订阅以接收新文章的通知:

Magic Transit 中基于通信流的监控

2021-02-26

3 分钟阅读时间
这篇博文也有 English日本語版本。

网络层 DDoS 攻击愈演愈烈,安全团队不得不重新考虑思索其 L3 DDoS 缓解策略,以防业务受到影响。Magic Transit 将我们的网络置于客户网络的之前,保护客户的整个网络免受 DDoS 攻击,有永远在线或按需使用两种选择。今天,我们推出一项新的功能来改善Magic Transit 中按需使用客户的体验:基于通信流监控。借助基于通信流监控功能,我们能够检测威胁并在客户遭受攻击时通知客户,以便他们激活 Magic Transit 来实现防护。

Magic Transit 是 Cloudflare 提供的解决方案,可在 IP 层提供保护并加速您的网络。借助 Magic Transit,您可以从各个 Cloudflare 数据中心获得DDoS 保护服务、流量加速和其他网络功能。凭借 Cloudflare 的全球网络(覆盖 200 多个城市,容量达 59 Tbps)和在边缘节点3 秒内快速缓解攻击,即便是最巨大、最复杂的攻击,您也可以轻松拿下,性能也不会受到影响。如需进一步了解 Magic Transit,请访问此处

按需使用 Magic Transit

借助 Magic Transit,Cloudflare通过 BGP 向互联网广播客户的 IP 前缀,将流量吸引到我们的网络来实施 DDoS 保护。客户可以选择 Magic Transit 的永远在线或按需使用模式。使用永远在线模式时,我们会始终广播其 IP 并缓解攻击;对于按需模式,客户仅在其网络受到主动攻击时才激活广播。不过,按需模式存在一个问题:如果流量路由未通过 Cloudflare 的网络,那么当您发现自己遭受攻击并激活 Magic Transit 进行缓解时,您的业务或许已经受到了影响。

按需模式与基于通信流监控搭配

借助基于通信流的监控,Cloudflare 能够基于源自您的数据中心的通信流来检测攻击并通知您,从而解决与按需模式相关的问题。您可以对路由器进行配置,以持续向 Cloudflare 发送 NetFlow 或 sFlow(即将推出)。我们会获取您的通信流数据,并对其进行大型 DDoS 攻击分析。

将您的网络通信流数据发送到 Cloudflare 进行分析

检测到攻击时,我们会自动(通过电子邮件、webhook 和 PagerDuty)通知您相关攻击的信息。

Cloudflare 基于您的通信流数据检测攻击

您可以选择手动激活 Magic Transit 的 IP 广播(我们支持通过 Cloudflare 仪表板或 API 激活),也可以选择自动激活,以最大程度地缩短缓解时间。一旦激活 Magic Transit,并且您的流量经由 Cloudflare 后,您将仅收到通过 GRE 隧道流回到您网络的干净流量。

激活 Magic Transit 以实施 DDoS 防护

将基于通信流监控与 Magic Transit 按需模式搭配使用,您的团队可以安枕无忧。只需完成简单的一次性设置,便可放心 Cloudflare 在您遭受攻击时通知您(自动开始保护您的网络),不会再等到攻击影响您的业务后才做出响应。一旦激活 Magic Transit,您便处于 Cloudflare 全球网络和业界领先 DDoS 保护之中:您的用户可以继续照常开展业务,性能不受任何影响。

基于通信流监控的工作流程示例:加快 Acme Corp 的缓解时间

我们来通过一个示例,逐步了解 Magic Transit 按需模式和基于通信流监控的部署过程和工作流程。Acme Corp 的网络最近遇到了大规模勒索型 DDoS 攻击,导致面向外部和内部的应用程序出现服务中断。为确保它们不会再次受到影响,Acme 网络团队选择设置按需使用 Magic Transit。他们授权 Cloudflare 在攻击发生时将其 IP 前缀广播到互联网,并设置 Anycast GRE 隧道来接收从 Cloudflare 传回的干净流量。最后,他们对每个数据中心的路由器进行配置,将 NetFlow 数据发送到 Cloudflare Anycast IP。

Cloudflare 用靠近发送方的数据中心接收 Acme 的 NetFlow 数据(感谢 Anycast!),并对其进行 DDoS 攻击分析。当流量超过攻击阈值时,Cloudflare 会触发自动 PagerDuty 事件 以通知 Acme 的 NOC 团队,并开始使用 BGP 将 Acme 的 IP 前缀广播到互联网。短短几分钟后,Acme 的流量(包括攻击)便开始经由 Cloudflare 网络,攻击也在Cloudflare边缘被阻止。干净流量通过其 GRE 隧道回到 Acme,对终端用户零干扰,他们甚至永不知道 Acme 受到了攻击。攻击消退之后,Acme 的团队可以一键从 Cloudflare 撤回其前缀,使流量回到正常的路径。

当攻击消退时,将您的前缀从 Cloudflare 撤回以恢复正常

开始使用

若要进一步了解 Magic Transit 和基于通信流监控,马上联系我们

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻Magic Transit安全性DDoSAttacks

在 X 上关注

Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

相关帖子

2024年11月06日 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....