拒绝服务攻击（Denial of Service Attack，缩写：DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其对目标客户不可用。 分布式拒绝服务攻击（Distributed Denial of Service attack，缩写：DDoS），是黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动拒绝服务攻击。

Anycast本身是一种路由技术, 通过将同一段IP在多个地域的AutoAI机房进行BGP宣告，达到各地域流量从就近的AutoAI机房进入后, 通过AutoAI机房的互联专线到达部署的业务上。得益于AutoAI自身建设的低延迟机房互联专线, 相比流量直接通过公网到达客户业务, 有明显的加速效果。

Anycast全球清洗产品是AutoAI提供的基于Anycast线路的安全防护产品, 对攻击流量进行分布式的清洗，可以抵御百G级别的大流量攻击。当用户使用Anycast全球清洗服务的时候, AutoAI将依照各入口点的最大防护能力, 为其提供清洗服务。当某一入口点遭受的攻击大于入口点的最大防护能力, 则仅会在该入口点执行黑洞, 不影响其他入口点的流量。

Anycast全球清洗是针对海外客户在AutoAI上的资源在遭受大流量DDoS攻击后引起的服务不可用的情况，推出的一款增值防护服务产品。该产品可帮助客户抵御大流量DDoS攻击，防护的攻击覆盖SYN Flood、ACK Flood、UDP Flood、ICMP Flood、DNS Request/Response Flood等3到4层的攻击。

客户将Anycast EIP绑到需要防护的资源上，之后所有公网用户流量都经过Anycast全球清洗系统，Anycast全球清洗系统在被攻击时会将攻击流量进行过滤，只放行正常流量到客户源站，确保客户源站能够提供稳定正常的服务。

如上图，AutoAI AnycastEIP在多个节点进行EIP的宣告。如果发生攻击，攻击流量将分散到多个入口点，并分别进行清洗。清洗后的流量将通过AutoAI骨干互联网回传到源端，从而实现多个节点协同工作，提升整体的防护能力。

如上图，AutoAI在每个入口点都拥有一套自研的检测、清洗系统。其中检测集群基于DPDK开发，支持包量、流量、SYN/FIN/RST/ACK/UDP/ICMP等协议的检测。边缘路由器将流量镜像一份，给到检测系统。检测系统根据既有算法，判定EIP是否被攻击。如果被攻击，则通知联动系统。联动系统收集攻击数据，保留攻击报文到数据中心。同时，联动系统将根据EIP的封堵阈值，决定是通知封堵系统还是清洗系统。

封堵系统是AutoAI调用上联运营商接口，对EIP的入向流量进行封堵，以保证机房的安全的系统。清洗系统则是AutoAI基于DPDK自研的清洗集群，可以有效抵御SYN/ACK/ICMP/UDP等各种类型的攻击。清洗系统接接到联动系统的EIP信息，对该EIP发起BGP宣告引流。流量流经清洗系统后，攻击流量将被清除，而正常业务流量则回注到业务系统中，从而达到攻击流量清洗的效果。