问题描述 现有全球 20 个机房,单机房出口峰值带宽 500Gbps ,业务网段采用 Anycast 方式全网统一宣告。 正常业务流量下流量可均匀分散至各节点,带宽资源利用率良好。
但遭遇 DDoS 攻击时存在明显缺陷:
若攻击者定向针对单一机房节点发起大流量攻击,该节点 500Gbps 带宽被快速打满后直接瘫痪不可用; 此时撤销攻击机房路由宣告,根据 BGP 选路原则流量会进入 19 个机房的其中一个,最终结果还是一样被打死,最终形成多米多骨牌;
请问该如何彻底解决该问题?
This topic created in 38 days ago, the information mentioned may be changed or developed.
 |
1
NewYear Apr 22
放弃这个架构。
自己调度节点会好点。 DDOS 的本质是伪造 IP ,互联网谁都不管伪造 IP 这个事,各个运营商接入商谁都闭着眼睛当做看不见,才导致成为了问题。 |
 |
2
jonathan001 OP @NewYear 自己调度节点也需要解决入口流量问题。不好搞。
|
|
3
NewYear Apr 22
|
|
4
jonathan001 OP @NewYear 我什么也没有,就像知道底层的运作原理,从而开开眼界。
|
 |
5
mytsing520 PRO CloudFlare 的边缘数据中心运作方式和你这个是一样的
|
|
6
jonathan001 OP @mytsing520 不知道他们是如何解决某一机房带宽被占满的情况。
|
|
7
mytsing520 PRO |
|
8
jonathan001 OP @mytsing520 那他们也没解决这个问题,只是带宽大硬抗
|
 |
9
garyalen Apr 26 via iPhone
要实现可调度的前提
20 个机房之间除了出口外还有独立链路互联 anycast 的情况正常是就近打进来 不应全压在一个机房的 这种情况你的 aspath 可能有问题 被打的情况一般应向上游发 666 黑洞 |
|
10
jonathan001 OP @lan894734188
anycast 的情况正常是就近打进来不应全压在一个机房的 这种情况你的 aspath 可能有问题 比如我某一个机房在 HK 宣告,又能没有可能黑客调用 HK 的所有肉鸡进行攻击?这样对于 anycast 能操作的空间非常有限,要么带宽够大可以扛住,要么直接发 666 给运营商直接黑洞,要么添加更长的 ASPATH 路由流量引入到其它机房,但是最终还是把流量交给一个特定机房,终归没有把流量全部打散到 20 个机房当中。 |
|
11
garyalen Apr 27 via iPhone
@jonathan001 你不能脱离业务去 anycast 呀 。20 个机房都广播了 1.1.1.1 的情况 20 个机房都有这个 IP 的服务的 而不是全回到一个机房
|
|
12
jonathan001 OP @lan894734188 你 20 个机房分配在不同省份,anycast 就近原则,山东省肯定访问山东的机房,如果黑客调用了山东大量肉鸡,是不是可以定点攻击山东机房?从原先的分布式攻击,到现在精准狙击,如果山东机房挂了,就会攻击北京机房,北京机房挂了就会攻击河北省最终形成多米诺骨牌,这种现象该如何解决?目前想到的是各个机房带宽只要足够大,就可以避免被定点攻击的情况,但是成本巨高。
|
|
13
garyalen Apr 28 via iPhone
@jonathan001 anycast 本身无法解决集中地区 dos 攻击 因为 ddos 的常以分布式多地点的形态出现 黑洞+清洗才是正解。
|
|
14
jonathan001 OP @lan894734188 了解,也就是我考虑的情况比较极端,同一个省份这么大的攻击流量,当地有关部门应该已经介入了。
|
|
15
garyalen Apr 28 via iPhone
@jonathan001 单地区 单运营商 出 100g 的量 noc 肯定看到了 还得写报告
|
Select Language