DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行
种简单而致命网络攻击
由于TCP/IP协议这种会话机制漏洞无法修改因此缺少直接有效防御手段
大量例子证明利用传统设备被动防御基本是徒劳而且现有防火墙设备还会
有限处理能力陷入瘫痪成为网络运行瓶颈另外攻击过程中目标主机也必然陷入瘫痪国内已经有越来越多
网站WebSite(Discuz、IM286等)中招落马,因此本报评测员协同本地xx电信运营商在重庆市建立互联网交换中心(IXC)对思科Riverhead防DDoS攻击系统进行了测试(目前该系统在国内仅有两套测试设备)为你提供专业解决方案、背景资料本次测试采用
思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司产品在对付DDoS方面做出了非常重要创新提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成
在国外电信运营商、门户网站WebSite、在线游戏公司及在线支付公司应用比较广泛其最终用户包括全球5大应用软件Software生产商、媒体公司和金融企业等AT&T、Spr
、Rackspace、Datapipe等ISP均是其客户本次测试
我们将以xx电信运营商现有网络结构及环境为例由于××电信运营商客户对网络安全性、可靠性等指标要求不断提升而且网络应用类型也多种多样因此如何对现有网络方案进行优化和完善提高互联网数据中心(IDC)对目前流行DDoS攻击防御能力就成为IDC需要着重考虑课题IDC拓扑结构2、方案原理
针对上述
需求作为在网络安全方面全球最大、最强公司思科系统推荐采用基于Guard和DetectorDDoS防御方案1.开始
时候Guard不对被保护对象进行保护没有任何数据流流经Guard此时Guard为离线设备Detector收到交换机通过端口镜像过来通往保护对象数据流后通过算法分析和策略匹配发现了被保护对象正受到攻击2.Detector建立起到Guard
SSH连接通知Guard对被保护对象进行保护3.Guard通过BGP路由更新告知和它相连
BGP对等体路由器将目地未被保护对象数据流发往Guard目地不是被保护对象
最新评论