解决 IDC 遭受 DDoS 攻击困扰
随着业务规模扩大,机房近期频繁遭受大流量DDoS攻击(10-50G量级),机房总带宽被打满,导致机房业务受到影响,受攻击用户无相似特征。如何在遭受到大于机房总带宽攻击时避免机房其他用户受到影响,今天我们就一起来看看吧!
1、项目背景
该项目位于某市级BGP IDC机房,机房客户多为Web业务,遭受小流量攻击(10G量级)较为频繁,针对这一现象在IDC机房核心交换机旁路部署ADS系统,牵引异常流量清洗后进行回源,该清洗方案在此不再展开。
随着业务规模扩大,该机房近期频繁遭受大流量DDoS攻击(10-50G量级),机房总带宽被打满,导致机房业务受到影响,受攻击用户无相似特征,怀疑同行恶意竞争导致。
2、项目需求
在遭受到大于机房总带宽攻击时可以牺牲受攻击用户的连通性来避免机房其他用户受到影响。
3、项目所使用技术
BGP Blackhole (BGP黑洞路由)
简要拓扑如下:
拓扑描述:
拓扑为简要逻辑拓扑,该IDC机房位于市级接入,接入总带宽20G,市级到IDC使用ECMP做负载,自有IP通过与省骨干网建立BGP Neighbor发布,该市级与省级骨干互联带宽充足,设备均为华为NE系列。
4、方案构思
通过与市级骨干建立私有BGP邻居关系,当ADS系统检测到攻击时通过BGP发布32位掩码路由,市级设备受到该路由后把该路由指向NULL0。
5、方案配置
为避免主要IP地址泄露,以下配置均为重新编址:
| IDC | 市级骨干 | |
| ASN | 65001 | 65002 |
| local-address | 1.1.1.1 | 2.2.2.2 |
| network | 10.0.0.0/24 | |
| community | 65001:65002 | 65001:65002 |
| blackhole tag | 333 | |
| blackhole community | 333:333 | 333:333 |
IDC 核心
1 | bgp 65001 |
市级骨干配置
1 | bgp 65002 |
查看正常情况下市级设备路由
IDC CORE发布32位路由
1 | ip route-static 10.0.0.3 255.255.255.255 NULL0 tag 333 |
查看市级设备路由
查看市级设备FIB表
由以上输出可知,当IDC ADS设备检测到攻击流量超过一定阈值后只需要向IDC核心设备下发一条Tag333的黑洞路由就可以实现在市级设备进行IP封堵,避免异常流量进入IDC对整体业务造成影响。