OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

在你自己的網路內部偵測並阻擋 DDoS 攻擊

網路內 DDoS 防護直接在路由器上、於網路邊緣偵測並緩解攻擊,而非將流量導向路徑外的清洗中心。IP Infusion 將其整合為單一系統交付:運行 OcNOS 並搭配 BGP FlowSpec 與 RTBH 的開放式交換器與路由器,並在單一合約下提供支援。sFlow 遙測資料饋入 FastNetMon 偵測引擎,該引擎再將 FlowSpec 或 RTBH 規則推送回路由器,於 ASIC 中以線速進行過濾。

為何選擇網路內 DDoS 緩解?

在邊緣以硬體過濾攻擊流量,無需引導流量繞行。

執行 OcNOS 的路由器在原本就承載該客戶的設備上丟棄攻擊流量,因此每個封包都維持在其正常路徑上,乾淨流量也絕不會離開轉發平面。無需經由旁路清洗中心繞行,無需逐封包繞道,也無需另行採購與規劃清洗容量。

執行 OcNOS 並搭配 FastNetMon 的路由器,將偵測與緩解直接置於網路邊緣: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.

可檢測並緩解的攻擊類型:

UDP 放大 SYN 泛洪 TCP RST 洪泛攻擊 ICMP 泛洪 DNS 查詢泛洪 NTP 放大 Memcached 反射攻擊 容量型頻寬飽和 分片包攻擊

FastNetMon:觸發你緩解機制的偵測引擎

FastNetMon Advanced 監看路由器匯出的 sFlow,一旦流量越過你設定的 per-host 或 per-subnet 門檻,便會自動觸發緩解。它是正式等級的軟體,全球已有數百家 ISP 與代管服務商在運行,因此本頁上的偵測引擎正是電信業者在正式環境中信賴的那一套。

BGP FlowSpec:以 BGP 路由推送的精準過濾

當您需要阻擋單一攻擊而不動到其他一切時,路由器會依來源與目的 IP、協定、埠、封包長度、TCP flags、DSCP 與 fragment 類型進行比對。規則透過 BGP 送達,並在數毫秒內落入 ASIC,因此能以 line rate 對相符流量進行丟棄、限速或重導向,且零 CPU 負擔。FlowSpec 遵循 RFC 8955。

RTBH:在洪泛式流量抵達您之前將其阻擋

面對大型 volumetric 攻擊,路由器會透過 BGP 對目標 prefix 進行 blackhole,可由電信業者下令執行,或在 FastNetMon 偵測到往該 prefix 的流量越過門檻時自動執行。RTBH 路由會傳播至你的上游 peer 與 transit 供應商,因此他們會在其邊緣就丟棄該攻擊,讓攻擊在進入你的網路之前就被阻擋。

sFlow: the traffic feed that makes detection possible

路由器以您設定的取樣率,運用硬體加速取樣,從每個邊緣介面匯出 sFlow,因此偵測機制無需增加 CPU 負載即可觀察流量。同一份資料流會送往 FastNetMon 進行 DDoS 偵測,同時也送往 Kentik、PRTG、Prometheus,或您既有的任何 sFlow 收集器進行流量分析。sFlow 遵循 RFC 3176。

硬體 ACL:對已知的惡意來源封鎖一次,永久有效

對於你已確知為惡意的流量,路由器會在 ASIC 中安裝 ACL,依 IP、subnet、協定或 port 永久丟棄該流量,並可依 interface、VLAN 或 prefix 進行速率限制。你只需設定一次,硬體之後便會持續強制執行,且不會產生任何路由或處理負擔。

FastNetMon → OcNOS · 自動化回應(範例) 警報
1。FastNetMon 通過 sFlow 檢測異常
警報 UDP 洪水 → 203.0.113.50
14 Gbps。已超過 5 Gbps 閾值
2。FastNetMon 將 BGP Flowspec 推送至 OcNOS
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ rule installed in ASIC
3。OcNOS 在硬體中以線速強制執行
Flowspec 規則已啟用 14
攻擊流量 dropped
Over-threshold rate-limited
✓ 正常流量正常通過

FastNetMon:檢測引擎

FastNetMon Advanced 是一套專屬的 DDoS 偵測引擎,全球有數百家 ISP 採用。它透過 BGP Flowspec 與 RTBH 與 OcNOS 原生整合。可消化 sFlow 遙測,並提供可設定的 per-host、per-subnet 與 per-protocol 門檻。

了解 FastNetMon →
<2s
檢測到緩解的閉環:從 sFlow 異常到硬體中的 Flowspec 規則
0ms
對正常流量無附加時延:過濾在線性 ASIC 中完成,而非旁路清洗器
0%
硬體 ACL 與 Flowspec 執行的 CPU 開銷:由 ASIC 加速
600+電信業者部署
60+國家
26網路領域年數
參考架構

網路內 DDoS 檢測與緩解:完整拓撲

以下說明在實際運行的網路中,每一層保護所處的位置。來自網際網路的攻擊流量抵達 OcNOS 邊緣路由器,這些路由器全程將 sFlow 串流至 FastNetMon。一旦 FastNetMon 偵測到異常,便會將 BGP FlowSpec 或 RTBH 推回邊緣,路由器則在數毫秒內於 ASIC 中安裝該規則。你的上游 peer 也可接收該 RTBH 通告,因此他們會在攻擊抵達你之前就予以丟棄。

採用 OcNOS 邊緣和 FastNetMon 的網路內 DDoS 防護拓撲 來自殭屍網路來源的攻擊流量經由上游對等體傳送至兩台 OcNOS-SP 邊緣路由器。邊緣路由器將 sFlow 遙測輸出至 FastNetMon 偵測引擎。偵測到攻擊時,FastNetMon 透過 BGP 將 BGP Flowspec 或 RTBH 路由推送回邊緣路由器,於 ASIC 中植入規則以進行線速過濾。乾淨的流量則繼續前往受保護的客戶或資料中心網路。上游對等體亦可透過 BGP 接收 RTBH 通告,以在攻擊流量進入受保護網路之前將其丟棄。 Attackers 分布式殭屍網路 10 to 100 Gbps Customers 合法流量 HTTP/DNS/SSH 中轉對等體 eBGP / RTBH 接收 Tier-1 網際網路 RTBH /32 丟棄 OcNOS Edge-01 UfiSpace S9600-72XC Qumran 2C(BCM88820)· 2.4 Tbps ASIC 硬體 Flowspec + ACL 丟棄 line-rate · 0% CPU OcNOS Edge-02 UfiSpace S9600-72XC ECMP 冗餘 ASIC Flowspec + ACL 攻擊 + clean FastNetMon 檢測引擎 sFlow analysis threshold-based detect sFlow ↑ BGP Flowspec ↓ + RTBH RTBH 通過 eBGP 向上遊傳播 → 受保護的伺服器 DC / 託管基礎設施 僅乾淨流量 · 零額外時延 客戶網路 按租戶策略 託管式 DDoS 服務 clean ✓ 攻擊丟棄 DETECT-TO-MITIGATE LOOP (EXAMPLE) 1. 檢測到異常 FastNetMon telemetry 2. BGP Flowspec 下發 FNM → OcNOS,透過 BGP 3. ASIC 規則已安裝 OcNOS 硬體執行 4. 以線速丟棄攻擊流量 總環路:<2s · 0ms 乾淨流量時延
攻擊流量
清洗後流量
sFlow telemetry
BGP Flowspec / RTBH(控制平面)
↳ 將滑鼠懸停在任一節點上,可查看平台、ASIC、BGP 及策略詳情
工作原理

從攻擊偵測到阻擋流量,四個步驟完成

從偵測到緩解的循環會自動執行。一旦完成設定,網路即可在無需維運人員介入的情況下阻擋攻擊。

1

收集

OcNOS 將來自所有邊緣介面的 sFlow 遙測資料匯出至 FastNetMon。硬體加速的封包取樣:不佔用 CPU 資源,也不影響轉送效能。

2

檢測

FastNetMon 按主機與子網閾值分析流數據,通常可在 1 秒內識別出流量型洪水、SYN 風暴、UDP 放大、DNS 洪水以及 NTP 反射攻擊。

3

信號

FastNetMon 通過 BGP 自動向 OcNOS 下發 BGP Flowspec 規則(用於精細緩解)或 RTBH 黑洞路由(用於流量型攻擊)。全程自動:攻擊期間無需維運人員幹預。

4

緩解

OcNOS 將 Flowspec 規則或 RTBH 路由直接安裝到 ASIC 硬體中。攻擊流量在全線速下被丟棄或限速。正常流量不受影響地繼續傳輸。攻擊結束後規則自動移除。

使用案例

網路內 DDoS 防護的適用位置

無論您營運的是小型區域 ISP 或大型資料中心,同一批邊緣路由器與交換器皆可承載 DDoS 防護,因為偵測與緩解就運行在原本已位於邊緣的設備上。

🌐

ISP & SP 邊緣防護

保護對等邊緣和中轉鏈路免受會飽和適用於客戶頻寬的流量型 DDoS:在對等路由器進行 sFlow 檢測並自動通過 BGP Flowspec 緩解,可在洪水到達下遊客戶前阻斷;與中轉電信業者協調上遊 RTBH,則可在攻擊進入您的網路前就將其擋在門外。

🏢

資料中心邊界

在資料中心邊界進行直連 DDoS 過濾、保護託管基礎設施與雲工作負載:靜態硬體 ACL 永久阻斷已知惡意主體;動態 Flowspec 規則實時適應新攻擊特徵;流量無需繞行清洗中心,因此對正常流量零時延影響。

🛡️

託管 DDoS 防護服務

電信業者可按受保護前綴計費,將基於客戶的 DDoS 防護作為託管服務對外提供:FastNetMon 支持每客戶閾值方案,OcNOS 按客戶執行 Flowspec 規則:無需共享清洗基礎設施,每位客戶的防護都是網內專屬的。

常見問題

使用 OcNOS 的 DDoS 防護:常見問題

BGP Flowspec 是什麼,OcNOS 如何用於 DDoS 緩解?
BGP FlowSpec(RFC 8955,原為 RFC 5575)是一項 BGP 擴充,用於在路由器間分送細緻的流量過濾規則,類似透過 BGP 推送 ACL,但具備更細緻的比對條件。OcNOS 可比對來源 IP、目的 IP、協定、來源與目的埠、封包長度、TCP 旗標、DSCP 與 IP 分段類型。當 FastNetMon 偵測到攻擊時,會在毫秒內透過 BGP 將 FlowSpec 規則推送至 OcNOS,OcNOS 隨即將其直接植入 ASIC,在該處以完整線速丟棄或限速比對到的流量,且零 CPU 負擔。
FastNetMon 如何與 OcNOS 整合,響應速度如何?
FastNetMon 讀取路由器匯出的 sFlow,並持續依你設定的 per-host 與 per-subnet 門檻進行檢查。當流量越過門檻時,例如對單一目的地超過 5 Gbps 的 UDP flood,它會自動透過 BGP 向 OcNOS 推送 BGP Flowspec 規則(用於精準、特定協定的緩解)或 RTBH blackhole 路由(用於整個 prefix 的 blackhole)。整個從偵測到緩解的迴圈皆為自動化,通常在 2 秒內完成。
本方案能檢測並緩解哪些類型的 DDoS 攻擊?
此解決方案涵蓋電信業者最常見的攻擊類型:流量型洪水攻擊(UDP 放大、ICMP 洪水、原始頻寬飽和)、協定攻擊(SYN 洪水、TCP RST 洪水、分片封包攻擊),以及流量分析可攔截的應用層攻擊(DNS 查詢洪水、NTP 放大、Memcached 放大)。就精準緩解而言,BGP Flowspec 可依協定、埠、TCP flags 與分片類型進行比對。至於速度重於精準的流量型攻擊,RTBH 黑洞路由會在邊緣丟棄所有送往目標前綴的流量。
OcNOS 能在沒有 FastNetMon 的情況下進行 DDoS 緩解嗎?
是的。路由器透過三種獨立機制自行緩解:永久阻擋已知惡意行為者的靜態硬體 ACL(ASIC 加速、零 CPU 負擔)、您依前綴觸發的手動 BGP RTBH blackholing,以及接收來自任何標準 BGP speaker 的 BGP Flowspec 規則。若您已運行 Arbor/Netscout、A10 Networks、Cloudflare Magic Transit 或 Kentik 等偵測平台,OcNOS 便可成為您的執行層,接收您既有偵測系統下達的 Flowspec 或 RTBH 指令。
RTBH 黑洞是什麼,什麼情況下應使用它而非 Flowspec?
當洪泛式攻擊規模大到必須丟棄所有前往目標目的地的流量(包含正常流量)也在可接受的取捨範圍內,以保護網路其餘部分時,就採用 RTBH(Remotely Triggered Black Hole)。其運作方式是透過 BGP 通告目標前綴,並將 next-hop 指向丟棄介面,如此一來每台收到通告的上游路由器都會在自己的邊緣、在流量進入您的網路之前丟棄該前綴的流量。當您需要精準緩解時(例如只封鎖前往某目的地的 UDP port 53,同時放行 TCP),則改採 BGP Flowspec。實務上,電信業者常先以 RTBH 求快,待攻擊特徵釐清後再切換至 Flowspec 求精準。
通過 OcNOS 在網內進行 DDoS 緩解能否替代清洗中心?
這取決於攻擊型態,網路內緩解可補強或部分取代清洗中心。當攻擊鎖定您自身的前綴時,OcNOS 搭配 FastNetMon 的回應速度更快(不到 2 秒),成本也比將流量導向清洗中心更低,因為過濾是在邊緣以硬體 ASIC 就地進行。當攻擊規模大到在抵達您的路由器之前就已塞滿上游連結時,最有效的做法是與您的中繼供應商配合的上游 RTBH,並結合網路內的 Flowspec。託管式 DDoS 供應商也可將 OcNOS 作為每客戶的執行層來運行,套用每客戶的 Flowspec 規則與門檻值。
獲得保護

在開放硬體上守護您的網路。

我們會逐步檢視你的拓撲、威脅模型,以及適合你環境的 Flowspec 與 RTBH 組態。

預約 DDoS 演示 下載 OcNOS VM