Anti-DDos是什么？引流回注的方式有什么区别？

1、DDOS--分布式拒绝服务攻击

• DDoS在全球的攻击事件越来越频繁，网络安全问题已经从小规模事件上升到国家安全层面，而攻击流量也越来越大，导致攻击方式也越来越多样化了
• 最为传统的DDoS攻击多利用僵尸主机（Zombies，又称Bot，即肉鸡）组成僵尸网络（Botnet）来发起。“肉鸡”是指中了木马，或者被一些人留了后门的计算机，成为“肉鸡”的计算机可以被黑客远程操控。“肉鸡”的存在多由于用户系统存在各种脆弱性导致，一旦被入侵，黑客便可轻易获得控制权。黑客在这些“肉鸡”所有者不知情的情况下，发起对既定攻击目标的攻击。其中一种比较典型的攻击就是DDoS攻击。
• 反射拒绝服务攻击又称DRDoS攻击（Distributed Reflection Denial of Service，分布式反射拒绝服务攻击）。其原理是黑客伪造成被攻击者的IP地址，向互联网上大量开放特定服务的服务器发起请求，接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中，返回响应的服务器并不知道请求源的恶意动机。黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。
• 随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复，可以用来发起反射攻击的服务器数量数量越来越少。智能家居的激增，让黑客看到了另一个可以不断挖掘的金山。这些智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议， 而UPnP设备的发现是通过源端口为1900的SSDP（简单服务发现协议）进行相互感知，黑客利用SSDP协议发动DDoS攻击成为趋势。

2、华为AntiDDoS系统

AntiDDoS方案组成：

• 检测中心：
  • 检测中心负责对流量进行检测，发现攻击后上报管理中心，由管理中心下发引流策略至清洗中心进行引流清洗。
• 清洗中心：
  • 清洗中心主要根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。
• 管理中心：
  • 即ATIC，负责检测中心和清洗中心的统一管理，是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

AntiDDoS系统配防御流程

该流程以旁路部署-动态引流的模式进行介绍：

1. 正常流量与攻击流量到达网络边界设备。
2. 网络边界设备通过端口镜像或分光器将流量复制到检测设备，检测设备检查流量是否超过定义的阈值。
3. 如果超过阈值，判定为异常流量，上报ATIC。
4. AITC根据防御策略向清洗设备下发引流策略。
5. 清洗设备收到引流任务后，向对端设备发送UNR路由。
6. 所有流量通过BGP路由被引导至清洗设备，清洗设备对异常流量进行检测，并清洗。
7. 清洗完成后，正常流量被发送回原路径。
8. 原路径上的设备通过策略路由经路由器送往目的地。

3、引流和回注

1. 引流：
   1. 是当ATIC检测到异常流量时，把待清洗的流量引导至清洗设备的过程。
   2. 静态引流
      1. 就是将所有去往防护对象的流量都引流到清洗设备进行清洗，不论流量是否存在异常。
   3. 动态引流
      1. 就是将去往防护对象的流量会先复制一份到检测设备进行检测，如果发现存在异常才会被引流到清洗设备进行清洗。如果没有异常流量，不会触发引流。
2. 回注：
   1. 是当清洗设备将异常流量清洗后，发送回原路径的过程。

典型的引流好回注模式组合方式：

1. 策略路由引流+静态路由回注
2. 策略路由引流+策略路由回注
3. BGP引流+二层回注
4. BGP引流+UNR路由回注
5. BGP引流+策略路由回注
6. BGP引流+GRE回注
7. BGP引流+MPLS LSP/V**回注

4、旁路部署中引流与回注详解

因为引流与回注发生在清洗设备上，为了方便展示，示意图中只画了清洗设备，检测设备未在图中展示。

该实例以BGP动态引流+UNR路由回注进行讲解：

前提条件：

动态引流的时候，ATIC回下发引流策略，在清洗设备上产生一条UNR路由用于引流，所以R1和清洗设备之间需要运行BGP协议进行路由的学习，并且在清洗设备上将UNR路由引入BGP协议，通过BGP协议传递UNR路由。并且为产生的UNR路由指定下一跳地址为P2接口的地址，后面用于清洗后的流量回注到R1。

1. 流量正常时，清洗设备不会进行引流，通过路由器R1能够将流量正常转发到服务器。
2. 如果发现异常流量，ATIC下发引流策略到清洗设备。
3. 清洗设备会自动产生一条UNR路由，该条路会被引入BGP协议中。
4. R1通过BGP协议学到了去往10.1.7.102的路由，并放入路由表中。
5. R1中存在两条到达10.1.7.0的路由，根据最长掩码匹配，R1选择掩码最长，匹配最精确的路由把流量送往目的网段。
6. 会将访问服务器的流量发送给清洗设备，完成引流。
7. 清洗完成后，清洗设备查找路由表，根据路由表将正常流量回注回R1。
8. 通过在R1上配置策略路由，将在P2收到的回注流量，通过策略路由发送到目的设备，否则会形成环路。