如果网

络拓扑发生变化，需要手工修改静态路由和

策略路由的配置。

此回注方式适用于网络拓扑稳定的三层组网

环境，且用户需要具备核心设备的配置权限。

GRE回注是一种静态回注方式，由清洗设备

通过GRE隧道将正常流量转发至汇聚设备。

清洗设备需要提前与不同汇聚设备分别建立

GRE隧道。如果网络拓扑发生变化，需要手

工修改GRE隧道配置。

此回注方式适用于汇聚设备较少、网络拓扑

稳定的三层组网环境。

MPLS LSP回注是一种动态回注方式。需

要提前在清洗设备、核心设备和汇聚设备三

者互联的接口上开启LDP功能动态建立

LSP。回注步骤如下：

1. 汇聚设备将抵达被保护网络的路由通过

BGP发布给清洗设备。

2. 清洗设备将该路由迭代到LSP后，通过

LSP将正常流量转发至汇聚设备。

由于LSP动态建立，且用户无需手工配置抵

达被保护网段的路由，此回注方式可以自动

适应网络拓扑变化，适用于网络拓扑多变的

三层组网环境。

此回注方式要求核心设备与汇聚设备均支持

MPLS功能。

策略路由引流

Anti-DDoS

Diversion & Injection

BGP引流是一种动态引流方式。引流步骤

如下：

1. 管理中心根据攻击信息自动生成引流路

由（Guard路由），并下发给清洗设备。

2. 清洗设备通过BGP向核心设备发布引

流路由。

3. 核心设备利用引流路由将DDoS攻击相

关流量转发至清洗设备。

仅目的为被攻击IP的报文会被转发至清洗设

备进行DDoS攻击清洗，其余无关流量无需

经过清洗设备。

此引流方式适合对海量IP进行精准防护。

BGP引流

引流技术

旁路部署模式下的抗DDoS系统需要通过引

流技术将DDoS攻击相关流量牵引至清洗设

备进行清洗，之后通过回注技术将正常流量

回送核心设备，将其转发至原目的地址。

抗DDoS系统支持多种引流和回注技术，用

户可根据不同部署场景和网络环境，将相应

引流技术与回注技术进行搭配。

 引流技术

 回注技术

攻击流量

正常流量

无关流量

管理流量

抗DDoS系统支持静态和动态两类回注技术。其中，静态回注技术的回注规则由用户手工配置，而动态回注技

术的回注规则由相关协议动态生成。

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

被保护网络

抗DDoS系统

引流/回注口

回注类型回注技术搭配引流技术搭配说明

静态回注

静态路由回注策略路由引流

采用策略路由引流方式时，核心设备外网侧接口应用的策略路由不会影响正

常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备

二层回注

BGP引流

采用BGP引流方式时，核心设备上存在下一跳为清洗设备的引流路由。抵达

核心设备的回注流量可能因引流路由的存在而被重复牵引至清洗设备，形成

环路。清洗设备需要通过二层回注、策略路由回注等方式，将正常流量送达

汇聚设备，使其不再匹配核心设备上的引流路由

策略路由回注

GRE回注

动态回注 MPLS LSP回注

• 策略路由引流

• BGP引流

• 静态路由回注

• 二层回注

• 策略路由回注

• GRE回注

• MPLS LSP回注

管理中心

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

被保护网络

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

管理中心

汇聚设备

检测设备

Internet

核心设备

清洗设备

抗DDoS系统

Vlan-interface10

Vlan-interface20

被保护网络

VLAN 10

VLAN 20

二层转发

回注口

of 1

免费下载

h3c 数据安全

关注

评论