方案概述

当前，CMNet网间和网内跨省DDOS攻击流量持续快速增长，攻击事件发生也日益频繁。同时DDOS攻击类型多样，攻击手段变化频繁，单次攻击时长较短，加大了攻击检测、溯源和实时告警与处置的难度。

CMNet网间以及网内跨省、跨城域网的攻击流量占用了大量网络传输资源，造成网络拥塞，影响用户正常业务体验，同时也造成部分网间流量结算费用浪费。目前CMNet攻击流量的识别和压制主要由流控系统承担，但是由于流控系统只部署于网络出口等关键位置，难以全程全网监测攻击流量，从源头遏制攻击。因此提出在现有流控系统基础上，结合Netflow数据分析手段，增强异常流量监测、溯源及分级近源处置能力的需求。

方案功能

监测溯源系统通过SNMP协议采集路由器上的MIB数据，获得路由器各端口属性和路由器之间的连接关系。Netflow分发器，将系统收集的NetFlow数据分发到不同的采集节点进行处理。NetFlow采集计算服务器接收从分发服务器转来的骨干网边界路由器和中间路由器的NetFlow数据，计算检测标的（流向、节点、路由器、链路、协议等）的实时统计数据，并实时上报中心分析管理服务器。中心分析服务器关联汇总多个采集计算服务器上报的中间计算结果，根据检测算法，自动判断出攻击的地址、方式、强度、时间等，并生成告警。同时启动异常流量溯源计算服务，逐跳确定异常流量的转发路径，直至骨干网边界路由器，比如直接接入省网出口路由器的骨干节点。清洗系统跟监测溯源系统接口做近源清洗，同时提供清洗统计量、清洗结果统计数据。DPI设备提供攻击流量内容的深度检测，并提供对异常流量的控制能力，保护客户既有投资。

方案部署

方案对比