什么是流量清洗?

该服务对进入客户IDC的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下，清洗掉异常流量。有效满足客户对IDC运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

产品的定位

主要面对IDC的中大型客户，尤其是对互联网络有高度依赖性的商业客户和那些不能承担由于DDoS攻击所造成巨额营业损失的客户是本产品的主要目标客户，这类客户主要有金融机构、游戏服务提供商、电子商务和内容提供商。

系统构成

抗DDoS攻击流量清洗系统由攻击检测、攻击缓解和监控管理三大部分构成。

攻击检测系统检测网络流量中隐藏的非法攻击流量，发现攻击后及时通知并激活防护设备进行流量的清洗；攻击缓解系统通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，还原出的合法流量回注到原网络中转发给目标系统，其它合法流量的转发路径不受影响；监控管理系统对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。

部署方案

通过在IDC出口通过旁挂的方式部署探测设备及防护设备，通过路由方式引导客户流量清洗，实现DDos防护功能。

产品的功能

· 实时/按需的流量清洗功能 当攻击发生时，可实时启动流量清洗服务，也可根据SLA中所签订的要求，在客户通知发生攻击后的规定时间内启动流量清洗服务。

·针对多种应用类型的流量清洗功能能够针对UDP，ICMP，HTTP，TCP等传统应用和SIP，DNS等新型应用均能进行准确的流量清洗；支持SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood和（M）Stream Flood等各类DOS攻击的防护。

·动态调整防DDOS攻击策略针对网络安全管理的情况，结合种类用户的需要，动态调整防DDOS攻击策略的配置，达到最佳的防攻击模式。

·客户订制报表定期向用户提供服务报表，对攻击过程进行记录和分析，使用户了解自身设备受到防护的过程和结果。

产品的业务模式

·自动清洗模式----流量检测设备实时监测客户业务流量，当攻击流量达到或超过客户业务的安全基线时，流量检测设备将攻击告警信息通告给清洗设备，同时开启清洗过滤流程。

·手动清洗模式----当客户发现业务异常或中断时，主动与IDC的运维支撑人员联系，IDC运维人员对攻击行为进行诊断分析，断定该故障的确是由DDoS攻击引起，然后与客户确认后在限定时间内开启防护流程。

Anti-DDoS流量清洗

Anti-DDoS流量清洗服务（以下简称Anti-DDoS）为公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，Anti-DDoS可以提升用户带宽利用率，确保用户业务稳定运行。

Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，Anti-DDoS为用户生成监控报表，清晰展示网络流量的安全状况。

什么是流量清洗？

流量清洗是用于准确识别网络中的异常流量，丢弃其中的异常流量，保证正常流量通行的网络安全设备。流量清洗的主要对象DDOS攻击。

什么是防御分布式拒绝服务？

防御分布式拒绝服务是针对分布式拒绝服务攻击的防护。

什么是分布式拒绝服务攻击？

拒绝服务攻击（Denial of Service Attack，缩写：DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当黑客使用网络上两个或以上被攻陷的电脑作为攻击机器向特定的目标发动“拒绝服务”式攻击时，称为分布式拒绝服务攻击。

Anti-DDoS流量清洗有哪些？

提供四到七层的DDoS攻击防护能力：

Anti-DDoS流量清洗服务提供四到七层的DDoS攻击防护，包括CC、SYN flood、UDP flood等所有DDoS攻击方式。

小蚁网络：www.xy3000.com

联系企鹅：1798493198

流量清洗服务是提供给租用IDC服务的政企客户，针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。

流量清洗是对进入客户IDC的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下，清洗掉异常流量。有效满足客户对IDC运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

1.本地DDos防护设备

一般恶意组织发起DDos攻击时，率先感知并起作用的一般为本地数据中心内的DDos防护设备，金融机构本地防护设备较多采用旁路镜像部署方式。

本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先，DDos检测设备日常通过流量基线自学习方式，按各种和防御有关的维度：比如syn报文速率、http访问速率等进行统计，形成流量模型基线，从而生成防御阈值。

学习结束后继续按基线学习的维度做流量统计，并将每一秒钟的统计结果和防御阈值进行比较，超过则认为有异常，通告管理中心。

由管理中心下发引流策略到清洗设备，启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。

经过异常流量清洗之后，为防止流量再次引流至DDos清洗设备，可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

2.运营商清洗服务

当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时，需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。

运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明，运营商清洗服务在应对流量型DDos攻击时较为有效。

3.云清洗服务

当运营商DDos流量清洗不能实现既定效果的情况下，可以考虑紧急启用运营商云清洗服务来进行最后的对决。

依托运营商骨干网分布式部署的异常流量清洗中心，实现分布式近源清洗技术，在运营商骨干网络上靠近攻击源的地方把流量清洗掉，提升攻击对抗能力。

具备适用场景的可以考虑利用CNAME或域名方式，将源站解析到安全厂商云端域名，实现引流、清洗、回注，提升抗D能力。进行这类清洗需要较大的流量路径改动，牵涉面较大，一般不建议作为日常常规防御手段。锐速云你身边的网络安全专家

以上三种防御方式存在共同的缺点，由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力，导致针对HTTPS流量的防护能力有限

同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击，且策略的颗粒度往往较粗，因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。

对比三种方式的不同适用场景，发现单一解决方案不能完成所有DDos攻击清洗，因为大多数真正的DDos攻击都是“混合”攻击(掺杂各种不同的攻击类型)。

比如：以大流量反射做背景，期间混入一些CC和连接耗尽，以及慢速攻击。这时很有可能需要运营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉，把链路带宽清出来在剩下的20%里很有可能还有80%是攻击流量(类似CC攻击、HTTP慢速攻击等)，那么就需要本地配合进一步进行清洗。

---