近年来,越来越频繁的DDoS攻击,给运营商和企业业务带来了巨大的安全挑战。最严重的一次在2013年3月,欧洲遭遇了史上最大的DDoS攻击,攻击流量峰值已经高达300Gbps,超大的攻击流量汇聚到欧洲几个一级运营商网络内部,造成整个欧洲地区的网络拥塞。在荷兰,DDoS攻击也已经影响到了大量数据中心的正常运营,如果没有必备的防护方案,不但对一家公司的业务造成影响,甚至会拥塞整个国家网络的带宽,影响所有ISP的业务连续性。
nbip是荷兰上百家ISP企业成立的链路与运营服务联盟企业,帮助ISP提供统一的链路与运营管理服务。该联盟成立于2002年,是荷兰唯一一家国家级的ISP联盟企业。由于nbip的服务对象均是ISP,所有的业务都是互联网在线服务业务,业务连续性高,但也是黑客最常攻击的目标。一旦业务遭受攻击,就会带来巨大的经济损失,NBIP的主席Ludo介绍到:“DDoS攻击带来的损失是每小时数万欧,甚至更高。”,此外,由于DDoS攻击导致业务不在线,还会对企业的信誉和形象带来巨大损失,影响更是不可估量。
疯狂的DDoS攻击过后,ISP的客户均在寻求有效的DDoS防护解决方案。但作为一个个独立的ISP单独部署专业的DDoS防护方案,不但会带来巨大的部署和维护成本,而且链路拥塞型DDoS攻击根本无法得到有效防护。
“临渊羡鱼” 不如“退而结网”
作为ISP联盟的NBIP,面对日益猖獗的DDoS攻击,在被多轮ISP客户屡次求助后,从2013年6月起,便开始寻求有效的DDoS防护与安全运营解决方案,以应对DDoS攻击,提升业务运营的连续性,改善客户业务安全服务水平。nbip于2013年年中起开始计划部署DDoS安全增值服务,一方面保护客户业务安全,另一方面提升自身的竞争力增加业务范围。
其实在NBIP计划之前,NBIP研究了业界知名的安全服务提供商的业务范围和市场空间,觉得安全服务市场是未来的趋势。在ICT不断融合、云安全如火如荼的今天,运营商面临严重的运营成本与收益下滑的运营压力,均转而做安全增值服务,如知名AT&T、BT等运营商。在安全增值服务中,DDoS安全服务是运营商必选业务之一,因为运营商有先天的带宽资源优势,能够实现从上层防护,可以实现在单个ISP链路拥塞前做清洗防护。而NBIP相对于ISP联盟中独立的ISP企业来说,具有同运营商一样的天然优势。NBIP也意识到了DDoS防护市场需求巨大,从2013年年中开始计划和设计“国家级DDoS流量清洗中心“项目,并与年底邀请了业界知名的DDoS防护解决方案厂商进行方案和设备测试。
“消防员”式的防护方案:
NBIP要建造的是整个荷兰国家级的清洗中心,服务对象超过100多家,未来随着业务和客户的增加,这个防护性能也要能够持续的扩展,因此对方案防护性和扩展性能均有严苛的要求,至少有100G的扩展防护性能。而且NBIP的主要客户是ISP企业的在线业务系统,不但对DDoS攻击的防护的精准度有要求而且对攻击的响应实时性要求比较高。这就要求NBIP要建造的DDoS防护方案要具备旁路实时监控的,实现快速攻击响应,就像“消防员”一样,处于随时待命状态,一旦发生“DDoS火情”要能快速的进行处理。
在测试阶段,NBIP重点对其关注的几个点做了详见的测试,综合比较起来,华为的Anti-DDoS方案,采用逐包的深度检测技术,旁路的部署模式,能够实现秒级的攻击响应和单台设备200Gbps的防护性能,在方案上完全契合NBIP的方案需求,此外,在测试过程中,华为Anti-DDoS方案所表现出的简单便捷的GUI管理方式和详尽的报表功能,深深的吸引了NBIP的兴趣, NBIP最终选择了华为方案。
NBIP主席Ludo在测试结束后这样评价华为的方案:“华为的Anti-DDoS解决方案对攻击的响应速度快、具有优秀管理能力的界面,事实证明华为的解决方案正是我们所需要的。”
NBIP的数据中心出口80Gbps的带宽,采用全流量分光逐包做攻击检测,一旦发现攻击,管理中心下发攻击流量清洗策略,并由清洗板发送BGP引流清洗策略,将受攻击对象的流量引入清洗中心做清洗。具体方案的处理流程,如下图所示:
方案中的检测中心和清洗中心有AntiDDoS8160的检测板卡和清洗板卡分别完成,集中混插在一台AntiDDoS8160设备机框上,可大大的节约了客户空间和部署成本,还可通过板卡扩展进行性能线性提升,满足NBIP持续运营性能扩展需求。