攻击凶猛?牢固防守!

DDoS攻击危害严重，可导致“人财两空”

近年来，越来越频繁的DDoS攻击，给运营商和企业业务带来了巨大的安全挑战。最严重的一次在2013年3月，欧洲遭遇了史上最大的DDoS攻击，攻击流量峰值已经高达300Gbps，超大的攻击流量汇聚到欧洲几个一级运营商网络内部，造成整个欧洲地区的网络拥塞。在荷兰，DDoS攻击也已经影响到了大量数据中心的正常运营，如果没有必备的防护方案，不但对一家公司的业务造成影响，甚至会拥塞整个国家网络的带宽，影响所有ISP的业务连续性。

nbip是荷兰上百家ISP企业成立的链路与运营服务联盟企业，帮助ISP提供统一的链路与运营管理服务。该联盟成立于2002年，是荷兰唯一一家国家级的ISP联盟企业。由于nbip的服务对象均是ISP，所有的业务都是互联网在线服务业务，业务连续性高，但也是黑客最常攻击的目标。一旦业务遭受攻击，就会带来巨大的经济损失，NBIP的主席Ludo介绍到：“DDoS攻击带来的损失是每小时数万欧，甚至更高。”，此外，由于DDoS攻击导致业务不在线，还会对企业的信誉和形象带来巨大损失，影响更是不可估量。

疯狂的DDoS攻击过后，ISP的客户均在寻求有效的DDoS防护解决方案。但作为一个个独立的ISP单独部署专业的DDoS防护方案，不但会带来巨大的部署和维护成本，而且链路拥塞型DDoS攻击根本无法得到有效防护。

“临渊羡鱼” 不如“退而结网”

作为ISP联盟的NBIP，面对日益猖獗的DDoS攻击，在被多轮ISP客户屡次求助后，从2013年6月起，便开始寻求有效的DDoS防护与安全运营解决方案，以应对DDoS攻击，提升业务运营的连续性，改善客户业务安全服务水平。nbip于2013年年中起开始计划部署DDoS安全增值服务，一方面保护客户业务安全，另一方面提升自身的竞争力增加业务范围。

其实在NBIP计划之前，NBIP研究了业界知名的安全服务提供商的业务范围和市场空间，觉得安全服务市场是未来的趋势。在ICT不断融合、云安全如火如荼的今天，运营商面临严重的运营成本与收益下滑的运营压力，均转而做安全增值服务，如知名AT&T、BT等运营商。在安全增值服务中，DDoS安全服务是运营商必选业务之一，因为运营商有先天的带宽资源优势，能够实现从上层防护，可以实现在单个ISP链路拥塞前做清洗防护。而NBIP相对于ISP联盟中独立的ISP企业来说，具有同运营商一样的天然优势。NBIP也意识到了DDoS防护市场需求巨大，从2013年年中开始计划和设计“国家级DDoS流量清洗中心“项目，并与年底邀请了业界知名的DDoS防护解决方案厂商进行方案和设备测试。

“消防员”式的防护方案：

NBIP要建造的是整个荷兰国家级的清洗中心，服务对象超过100多家，未来随着业务和客户的增加，这个防护性能也要能够持续的扩展，因此对方案防护性和扩展性能均有严苛的要求，至少有100G的扩展防护性能。而且NBIP的主要客户是ISP企业的在线业务系统，不但对DDoS攻击的防护的精准度有要求而且对攻击的响应实时性要求比较高。这就要求NBIP要建造的DDoS防护方案要具备旁路实时监控的，实现快速攻击响应，就像“消防员”一样，处于随时待命状态，一旦发生“DDoS火情”要能快速的进行处理。

在测试阶段，NBIP重点对其关注的几个点做了详见的测试，综合比较起来，华为的Anti-DDoS方案，采用逐包的深度检测技术，旁路的部署模式，能够实现秒级的攻击响应和单台设备200Gbps的防护性能，在方案上完全契合NBIP的方案需求，此外，在测试过程中，华为Anti-DDoS方案所表现出的简单便捷的GUI管理方式和详尽的报表功能，深深的吸引了NBIP的兴趣， NBIP最终选择了华为方案。

NBIP主席Ludo在测试结束后这样评价华为的方案：“华为的Anti-DDoS解决方案对攻击的响应速度快、具有优秀管理能力的界面，事实证明华为的解决方案正是我们所需要的。”

NBIP的数据中心出口80Gbps的带宽，采用全流量分光逐包做攻击检测，一旦发现攻击，管理中心下发攻击流量清洗策略，并由清洗板发送BGP引流清洗策略，将受攻击对象的流量引入清洗中心做清洗。具体方案的处理流程，如下图所示：

方案中的检测中心和清洗中心有AntiDDoS8160的检测板卡和清洗板卡分别完成，集中混插在一台AntiDDoS8160设备机框上，可大大的节约了客户空间和部署成本，还可通过板卡扩展进行性能线性提升，满足NBIP持续运营性能扩展需求。