流量牵引技术的应用案例

　　一家长期和绿盟科技合作的IDC成为了流量牵引的第一个用户，他们三年前就使用绿盟的“黑洞”抗拒绝服务攻击系统来防御DDoS攻击。他们最感兴趣的就是利用流量牵引来避免“触一发而动全身”，也就是说避免因为他们IDC中的个别服务器被攻击而导致整个网络受影响。这是他们以前的一个拓扑，出于安全考虑这个拓扑进行了部分省略。

　　该IDC中有许多托管主机，每天都会遭受各种DDoS攻击。现在的网络攻击不同于以往了，以前的网络攻击多数属于恶作剧性质，随着网络经济的发展，现在的网络攻击更偏重于经济目的，攻击的组织性计划性很强，攻击目标非常明确。这些托管服务器往往都被放置在一个区域，当针对一台服务器进行攻击的时候也影响到了其他服务器的通信。

　　采用了绿盟科技的流量牵引技术后，网络拓扑变成了这样的结构：

　　流量牵引拓扑与上图相比发生了很大的变化，从路由器到内部网络变成了双链路，而且又增加了一个新设备——Probe。为了方便研究，我们假设服务器1正在受到攻击。
　Defender是在“黑洞”的基础上发展起来的，在已有技术的基础上加强了对应用层DDoS的防御。由于对针对服务器1的攻击流量被切换到了Defender上，外网到服务器2和服务器3的访问将不受到干扰，攻击的压力落在了Defender和服务器1上。这样我们就把被攻击事件限制在了局部。通常DDoS攻击目标明确，而且是持续不断的不定期的骚扰。必要的时候也可以通过Probe的监测功能来追踪攻击来源，Probe可以收集到整个网络的netflow信息，通过对这些信息的分析，判断出攻击流量进入网络的入口。层层追踪锁定攻击来源的范围。

　　检测  通过Probe的分析做出清晰的分析，根据设置的阀值来修改路由器的路由，这个工作由Probe来做有一个很大的好处，这样可以不用经常调节Defender。做过网管的人都知道，并联设备的调试通常不妨碍什么，对于网络中的串联设备的调试就要很慎重了。

　　分流  把攻击流量分流到Defender上，正常流量继续沿原路通信

　　追踪  长期性的攻击是不可以忍受的，下一步就是通过Probe上的判断，在路由器间寻找攻击的来源，把他局限在一个范围内。

　　加固  DDoS的攻击往往需要多方面的配合才能完成，组成一个抗DDoS攻击的体系才能发挥其强大的效力。比如说低速的连接耗尽攻击吧，他用很慢的速度连接服务器，通常不会惊动IDC。就象一把慢刀子，很慢但杀伤力很强。为了抵御这种攻击我们必需在抗DDoS设备上限制连接的速度和连接数量；在服务器上清除残余连接；在必要情况下对一些访问进行验证。

　　取证  我们通过检测和在路由上的追踪的线索，设置蜜罐，抓捕攻击者.取证是需要相关部门配合的，比如电信，公安系统的帮助和提供法律依据的。

　　这是绿盟科技的另外一种流量牵引部署方案，目前是在一个大型网站兼IDC中使用，图中的二层交换机，物理上可以为2个独立的交换机，也可以为1个交换机的两个VLAN。没有攻击时，流量仅由Master转发；攻击发生时，Master向R1发送路由宣告，依据设置好的策略将部分攻击流量被牵引至Slave，经过Slave处理过的流量直接注入到R2。Master和slave共同协调分担DDoS攻击。