旁路部署是什么？它是如何解决大型数据中心的DDOS防护问题的？

随着DDoS攻击越来越频繁的威胁到基础业务系统和数据安全，把DDoS防护的需求交给专业的服务提供企业是现在普遍的防护手段。通常大型数据中心都会使用旁路部署技术来应对：抗拒绝服务产品可以不必串联在原有网络中，除了减少故障点，而且由于大多数带宽不必实时通过抗拒绝服务产品，因此一个较小的抗DDoS清洗容量就可以适用于一个大带宽的网络中，有效的降低投入成本。旁路工作原理如下：

· 攻击检测：通过配置镜像接口或Netflow方式 感知到有攻击流量，判断是否有拒绝服务攻击发生。

· 流量牵引：确定发生拒绝服务攻击后，利用路由交换技术，将原本要去往受害IP的流量牵引至旁路 ADS设备。被牵引的流量为正常流量与攻击流量的混合流量；

· 攻击防护/流量净化：ADS设备通过多层次 的垃圾流量识别与净化功能，将拒绝服务攻击的流量从混合流量中分离、过滤；

· 流量注入：经过ADS净化之后的正常流量被重新注入回网络，到达目的IP.

采用旁路部署，具有以下优势：仅在IPS等安全设备报警时与之联动，开始自动注入混合流量，平时正常情况下并不工作；设备旁路部署即使ADS出现故障也不会影响网络连通性；多机并用成倍提升清洗能力；支持手动/自动牵引流量，让安全工程师与安全设备互补。

一级运营商管理运营丰富的骨干网带宽资源，对于大流量及超大流量DDoS攻击具有先天性的压制优势，运营商是整个网络的支撑者，所有的攻击流量都必须通过运营商， 如果在运营商层面全面的打击DDOS攻击行为，将能起到一劳永逸的效果，所以运营商应当为用户打造DDOS防护堡垒。

对于运营商而言，保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击，那么所有承载的业务都会瘫痪，这必然导致服务质量的下降甚至失效。同时，在目前竞争激烈的运营商市场，服务质量的下降意味着客户资源的流失，尤其是那些高ARPU值的大客户，会转投其他的运营商，这对于运营商而言是致命的打击。所以，有效的DDoS防护措施对于保证网络服务质量有着重要意义。另一方面，对运营商或是IDC而言，DDoS防护不仅仅可以避免业务损失，还能够作为一种增值服务提供给最终用户，这给运营商带来了新的利益增长点，也增强了其行业竞争能力。

目前大部分的DDOS攻击都会使用伪造的IP地址，尤其是反射型的DDOS攻击，如果不使用伪造的IP将无法攻击，如果运营商在全网开启源IP的校验，是不伪造的IP无法进入互联网则可以从源头上制止DDOS攻击。另外，使用溯源技术：因为在全网开展源地址验证可能会难度很大，但是防DDOS的关键又在源地址上，所以应该使用各种溯源技术，在攻击发生时迅速找到攻击源，取证并切断攻击源的网络，使攻击止于源头。

对于普通用户的网络接入，应尽量给与私网IP地址，然后通过NAT多个用户公用同一IP，这样第一节省了IP地址，第二，普通用户发出的各种报文的源地址都会被NAT替换成真实的地址，防止源地址伪造。第三，也有利于普通用户的安全，这相当于多了一道防火墙，能够阻挡大部分来自公网的主动连接，比如扫描等行为。或者把ip报文头中未实际使用的部分，比如八位的QOS标志、IP选项字段，加入对来源标识功能，每个接入层的路由交换设备带有不同的标致，可以通过报文携带的不同标志找到它的大体发送源。

运营商一定要高度重视自身网络设备的安全性，不要让网络设备成为反射放大器甚至被黑客控制，因为运营商在网络中起到至关重要的作用，如果黑客远程关闭一台核心交换机将比任何DDOS攻击危害更大效果更明显。在各地区建立流量清洗站，清洗DDOS流量，并且为企业提供清洗服务，将DDOS流量转入清洗站清洗，如遇特大型DDOS攻击时，可以共同分担清洗任务。总之，云计算公司有很大的计算能力，运营商有很大的带宽资源，强强联合能极大提升抗DDOS能力。

在攻击中，DDOS防护方和攻击方就像两名棋局上的棋手，见招拆招，根据对方的改变而改变自己的攻击/防御方法，仅仅通过一种方式就打瘫一个目标是很难实现的，仅仅靠ADS设备去自动的防御所有攻击是不现实的，不论实在攻击还是防御中，人都应该处在主导地位，通过安全人员的专业知识与经验，合理的使用和配置防御设备才能更好的防御住来自于各方的各种DDOS攻击。

本文转自：http://www.heikesz.com/ddos1/2783.html