珠联璧合,云地协同——本地抗D+黑洞云清洗

闻名于世的珍宝,一件是“和氏璧”,另一件是“随侯珠”,二者合称为“和璧随珠”,又称“珠联璧合”。常被人们用于比喻杰出的人才或美好的事物结合在一起。今年绿盟科技抗拒绝服务(ADS)产品团队也做了一件“珠联璧合”的大事。

绿盟抗拒绝服务系统(ADS)作为本地抗D神器一直得到大家的好评,去年推出的黑洞云清洗服务在应急响应速度和大流量防护方面表现突出。我们一直在提倡“云地人机”协同防御,这其中的云清洗服务和本地清洗设备该如何联动,协同配合?

客户也经常抱怨本地出口带宽被恶意流量打爆,本地清洗设备再牛也无能为力。考虑云清洗服务,客户又不想一直使用云清洗服务,希望平时以本地清洗为主,在有需要的时候(出口被打爆)可以自动调度云端清洗资源,攻击过去之后再恢复过来,这样既安全又省钱,还不用太操心。这是一个非常典型的云地联动场景。抗D的本质就是资源的对抗,好的抗D资源就应该“璧合”在一起。

我们通过绿盟云打通了本地设备和云清洗资源的技术联动通道。绿盟云上提供黑洞云清洗服务的自服务页面、本地设备流量的展示页面和本地设备联动云清洗资源,以后每增加一种设备或云清洗资源,都可以快速集成进来,而不用单独开发,快速实现云地联合抗D。

目前支持绿盟本地设备——绿盟抗拒绝服务ADS、绿盟网络流量分析系统NTA和绿盟NF防火墙系统——联动黑洞云清洗服务,具体操作流程如下:

1.在绿盟云开通黑洞云清洗服务的自服务;

2.客户或绿盟代维工程师登录黑洞云清洗自服务页面,添加绿盟本地清洗设备,如ADS、NTA或NF;

3.本地设备上使能绿盟云的接入功能:

4.黑洞云清洗服务客户自服务页面上会展示本地设备上传的流量信息:

可以展示流量趋势图和TOP IP流量:

  • ADS设备流量趋势图中包含TOP5目的IP流量
  • NTA设备流量趋势图中包含TOP5目的IP流量
  • NF设备流量趋势图中只有流量趋势无具体IP流量大小

以及对以上内容进行最近30分钟、最近3小时、最近12小时、最近3天,自定义时间来筛选显示。

5.设置触发联动云清洗服务的阈值:

攻击流量阈值:攻击流量阈值是根据IP列表中IP流量大小来判断是否超过指定阈值并触发联动云清洗服务。

带宽利用率:整个机房流量超过设置的带宽利用率的值则触发联动云清洗服务。

6.配置好上述动作后,设备就可以按需联动黑洞云清洗资源了。

本地设备联动黑洞云清洗服务资源:

受国内流量牵引技术方式所限,暂时不能做到自动联动(涉及到DNS的修改,只有客户自身有权限手动操作),达到阈值触发条件后,客户、客户经理和绿盟工程师将收到如下告警短信:

【绿盟科技】尊敬的XXX,您的资产:[‘xxx.xxx.xx.xx’]目前流量为XX M,已超过阈值,您可以登录https://cloud.nsfocus.com/ 了解详情,如有疑问,请拨打电话:010-68438880-5675回复TD退订

收到该短信后,绿盟工程师会协助客户将流量以最快的速度牵引到黑洞云清洗服务涉及的高防机房上进行清洗。比以往客户发现网站不可用,再判断被DDoS攻击再响应的模式更快。如果客户提供DNS修改的权限和API接口,可以通过定制实现流量自动切换。

除此之外本地设备还能自动联动电信云堤的流量压制服务:

先配置好被压制IP列表、压制规则和云堤购买服务提供的账号和密码:

在添加压制规则时,配置好压制IP,压制时长,压制范围:

根据本地设备的流量情况,一旦满足触发条件则自动联动云堤进行流量压制。

执行压制操作时,可以查看被压制 ip的开始压制时间、结束压制时间,已经压制时长。

一旦触发阈值 ,自动调用云堤接口,几秒钟内实现指定IP地址或地址段的压制,客户其它业务流量快速恢复。实现客户本地设备智能自动联动云清洗资源的典型应用场景之一。

后续会将更多的清洗资源纳入联动体系,可以根据客户的情况选择最合适的云端清洗资源进行云地联动,敬请期待!

 

发表评论