种在不需要的流量进入我们的基础设施之前快速消除它们的方法。虽然这种方法有效地保护了我们作为服务提供商的基础设施,但它阻止了所有流量进入我们——这不是我们的客户所希望的。最终,,攻击者实现了他们的目标。
流量过滤是我们服务的下一级 DDoS 保护。它只会阻止恶意流量,而不会丢弃所有流量。通过检查流经我们基础设施的数据包来识别恶意流量。检查以下流量元素是否有特定模式:
数据包有效载荷
源端口
源 IP
目的港
国家
以及更多
在流量到达我们的服务之前,这个过滤过程已经在我们的基础设施上完成,因此我们的客户无需担心。
流量过滤
设置
我们已经为我们的设置实施了线外过滤。由于我们很少遇到强大的 DDoS 攻击,因此线内过滤在实际实用性和成本方面效率低下 – 我们有RTBH 方法来对抗它们。
简化的过滤设置拓扑。
简化的过滤设置拓扑
我们的设置包括连接到主干交换机的过滤器实例,转移的流量通过这些主干交换机流动。我们使用从主干实例发送到过滤器实例的 sFlow 来调查和转移流量(如果需要)。干净的流量被转发到叶交换机,而恶意流量则在过滤器实例处被丢弃。值得注 哈萨克斯坦用什么聊天软件 意的是,流量转移和过滤过程是完全自动化的。
如果任何目标主机的流量峰值超过我们设定的阈值,我们会使用ExaBGP 将该 IP 地址通告给主干。当流量到达过滤器实例时,我们会检查传入的数据包以识别攻击模式。完成后,新规则将添加到防火墙,防止恶意流量到达其目的地。
硬件
过滤服务器所依赖的 合作国家:与其他有影响力的人合作为何能帮助你发展你的 Instagram 主要元素是 CPU 和 NIC。经过一些测试和研究,
我们决定采用以下方案
CPU:英特尔(R)至强(R)银牌 4215R @ 3.2 GHz
网卡:英特尔 XL710 (40G)
在发生约 1.5 Mpps和8 Gbps流量的DDoS 攻击期间,CPU 使用率如下所示:
8 Gpbs 流量的 CPU 使用率图表,最大使用率为 24.2%。
自动化
手动管理所有数据中心的多个 电话号码业务线索 过滤器实例会很困难。因此,整个解决方案完全自动化,从攻击检测到阈值设置。目前,我们使用 Chef 和 Ansible 作为我们的基础设施即代码 (IaC)。一次更改所有实例的阈值他们的网站和变 或其他设置就像更改几行代码一样简单。