问题描述 现有全球 20 个机房,单机房出口峰值带宽 500Gbps ,业务网段采用 Anycast 方式全网统一宣告。 正常业务流量下流量可均匀分散至各节点,带宽资源利用率良好。
但遭遇 DDoS 攻击时存在明显缺陷:
若攻击者定向针对单一机房节点发起大流量攻击,该节点 500Gbps 带宽被快速打满后直接瘫痪不可用; 此时撤销攻击机房路由宣告,根据 BGP 选路原则流量会进入 19 个机房的其中一个,最终结果还是一样被打死,最终形成多米多骨牌;
请问该如何彻底解决该问题?
 |
1
NewYear 17 小时 52 分钟前
放弃这个架构。
自己调度节点会好点。 DDOS 的本质是伪造 IP ,互联网谁都不管伪造 IP 这个事,各个运营商接入商谁都闭着眼睛当做看不见,才导致成为了问题。 |
 |
2
jonathan001 OP @NewYear 自己调度节点也需要解决入口流量问题。不好搞。
|
|
3
NewYear 17 小时 41 分钟前
|
|
4
jonathan001 OP @NewYear 我什么也没有,就像知道底层的运作原理,从而开开眼界。
|
Select Language