我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!

DDoS终结者 测思科防DDoS攻击系统

2011年12月15日21:02 阅读: 14099 次
DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈。另外,攻击过程中目标主机也必然陷入瘫痪。
国内已经有越来越多的网站(Discuz、IM286等)中招落马,因此本报评测员,协同本地xx电信运营商在重庆市建立的互联网交换中心(IXC),对思科Riverhead防DDoS攻击系统进行了测试(目前该系统在国内仅有两套测试设备)。为你提供专业的解决方案。
一、背景资料
本次测试采用的思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司的产品,在对付DDoS方面做出了非常重要的创新,提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线。
该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成。在国外电信运营商、门户网站、在线游戏公司及在线支付公司应用比较广泛,其最终用户包括全球5大应用软件生产商、媒体公司和金融企业等,AT&T、Sprint、Rackspace、Datapipe等ISP均是其客户。
本次测试,我们将以xx电信运营商现有的网络结构及环境为例。由于××电信运营商的客户对网络的安全性、可靠性等指标要求不断提升,而且网络的应用类型也多种多样,因此,如何对现有的网络方案进行优化和完善,提高互联网数据中心(IDC)对目前流行的DDoS攻击的防御能力,就成为IDC需要着重考虑的课题,





二、方案原理
针对上述的需求,作为在网络安全方面全球最大、最强的公司,思科系统推荐采用基于Guard和Detector的DDoS防御方案。





1.开始的时候Guard不对被保护对象进行保护,没有任何数据流流经Guard,此时Guard为离线设备。Detector收到交换机通过端口镜像过来的通往保护对象的数据流后,通过算法分析和策略匹配,发现了被保护对象正受到攻击。
2.Detector建立起到Guard的SSH连接,通知Guard对被保护对象进行保护。
3.Guard通过BGP路由更新告知与它相连的BGP对等体,路由器将目的地未被保护对象的数据流发往Guard。目的地不是被保护对象的数据流则正常流动,不受影响。





4.通过策略匹配和算法分析,识别正在进行的攻击类型,并对数据流进行处理(识别伪造源地址、过滤非法数据包、速率限制等),在此阶段,攻击数据被清除。
5.被过滤过的数据流被再次发回与它相连的BGP对等体(或者是该对等体下游的其它三层设备),因此,合法的数据流连接仍然正常工作。


三、 测试环境及方法
利用现有的网络环境,包括图1中的GSR、OSR、6509、4507R和2950,在本次测试中,Guard和Detector只与图1的一台6509和4507R相连,在GSR上做了少量路由的改动,保证来往于被保护对象的数据流总是从我们指定的6509经过,避免由于2台6509的Load Balance造成测试误差。
由于Guard和Detector上均有2个GE接口,因此,我们可以配置Guard和Detector同时与两台6509相连(此时Guard不采用串联在4507R和6509之间的方式,而是单臂连接到6509上,进入到Guard的数据流从同一个接口返回),这样,对整个IDC的保护将更加完整。





客户端测试手段:FTP客户端软件(leapftp)、Ping;
服务器端测试手段: FTP服务器端软件(3CServer)、Ping、Windows任务管理器;
攻击工具:DDoS攻击工具箱(基于Linux)。
1. 发起网络攻击时
1)Client端:丢包率为0,时延<10ms,表现正常。下载速率>=2Mbps,工作正常。
2)Server端:CPU使用率约等于0%,网卡带宽利用率约等于0%。

分享到: 更多
蓝客门户
©2001-2017 中国蓝客联盟 版权所有.
关于蓝客联盟历史宗旨章程技术服务联系我们蓝客社区