什么是抗DDoS异常流量清洗系统？

抗DDOS异常流量清洗系统主要针对采用带宽占用、服务处理能力消耗等方式的DDOS攻击进行探测分析，基于已形成的安全基线，发现有问题的异常流量，并将异常流量进行过滤，将正常的用户数据回注到主干网中，从而保证网络畅通，保证正常的业务连续性。

核心功能

抗DDOS异常流量检测系统通常由异常检测（Detector）、异常流量清洗（Guard）和管理中心（Manager）三个核心功能模块组成。

• Detector：包括一到多个硬件采集器（Agent）和一个中心服务器（Server），采用分布式处理方式，完成网络流量数据采集、流量分析和异常流量牵引等处理。Detector在异常流量管理统中可作为异常流量检测模块，也可以单独使用。
• Guard：采用高性能硬件平台，完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Guard在异常流量管理系统中可作为异常流量清洗模块，也可以单独使用。
• Manager：是一套完整的管理中心，可以对网络中所有的Detector设备和Guard设备进行统一管理、监控、审计等工作，让用户更及时，更简单，更全面的管理网络中的突发事件和异常流量。

工作流程

Detector模块负责对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Guard模块对异常流量完成牵引和过滤，Manager对网络中的Detector和Guard设备进行统一管理审计，系统通过三个模块的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。具体工作流程如下：

• 检测攻击流：异常流量检测设备Detector通过流量采集例如Netflow方式检测到异常流量，判断是否有可疑DDoS攻击存在。如果有，则通报给异常清洗设备Guard。
• 流量牵引：串联部署的异常流量清洗设备Guard则对所有通过的流量进行清洗，旁路部署异常流量清洗设备Guard通过动态路由发布，将原来去往被攻击目标IP的流量牵引至自身来进行清洗。
• 流量清洗：异常流量清洗Guard通过特征，基线，回复确认等各种方式对攻击流量进行识别，清洗。
• 流量回注：经过异常流量清洗Guard设备的清洗之后，正常访问流量被注入到原有网络中，访问目的IP。此时从被保护主机来看，并不存在DDOS攻击，服务恢复正常。

核心价值

• 高效防护各类DDOS攻击

1. 防护各种传输层的拒绝服务攻击，如SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、ICMP Flood、IP Fragment FLood、Stream Flood等。
2. 系统可以防护HTTP get/post Flood攻击、慢速攻击、TCP连接耗尽攻击、TCP空连接攻击等来自WEB的安全威胁。

• 流量控制功能

抗DDOS异常流量清洗系统除检测异常流量并进行清洗，保证业务系统正常运行外，大多数还提供了通过黑白名单，限制流量的功能，可直接对管理员发现的异常流量进行限制和清洗，保证了带宽的合理使用和业务系统的正常访问。