猿创征文｜HCIE-Security Day53：Anti-DDoS设备简单谈

 

 

AntiDDoS解决方案

华为Anti-DDoS方案包括三大组件：检测中心、清洗中心和管理中心（ATIC）。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。

检测中心是方案中的“侦察机”，主要负责对流量进行检测，发现流量异常后上报管理中心，由管理中心下发引流策略至清洗中心，指挥清洗中心进行引流清洗。

清洗中心是方案中的“战斗机”，主要负责根据管理中心下发的策略进行引流、并对流量进行清洗（过滤），并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。

管理中心（ATIC）是方案中的“指挥部”，负责检测中心和清洗中心的统一管理和调度，以及日志记录和报表呈现，并提供Anti-DDoS方案的运营。

检测中心

检测中心负责对流量进行检测，发现攻击后上报管理中心，由管理中心下发引流策略至清洗中心进行引流清洗。

旁路部署，通过分光或者镜像的方式将流量引导给检测中心。

作用是对原始流量进行检测，并将检测结果送到管理中心。使用anti-ddos 8000的检测板或anti-ddos 1500D来进行检测，也支持使用netflow协议配合第三方设备如arbor、威睿等来进行检测。

清洗中心

清洗中心主要根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。清洗中心提供多种DDoS流量清洗手段，可以准确识别正常流量，清洗各类异常流量，包括流量型攻击、应用层攻击、扫描窥探型攻击及畸形包攻击。清洗中心同时具备检测中心的功能，当业务对检测清洗性能要求较低时可只部署清洗中心。 

完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式，可以实现完全动态引流。支持多种回注方式，根据不同情况可以灵活选择。管理中心下发清洗策略给清洗中心，清洗中心根据策略与相关路由器建立连接完成引流，对相关流量完成清洗后，再将流量回注给相关路由器。

管理中心

即ATIC，负责检测中心和清洗中心的统一管理，是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

整个方案的中枢，通过管理中心将检测分析中心和清洗中心连接起来形成完整的解决方案。

管理中心分为管理服务器和数据采集器两个部分，可以安装在一台服务器上，也可以安装在不同服务器上。可以是虚拟化产品，部署在windows或者linux系统上，类似于esight网管中心。

设备型号

 

检测中心和清洗中心一般使用同一台设备，也可以使用阉割版的清洗设备作为检测设备，以AntiDDoS1800为例，AntiDDoS1800-D是单纯的检测设备，而AntiDDoS1800既可以检测又可以清洗。管理中心设备一般以服务器+软件系统组成，主要维护一个数据库，一般是windows2012R2+mysql。

工作流程

华为Anti-DDoS方案的经典部署图如下所示。

 

                                                           

1、检测中心对分光或者镜像流量进行检测。

2、检测中心发现流量异常后，会上报受攻击的IP地址到管理中心。

3、管理中心会自动向清洗中心下发引流策略。

4、清洗中心会根据引流策略将去往被攻击IP地址的流量引流到自身。

5、清洗中心通过先进的多层过滤防御技术对流量进行清洗，丢弃攻击流量。

6、清洗中心将清洗后的正常流量回注到网络中。

7、清洗中心上报攻击日志到管理中心，管理中心负责呈现流量清洗效果。

Anti-DDoS设备部署模式      

Anti-DDoS方案主要支持直路部署、旁路静态引流和旁路动态引流部署三种模式，如下图。

      

 

直路部署 

直路部署组网简单，不需要额外增加接口，由于所有流量都将经过DDoS防护设备，在个别攻击防护上要优于旁路部署。但这也是对DDoS防护设备可靠性的考验，因此，方案采取了清洗设备外置Bypass卡或直路双机部署方式，保证清洗设备故障时业务流量能够正常通过，增强链路可靠性。这时，就出现了一个问题：如果用户组网复杂，难以使用直路部署，甚至不希望破坏原有组网的情况下，该怎么办？

旁路静态引流部署

于是，旁路部署应运而生，首先介绍旁路静态引流部署。所谓静态引流，就是将所有去往防护对象的流量都引流到清洗设备进行清洗，不论流量是否存在异常。这样虽然不用部署检测中心，但对清洗设备性能要求较高。如果清洗设备性能不足，有可能会影响客户的正常业务。

于是，又出现一个问题：

在大流量场景下，如果让DDoS防护设备对所有流量进行处理将耗费大量的转发性能，导致安全投资上升，同时仍可能面临影响客户的正常业务风险。问题

如何彻底解决呢？     

旁路动态引流部署

所谓动态引流，就是将去往防护对象的流量会先复制一份到检测设备进行检测，如果发现存在异常才会被引流到清洗设备进行清洗。动态引流的优点在于只有异常流量才会被引流清洗，正常流量会被正常转发。

旁路动态引流部署在保证原有组网不被破坏的基础上，实现了上行流量无需经过DDoS防护设备，下行流量按需牵引，使防护性能及可靠性都得到了保障。

不管是哪一种方式，都是存在管理中心。只能旁路在路由器或者三层交换机上，不能旁路在防火墙上。

ATIC管理中心部署

Anti-D