我們來自五湖四海,不為別的,只因有共同的愛好,為中國互聯網發展出一分力!

DDoS終結者 測思科防DDoS攻擊系統

2011年12月15日21:02 閱讀: 17720 次
DDoS(分布式拒絕服務)攻擊是利用TCP/IP協議漏洞進行的一種簡單而致命的網絡攻擊,由于TCP/IP協議的這種會話機制漏洞無法修改,因此缺少直接有效的防御手段。大量實例證明利用傳統設備被動防御基本是徒勞的,而且現有防火墻設備還會因為有限的處理能力陷入癱瘓,成為網絡運行瓶頸。另外,攻擊過程中目標主機也必然陷入癱瘓。
國內已經有越來越多的網站(Discuz、IM286等)中招落馬,因此本報評測員,協同本地xx電信運營商在重慶市建立的互聯網交換中心(IXC),對思科Riverhead防DDoS攻擊系統進行了測試(目前該系統在國內僅有兩套測試設備)。為你提供專業的解決方案。
一、背景資料
本次測試采用的思科防DDoS攻擊解決方案是思科收購和整合名為Riverhead公司的產品,在對付DDoS方面做出了非常重要的創新,提出了“導向”概念和防御DDoS攻擊兩條最關鍵防線:反欺騙防線和統計分析防線。
該系統由智能化DDoS防護系統偵測器Detector和防護器Guard兩部分構成。在國外電信運營商、門戶網站、在線游戲公司及在線支付公司應用比較廣泛,其最終用戶包括全球5大應用軟件生產商、媒體公司和金融企業等,AT&T、Sprint、Rackspace、Datapipe等ISP均是其客戶。
本次測試,我們將以xx電信運營商現有的網絡結構及環境為例。由于××電信運營商的客戶對網絡的安全性、可靠性等指標要求不斷提升,而且網絡的應用類型也多種多樣,因此,如何對現有的網絡方案進行優化和完善,提高互聯網數據中心(IDC)對目前流行的DDoS攻擊的防御能力,就成為IDC需要著重考慮的課題,





二、方案原理
針對上述的需求,作為在網絡安全方面全球最大、最強的公司,思科系統推薦采用基于Guard和Detector的DDoS防御方案。





1.開始的時候Guard不對被保護對象進行保護,沒有任何數據流流經Guard,此時Guard為離線設備。Detector收到交換機通過端口鏡像過來的通往保護對象的數據流后,通過算法分析和策略匹配,發現了被保護對象正受到攻擊。
2.Detector建立起到Guard的SSH連接,通知Guard對被保護對象進行保護。
3.Guard通過BGP路由更新告知與它相連的BGP對等體,路由器將目的地未被保護對象的數據流發往Guard。目的地不是被保護對象的數據流則正常流動,不受影響。





4.通過策略匹配和算法分析,識別正在進行的攻擊類型,并對數據流進行處理(識別偽造源地址、過濾非法數據包、速率限制等),在此階段,攻擊數據被清除。
5.被過濾過的數據流被再次發回與它相連的BGP對等體(或者是該對等體下游的其它三層設備),因此,合法的數據流連接仍然正常工作。


三、 測試環境及方法
利用現有的網絡環境,包括圖1中的GSR、OSR、6509、4507R和2950,在本次測試中,Guard和Detector只與圖1的一臺6509和4507R相連,在GSR上做了少量路由的改動,保證來往于被保護對象的數據流總是從我們指定的6509經過,避免由于2臺6509的Load Balance造成測試誤差。
由于Guard和Detector上均有2個GE接口,因此,我們可以配置Guard和Detector同時與兩臺6509相連(此時Guard不采用串聯在4507R和6509之間的方式,而是單臂連接到6509上,進入到Guard的數據流從同一個接口返回),這樣,對整個IDC的保護將更加完整。





客戶端測試手段:FTP客戶端軟件(leapftp)、Ping;
服務器端測試手段: FTP服務器端軟件(3CServer)、Ping、Windows任務管理器;
攻擊工具:DDoS攻擊工具箱(基于Linux)。
1. 發起網絡攻擊時
1)Client端:丟包率為0,時延<10ms,表現正常。下載速率>=2Mbps,工作正常。
2)Server端:CPU使用率約等于0%,網卡帶寬利用率約等于0%。

分享到: 更多
藍客門戶
©2001-2019 中國藍客聯盟 版權所有.
關于藍客聯盟歷史宗旨章程技術服務聯系我們藍客社區

女校剑道部闯关