问题描述 现有全球 20 个机房,单机房出口峰值带宽 500Gbps ,业务网段采用 Anycast 方式全网统一宣告。 正常业务流量下流量可均匀分散至各节点,带宽资源利用率良好。
但遭遇 DDoS 攻击时存在明显缺陷:
若攻击者定向针对单一机房节点发起大流量攻击,该节点 500Gbps 带宽被快速打满后直接瘫痪不可用; 此时撤销攻击机房路由宣告,根据 BGP 选路原则流量会进入 19 个机房的其中一个,最终结果还是一样被打死,最终形成多米多骨牌;
请问该如何彻底解决该问题?
 | 1 NewYear 3 天前 放弃这个架构。 自己调度节点会好点。 DDOS 的本质是伪造 IP ,互联网谁都不管伪造 IP 这个事,各个运营商接入商谁都闭着眼睛当做看不见,才导致成为了问题。 |
 | 2 jonathan001 OP @NewYear 自己调度节点也需要解决入口流量问题。不好搞。 |
Select Language