腾讯云11·11：千亿订单背后的安全“暗战”

正文

请到「今天看啥」查看全文

BGP 高防（大禹）产品是腾讯云针对电商网站遭受大流量 DDoS 攻击时服务不可用的情况推出的增值服务，提供 300G 的防护服务并拥有 35 线的 BGP 线路，帮助客户全面应对 DDoS 攻击的挑战，同时改善客户的访问体验。

图：腾讯云 DDos 防护体系架构

BGP 高防攻击检测

对于 BGP 的高防攻击检测，腾讯云采用光棱镜物理分光来做 1:1 流量镜像，旁路 Netflow 检测镜像流量，不影响客户正常业务流向，检测后的镜像流量被丢弃。检测原理主要是基于流量建模分析客户 IP 的流量中是否存在攻击流量。

• 对于清洗攻击，在检测到某个 IP 被攻击后，清洗集群向核心路由发布 BGP 牵引路由，将该 IP 的流量牵引至清洗集群防护。清洗后的干净流量，再通过 BGP 路由回注至核心路由，最终流至客户的云主机或通过转发集群流至客户在腾讯云外的机房。

• 防护算法主要是基于 IP/TCP/UDP 协议的缺陷检测及 HTTP、HTTPS 报头的分析，不涉及、不查阅业务负载报文，防护系统对客户的业务数据完全无感知。

• 云内客户通过高防包绑定需要防护的设备，来提升防护级别。

• BGP 高防专区除了提供高防服务，还同时对腾讯云客户的公网 IP 提供基础防护

• 业务部署在腾讯云的客户，可以将绑定高防包绑定至需要防护的设备，提升防护级别。

• 云外客户通过高防 IP 牵引攻击流量，保护后端业务

• 客户在腾讯云高防 IP 上配置业务转发规则；

• 客户将高防 IP 作为业务 IP 对外发布；

• 所有流量都先经过腾讯高防 IP，再转发到客户真实源站，攻击流量在高防机房被清洗。

• 高防 IP 基于公网 IP 回源，在其他云或 IDC 机房的业务，都可以接入腾讯云高防 IP 的防护

请到「今天看啥」查看全文