CC攻击猖狂？如何清洗就是重点之重！
首先来看下CC清洗系统的硬件架构：

可以从上图中看出，五彩数据CC清洗系统是采用异构方式组成了完整的CC清洗系统。

Layer 3和Layer 4的CC攻击由FPGA芯片实现线速超低延迟的清洗，清洗后的流量通过PCI-E总线送到自研的DPDK框架中进行进一步的Layer 7攻击的清洗或者直接转发。

xSec团队整理了一下Layer 3、Layer 4以及Layer 7的CC攻击类型供大家参考：

讲完了完了DDoS攻击类型和危害后，我们继续来揭开云甲DDoS清洗系统的面纱。

Layer 3和Layer 4的攻击大部分都是以超大攻击流量拥塞目标网络为目的，所以清洗系统在研发的时候必须要考虑在出口带宽足够清洗攻击的情况下如何快速清洗掉DDoS攻击，并且保持清洗系统整体的可靠性和稳定性。

基于上面的诉求，我们采用了Xilinx Virtex UltraScale+ VU13P作为我们的Layer 3和Layer 4的DDoS攻击清洗的核心芯片，来保证DDoS系统拥有极强的Layer 3和Layer 4 DDoS攻击清洗能力。

下面将介绍一下我们如何利用强大的Xilinx Virtex UltraScale+ VU13P构建Layer 3和Layer 4 DDoS攻击清洗引擎。

五彩数据的Layer 3和Layer 4的DDoS清洗系统拥有：[匹配引擎] [过滤引擎] [行为引擎]

云甲DDoS清洗系统过滤Layer 3和Layer 4 DDoS的攻击流程如下：

   - - - -[匹配引擎]< - - - - |

  |           |              |

  |           |(无匹配)       |(加入黑名单或白名单)

  |           V              |

  |       [过滤引擎]- - - - - -

  |           |

  |           |

  |           V       (记录)

  | - - ->[行为引擎]- - - - - -> [日志模块]

              |

              |(放行)

              V

          [x86-DPDK]

串联部署

 入向端口：2个100GbE

 出向端口：2个100GbE

 清洗性能：200Gbps / 280Mpps

 保护IP：无上限

旁路部署

 旁路双臂

  清洗端口：2个100GbE

  回注端口：2个100GbE

  清洗性能：200Gbps / 280Mpps

  保护IP：无上限

 旁路单臂

  清洗端口：共用4个100GbE

  回注端口：共用4个100GbE

  清洗性能：400Gbps / 560Mpps

  保护IP：无上限

为了提供更好更优质的CC清洗服务，五彩数据采用了串联部署模式部署，在可以不增加成本的情况下，可以提升清洗效果和用户体验。

说完了基于FPGA实现的Layer 3和Layer 4的DDoS攻击速清洗能力后，我们也来看下xSec团队用了哪些算法来保障Layer 3和Layer 4的DDoS清洗效果。