找回密码
 邀请注册

QQ登录

只需一步,快速开始

搜索

DDoS高防IP与线下机房流量清洗中心的区别

1、 流量牵引原理
l 高防IP
通过CNAME将IP地址解析到阿里云高防集群,通过DNS解析完成流量的牵引。
注意:优势是流量牵引影响范围小,但是需要保护客户的真实IP地址,真实IP地址暴露会导致防御失效。
l 线下清洗中心
异常流量检测系统配合自动路由牵引或手动路由牵引实现流量的牵引,部分线下机房检测DDoS一般会使用netflow(netstream)分析设备分析骨干链路中是否存在DDoS流量,检测到DDoS流量后会使用自动牵引或手动牵引的方式完成数据的引流。区别如下:
自动牵引:检测设备或清洗设备与核心路由器建立动态路由协议邻居关系,通过路由通告将受攻击IP下一条指向流量清洗中心接口,流量清洗中心清洗完成后再通过默认路由或MPLS将正常流量回注到机房网络完成DDoS流量的清洗。牵引的条件触发由流量分析设备判断,可能会频繁造成业务数据的抖动和中断。
手动牵引:由机房值守人员对异常流量告警进行人工干预,手动发起路由通告牵引异常流量到数据清洗中心。当攻击出现后对攻击处理的及时性与机房值守人员专业程度和责任程度相关,具有一定的不确定性。
2、 会话保持影响
l 高防IP
客户业务一旦使用高防IP后所有会话状态都会保持在高防IP中心,对于已经建立会话的业务不会造成影响,对客户业务保障性较好。
l 线下清洗中心
由于流量牵引原理是路由协议在网络层进行操作,所以进行一次路由牵引,会导致客户业务之前的所有会话状态会中断需要重新建立连接,如果自动牵引策略发生抖动,会严重影响客户正常业务。
3、 面对大流量攻击处理能力
l 高防IP
在面对几百GB或者TB级别的攻击时,阿里云高防IP客户通过内部的负载能力将攻击流量分流到各地的清洗中心进行处理,可提供弹性、可扩展的防护能力。整个过程由阿里云防护集群自动负载完成,对于客户没有感知。
l 线下清洗中心
由于采用硬件设备提供防护,所以防护能力的天花板就是本地流量清洗中心的处理能力。一般而言大型IDC机房流量清洗中心规模在50G左右。如果需要在提供高流量的DDoS防护需要向运营商购买清洗能力。所以在面对大流量攻击时整体防护效果的保障以及防护的及时性都会存在问题。
4、 防护能力共享
l 高防IP
由于阿里云的流量清洗中心的资源较多,且具有弹性、扩扩展的防护能力,所以一般情况下对客户承诺的防护能力可以100%保证。
l 线下清洗中心
由于清洗能力天花板受限于本地硬件设备,本质上线下机房所有客户是共享本地流量清洗中心的防护能力,当出现多家客户遭受DDoS攻击时很容易无法保障防护能力的提供。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 邀请注册

0关注

0粉丝

73帖子

发布
广告招商 TEL: 13800008888