DDoS终结者 测思科防DDoS攻击系统

DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击，由于TCP/IP协议的这种会话机制漏洞无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会因为有限的处理能力陷入瘫痪，成为网络运行瓶颈。另外，攻击过程中目标主机也必然陷入瘫痪。
　　国内已经有越来越多的网站(Discuz、IM286等)中招落马,因此协同本地xx电信运营商在xx市建立的互联网交换中心(IXC)，对思科Riverhead防DDoS攻击系统进行了测试(目前该系统在国内仅有两套测试设备)。提供专业的解决方案。
　　一、背景资料
　　本次测试采用的思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司的产品，在对付DDoS方面做出了非常重要的创新，提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线。
　　该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成。在国外电信运营商、门户网站、在线游戏公司及在线支付公司应用比较广泛，其最终用户包括全球5大应用软件生产商、媒体公司和金融企业等，AT&T、Sprint、Rackspace、Datapipe等ISP均是其客户。
　　本次测试，将以xx电信运营商现有的网络结构及环境为例。由于××电信运营商的客户对网络的安全性、可靠性等指标要求不断提升，而且网络的应用类型也多种多样，因此，如何对现有的网络方案进行优化和完善，提高互联网数据中心(IDC)对目前流行的DDoS攻击的防御能力，就成为IDC需要着重考虑的课题，IDC拓扑结构如图1。









针对上述的需求，作为在网络安全方面全球最大、最强的公司，思科系统推荐采用基于Guard和Detector的DDoS防御方案，示意图如图2。


   1.开始的时候Guard不对被保护对象进行保护，没有任何数据流流经Guard，此时Guard为离线设备。Detector收到交换机通过端口镜像过来的通往保护对象的数据流后，通过算法分析和策略匹配，发现了被保护对象正受到攻击。
　　2.Detector建立起到Guard的SSH连接，通知Guard对被保护对象进行保护。
　　3.Guard通过BGP路由更新告知与它相连的BGP对等体，路由器将目的地未被保护对象的数据流发往Guard。目的地不是被保护对象的数据流则正常流动，不受影响(图3)。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有