流量牵引技术原理

 

Cisco Guard解决方案套件包括两个独立的组件 -- Cisco Detector和Cisco Guard，两部分协同工作，能为任何环境提供DDoS保护。

Cisco 监测器（Cisco Detector）：作为早期报警系统，Cisco检测器提供对最复杂DDoS攻击的深入分析，搜寻与“正常” 行为的偏差或DDoS攻击的基本行为。攻击被识别后，检测器发警报给Cisco保护器，提供详细的报告和具体警报来快速响应该威胁。例如，即使在没有超出全面界限的情况下，检测器也能观测到从单个源头来的UDP包速率超出了范围。
Cisco保护器(Cisco Guard)：Cisco保护器是Cisco DDoS解决方案套件的基石 -- 它是一个高性能DDoS攻击缓解设备，保护IPTV业务中心来的数据资源。

   首先看看网络的部署情况，左边是原有网络结构，不受任何影响。将CISCO DDoS保护器部署在上层路由器旁边，一般是PoP点，CISCO保护器和此路由器有BGP的连接；再靠近需要保护的对象网络区域，部署CISCO DDoS监测器，或IDS入侵检测，或流量检测等设备，用以发现DDoS攻击的发生

第一步：DDoS检测器发现有DDoS攻击发生，而且确认被攻击对象的地址或网段
第二步：DDoS检测器通过SSH发出告警信息给DDoS保护器，DDoS保护器知道哪段IP地址被攻击了。DDoS保护器可以自动启动防护，也可以是管理员人为干涉启动防护
第三步：DDoS保护器一旦启动对于相应网段的防护功能，将向旁边的路由器广播一条相关于被攻击网段的BGP路由，支出下一跳地址是DDoS保护器的地址。由于BGP路由的优先级高于OSPF/ISIS等IGP路由，这时路由器中关于被攻击网段的路发生变化，下一跳不再是原来的下一跳地址，而变成了DDoS保护器的地址

第 四步：这时所有面向被攻击者的流量被路由器转向到了DDoS保护器，如上图的红色的流量表示。红色的流量是混合流量，包含有攻击流量和正常用户请求流量； 混合流量送达DDoS保护器后，DDoS保护器拥有MVP多级验证体系结构，具有识别攻击流量和正常流量的能力（具体技术细节参见下段的MVP多级验证体 系结构），将DDoS攻击流量区分和过滤掉
第五步：DDoS保护器将合法流量再转发到原有的网络中，因此合法流量可以到达被攻击的服务器。这时，我们可以知道，DDoS攻击已经被有效防止了，不管是哪一种攻击，对于服务器而言，基本没有感觉到被攻击了，网络实现自动防护
第六步：其他的非被攻击流量的路由没有任何改变