DDoS终结者 测思科防DDoS攻击系统.doc

DDoS 终结者测思科防 DDoS 攻击系统来源: :佚名时间: 2006-11-02 09:49:35 DDoS( 分布式拒绝服务)攻击是利用 TCP/IP 协议漏洞进行的一种简单而致命的网络攻击,由于 TCP/IP 协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈。另外,攻击过程中目标主机也必然陷入瘫痪。国内已经有越来越多的网站(Discuz 、 IM286 等)中招落马,因此本报评测员,协同本地 xx 电信运营商在重庆市建立的互联网交换中心(IXC) ,对思科 Riverhead 防 DDoS 攻击系统进行了测试(目前该系统在国内仅有两套测试设备)。为你提供专业的解决方案。一、背景资料本次测试采用的思科防 DDoS 攻击解决方案是思科收购和整合名为 Riverhead 公司的产品,在对付 DDoS 方面做出了非常重要的创新,提出了“导向”概念和防御 DDoS 攻击两条最关键防线:反欺骗防线和统计分析防线。该系统由智能化 DDoS 防护系统侦测器 Detector 和防护器 Guard 两部分构成。在国外电信运营商、门户网站、在线游戏公司及在线支付公司应用比较广泛,其最终用户包括全球 5大应用软件生产商、媒体公司和金融企业等, AT&T 、 Sprint 、 Rackspace 、 Datapipe 等 ISP 均是其客户。本次测试,我们将以 xx 电信运营商现有的网络结构及环境为例。由于×× 电信运营商的客户对网络的安全性、可靠性等指标要求不断提升,而且网络的应用类型也多种多样,因此,如何对现有的网络方案进行优化和完善,提高互联网数据中心(IDC) 对目前流行的 DDoS 攻击的防御能力,就成为 IDC 需要着重考虑的课题, IDC 拓扑结构如图 1。图1二、方案原理针对上述的需求,作为在网络安全方面全球最大、最强的公司,思科系统推荐采用基于 Guard 和 Detector 的 DDoS 防御方案,示意图如图 2。图2 Guard 不对被保护对象进行保护,没有任何数据流流经 Guard ,此时 Guard 为离线设备。 Detector 收到交换机通过端口镜像过来的通往保护对象的数据流后,通过算法分析和策略匹配,发现了被保护对象正受到攻击。 建立起到 Guard 的 SSH 连接,通知 Guard 对被保护对象进行保护。 通过 BGP 路由更新告知与它相连的 BGP 对等体,路由器将目的地未被保护对象的数据流发往 Guard 。目的地不是被保护对象的数据流则正常流动,不受影响(图 3) 。图3 ,识别正在进行的攻击类型,并对数据流进行处理(识别伪造源地址、过滤非法数据包、速率限制等),在此阶段,攻击数据被清除。 BGP 对等体(或者是该对等体下游的其它三层设备),因此,合法的数据流连接仍然正常工作。三、测试环境及方法利用现有的网络环境,包括图 1中的 GSR 、 OSR 、 6509 、 4507R 和 2950 ,在本次测试中, Guar d 和 Detector 只与图 1的一台 6509 和 4