使用anycast抵御DDOS的方案

前面有多次介绍Anycast的相关内容。这几年伴随每次cloudflare被大规模DDOS，Anycast被越来越多的人关注。
根据cloudflare的blog和公开的PPT，大致可以猜出其CDN的部署模式是下图

因为Cloudflare单个节点基本都在300G以上，全球就几十个节点。因此一般几百G的DDOS在网络层对Cloudflare无法构成威胁。cloudflare的风险点主要还是应用层的防护性能。
部署TCP的anycast时，需要注意的点：
1. 交换机的hash规则配置，节点内单个机器维护时hash结果会变，会引起闪断。这对于一般的HTTP服务影响不大，但是如果想改善体验，可以在应用服务器上同步好TCP session。
2. 隐藏自己的网络接口地址，不然traceroute找到中间网络接口地址，攻击者攻击中间链路是没法阻止的。
3. 各服务使用独立的anycast 地址，各服务异常时不会相互影响，服务异常时能自动撤销路由，但是注意得设置好quota，不热一些异常可能导致所有节点的路由都撤销了。
4. 确保global节点的具备足够的接入带宽，某些区域性的攻击过大，如果global节点能抗住可以把流量攻击引入到global节点处理。