郭慶大流量DDOS攻擊的全網解決方案議程DDOS攻擊的近況全網DDOS緩解方案部署要點設備選型其他DDOS攻擊的近況DDOS攻擊的近況主要攻擊分析以前主要攻擊是TCPSync為主的DDOS，近期已經轉變成基于ICMPFlooding和UDPFlooding以及碎片為主的特大流量攻擊〔IDC近期的攻擊，單個IP遭受10G以上的攻擊〕攻擊影響范圍之前的TCPSync攻擊流量相對較小，主要受影響為用戶主機或網絡，目前的特大流量網絡攻擊已經影響到城域網的根底網絡架構，主要表現為國干至城域網的中繼中斷，板卡轉發異常，城域網內的網絡中繼擁塞等，受影響的不只是被攻擊的用戶，還涉及相當數量的其他用戶。城域網寬帶用戶受攻擊嚴重，主要涉及IDC，網吧，近期甚至出現針對普通寬帶撥號用戶的攻擊UDP80為主的DDOS攻擊現場碎片為主的DDOS攻擊現場ICMPflood

+Synflood混合攻擊現場

全網DDOS緩解方案部署要點DDOS泄洪原理–上游力保下游堤壩平安預警能力〔Bornet，SuperWarm〕對客戶效勞分級區別處理能力事后分析報表提高客戶滿意度能力城域網全網DDOS清洗中心部署要點骨干網骨干網部署：緩解城域網出口壓力城域網部署：保護VIP，網吧，專線用戶以及IDC出口的帶寬資源

IDC部署：保護托管效勞器的業務永續運行網間部署：控制網間異常流量的費用均可專業防護DNS，Radius，SIPServerDDOS檢測部署：廣域網Netflow，MSS/IDC部署DetectorGuard清洗中心ASBR網間路由器城域網出口清洗中心IDCDetectorVIP大客戶Detector網吧等寬帶用戶CEDDNIDC清洗中心ISPGuard清洗中心大流量DDOS處理流程設備選型獨立設備DualXeon

3GProcessor

雙致強3GCPUAloneDDOSChips

專用DDOS處理板與芯片推薦Sup720,Sup32不支持,Sup2支持但不推薦Cat6kIOSsupport:12.2(18)SXD3orlater7600IOSsupport:12.2(18)SXEorlater面板上有Reset鍵,重啟后,shmod,直到軟件版本顯示方可SessSlotCat6K/7600板卡本卷須知主推模塊–DDOS專業處理器SimpsonDaughtercardKomodoplusBaseboardGI<slot#>/3GI<slot#>/2GI<slot#>/1Complex#1Complex#2Complex#0PC

eth0eth1eth2127.0.0.<slot#>1Sup2/3Komodo+/SimpsonCard模塊邏輯連接圖ManagementPathDataPathAnomalyGuardModulePacketFlowSupervisor2/SFMorSupervisor720RoutingTableMasterFIBTableSupervisor2orSupervisor720R(x)000CPUCiscoCatalyst?600032GbpsBUSOutput

LineCardMedusaAnomalyGuardModuleSiSiSiSiSi123Input

LineCard45CrossbarFabricCrossbarFabricSi其他設備64字節DDOS實測線速報告CleanPipe

案例點評

客戶名稱部署規模簡介實施時間1中國銀行兩套Guard/Detector,保護網上銀行2河北網通兩套Guard/Dectector,防護城域網與IDC業務3遼寧網通兩套Cisco7609/AGM模塊,防護城域網安全4深圳電信/深圳網通1套Guard在線DDOS防護銀行重點客戶5湛江電信1套Guard防護IDC網站6北京電信/北京網通1套Guard防護IDC網站7廣東電信2套AGM與6套Detector，防護城域網骨干8云南電信1套AGM與Detector，防護城域網骨干9黑龍江網通2套AGM與Detector,防護哈爾濱IDC業務10江西移動1套Guard/Detector保護BOSS,DCN網絡11福建電信Cisco7609/AGM模塊,防護DNS認證等重要服務

12吉林網通Cisc7909/AGM模塊防護城域網DDOS攻擊13河南移動兩套GuardXT/Detector防護DCN/BOSS攻擊14大連網通4套GuardXT/2*Detector防護MAN/IDC攻擊15重慶電信1套GuardXT/2*Detector骨干網部署防護網吧16騰迅QQ1套GuardXT/2*Detector防護DNS/Chat攻擊ProviderServiceDeploymentDetectionDDoSdefenseOptionforInternetProtectmanagedservicesManagedNetworkDDoSProtectionServiceNetFlow+ArborPeakflowSP+GuardIPDefendermanagedserviceManagedNetworkDDoSProtectionServiceDetector+GuardDDoSAttackMitigationServiceManagedNetworkDDoSProtectionServiceDetector+GuardDDoSPeeringPointProtectionPeeringEdgeDDoSProtectionServiceNetFlow+ArborPeakflowSP+GuardPrevenTierDDoSMitigationserviceManagedHostingDDoSProtectionServiceArborPeakflowSP+NetFlowDetector+GuardSureArmourDDoSprotectionserviceManagedHostingDDoSProtectionServiceDetector+GuardManagedDDoSServiceProvidersAT&T,Sprint,Verizon,BT,Savvis,Broadwing,Qwest

AT&T-InternetProtectSprint–IPDefenderCable&Wireless–SecureInternetGatewayMCI–DDoSDefenseDetection&MitigationSAAVIS–NetworkbasedDDOSMitigationServiceNTT–DDOSAttackProtectionServiceIIJ–DDoSProtectSystemURLATT

:InternetProtectw/DDoSMitigation:://=ProductSub-Category&repoitem=eb_internet_protect&serv_port=eb_security&serv_fam=eb_internet_protect&

S