抗 DDoS 流量清洗系統由哪些子系統組成

抗DDoS流量清洗系統由以下三個子系統組成：

• 攻擊檢測系統：攻擊檢測系統對用戶業務流量進行逐包檢測，發現網絡流量中隱藏的非法攻擊流量（如NTP Flood、SSDP Flood、SYN Flood、ACK Flood、RST Flood、ICMPFlood、UDP Flood、DNS Query Flood、StreamFlood和HTTPGetFlood等），發現攻擊后及時通知并激活防護設備進行流量的清洗。采用的檢測技術一般包括靜態漏洞攻擊特征檢查、動態規則過濾、異常流量限速和用戶流量模型異常檢測等。

• 攻擊緩解系統：通過專業的流量凈化產品，將可疑流量從原始網絡路徑中重定向到凈化清洗中心上進行惡意流量的識別和剝離，還原出的合法流量回注到原網絡中轉發給目標系統，其他合法流量的轉發路徑不受影響。流量清洗中心一般利用IBGP或者EBGP協議，首先和城域網中用戶流量路徑上的多個核心設備（直連或者非直連均可）建立BGP Peer。攻擊發生時，流量清洗中心通過BGP協議向核心路由器發布BGP更新路由通告，更新核心路由器上的路由表項，將流經所有核心設備的被攻擊服務器的流量動態牽引到流量清洗中心進行清洗。同時流量清洗中心發布的BGP路由添加no-advertise屬性，確保清洗中心發布的路由不會擴散到城域網，同時在流量清洗中心通過路由策略不接收核心路由器發布的路由更新，從而嚴格控制對城域網造成的影響。清洗完成后，通過多種網絡協議和物理接口將清洗后的流量重新注入到城域網，主要包括策略路由、MPLS VPN、二層透傳和雙鏈路等。

• 監控管理系統：監控管理系統對流量清洗系統的設備進行集中管理配置、展現實時流量、告警事件、狀態信息監控，以及及時輸出流量分析報告和攻擊防護報告等報表。除了上述流量清洗系統外，要抵御風暴型DDoS的攻擊，IDC還必須有足夠的網絡帶寬來接收攻擊流量。因此，近年來，很多重要的網絡服務大多選擇部署在專業的IDC上，充分利用IDC的高帶寬和防護優勢。

回答所涉及的環境：聯想天逸510S、Windows 10。