在你自己的網路內部偵測並阻擋 DDoS 攻擊
網路內 DDoS 防護直接在路由器上、於網路邊緣偵測並緩解攻擊,而非將流量導向路徑外的清洗中心。IP Infusion 將其整合為單一系統交付:運行 OcNOS 並搭配 BGP FlowSpec 與 RTBH 的開放式交換器與路由器,並在單一合約下提供支援。sFlow 遙測資料饋入 FastNetMon 偵測引擎,該引擎再將 FlowSpec 或 RTBH 規則推送回路由器,於 ASIC 中以線速進行過濾。
從檢測到緩解僅需數秒。
架構簡介與部署應用說明:既包含高層全景,也包含在 OcNOS 上配合 FastNetMon 配置 BGP Flowspec 和 RTBH 的分步配置。
在邊緣以硬體過濾攻擊流量,無需引導流量繞行。
執行 OcNOS 的路由器在原本就承載該客戶的設備上丟棄攻擊流量,因此每個封包都維持在其正常路徑上,乾淨流量也絕不會離開轉發平面。無需經由旁路清洗中心繞行,無需逐封包繞道,也無需另行採購與規劃清洗容量。
執行 OcNOS 並搭配 FastNetMon 的路由器,將偵測與緩解直接置於網路邊緣: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.
可檢測並緩解的攻擊類型:
FastNetMon:觸發你緩解機制的偵測引擎
FastNetMon Advanced 監看路由器匯出的 sFlow,一旦流量越過你設定的 per-host 或 per-subnet 門檻,便會自動觸發緩解。它是正式等級的軟體,全球已有數百家 ISP 與代管服務商在運行,因此本頁上的偵測引擎正是電信業者在正式環境中信賴的那一套。
BGP FlowSpec:以 BGP 路由推送的精準過濾
當您需要阻擋單一攻擊而不動到其他一切時,路由器會依來源與目的 IP、協定、埠、封包長度、TCP flags、DSCP 與 fragment 類型進行比對。規則透過 BGP 送達,並在數毫秒內落入 ASIC,因此能以 line rate 對相符流量進行丟棄、限速或重導向,且零 CPU 負擔。FlowSpec 遵循 RFC 8955。
RTBH:在洪泛式流量抵達您之前將其阻擋
面對大型 volumetric 攻擊,路由器會透過 BGP 對目標 prefix 進行 blackhole,可由電信業者下令執行,或在 FastNetMon 偵測到往該 prefix 的流量越過門檻時自動執行。RTBH 路由會傳播至你的上游 peer 與 transit 供應商,因此他們會在其邊緣就丟棄該攻擊,讓攻擊在進入你的網路之前就被阻擋。
sFlow: the traffic feed that makes detection possible
路由器以您設定的取樣率,運用硬體加速取樣,從每個邊緣介面匯出 sFlow,因此偵測機制無需增加 CPU 負載即可觀察流量。同一份資料流會送往 FastNetMon 進行 DDoS 偵測,同時也送往 Kentik、PRTG、Prometheus,或您既有的任何 sFlow 收集器進行流量分析。sFlow 遵循 RFC 3176。
硬體 ACL:對已知的惡意來源封鎖一次,永久有效
對於你已確知為惡意的流量,路由器會在 ASIC 中安裝 ACL,依 IP、subnet、協定或 port 永久丟棄該流量,並可依 interface、VLAN 或 prefix 進行速率限制。你只需設定一次,硬體之後便會持續強制執行,且不會產生任何路由或處理負擔。
FastNetMon:檢測引擎
FastNetMon Advanced 是一套專屬的 DDoS 偵測引擎,全球有數百家 ISP 採用。它透過 BGP Flowspec 與 RTBH 與 OcNOS 原生整合。可消化 sFlow 遙測,並提供可設定的 per-host、per-subnet 與 per-protocol 門檻。
了解 FastNetMon →網路內 DDoS 檢測與緩解:完整拓撲
以下說明在實際運行的網路中,每一層保護所處的位置。來自網際網路的攻擊流量抵達 OcNOS 邊緣路由器,這些路由器全程將 sFlow 串流至 FastNetMon。一旦 FastNetMon 偵測到異常,便會將 BGP FlowSpec 或 RTBH 推回邊緣,路由器則在數毫秒內於 ASIC 中安裝該規則。你的上游 peer 也可接收該 RTBH 通告,因此他們會在攻擊抵達你之前就予以丟棄。
從攻擊偵測到阻擋流量,四個步驟完成
從偵測到緩解的循環會自動執行。一旦完成設定,網路即可在無需維運人員介入的情況下阻擋攻擊。
收集
OcNOS 將來自所有邊緣介面的 sFlow 遙測資料匯出至 FastNetMon。硬體加速的封包取樣:不佔用 CPU 資源,也不影響轉送效能。
檢測
FastNetMon 按主機與子網閾值分析流數據,通常可在 1 秒內識別出流量型洪水、SYN 風暴、UDP 放大、DNS 洪水以及 NTP 反射攻擊。
信號
FastNetMon 通過 BGP 自動向 OcNOS 下發 BGP Flowspec 規則(用於精細緩解)或 RTBH 黑洞路由(用於流量型攻擊)。全程自動:攻擊期間無需維運人員幹預。
緩解
OcNOS 將 Flowspec 規則或 RTBH 路由直接安裝到 ASIC 硬體中。攻擊流量在全線速下被丟棄或限速。正常流量不受影響地繼續傳輸。攻擊結束後規則自動移除。
網路內 DDoS 防護的適用位置
無論您營運的是小型區域 ISP 或大型資料中心,同一批邊緣路由器與交換器皆可承載 DDoS 防護,因為偵測與緩解就運行在原本已位於邊緣的設備上。
ISP & SP 邊緣防護
保護對等邊緣和中轉鏈路免受會飽和適用於客戶頻寬的流量型 DDoS:在對等路由器進行 sFlow 檢測並自動通過 BGP Flowspec 緩解,可在洪水到達下遊客戶前阻斷;與中轉電信業者協調上遊 RTBH,則可在攻擊進入您的網路前就將其擋在門外。
資料中心邊界
在資料中心邊界進行直連 DDoS 過濾、保護託管基礎設施與雲工作負載:靜態硬體 ACL 永久阻斷已知惡意主體;動態 Flowspec 規則實時適應新攻擊特徵;流量無需繞行清洗中心,因此對正常流量零時延影響。
託管 DDoS 防護服務
電信業者可按受保護前綴計費,將基於客戶的 DDoS 防護作為託管服務對外提供:FastNetMon 支持每客戶閾值方案,OcNOS 按客戶執行 Flowspec 規則:無需共享清洗基礎設施,每位客戶的防護都是網內專屬的。
使用 OcNOS 的 DDoS 防護:常見問題
自動化 DDoS 緩解:OcNOS + FastNetMon 部署指南
簡短表單。提交後 PDF 將立即開始下載。
✓ 正在新標籤頁中打開您的 PDF……
如果未能自動打開,請使用下方連結。
Application-Note-Automated-DDoS-Mitigation-with-OcNOS-and-FastNetMon.pdf