来源:it168
DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行
![](/icons/88816de.gif)
![](/icons/88816yi.gif)
种简单而致命
![](/icons/88816de.gif)
网络攻击
![](/icons/88816dou.gif)
由于TCP/IP协议
![](/icons/88816de.gif)
这种会话机制漏洞无法修改
![](/icons/88816dou.gif)
因此缺少直接有效
![](/icons/88816de.gif)
防御手段
![](/icons/88816dou2.gif)
大量例子证明利用传统设备被动防御基本是徒劳
![](/icons/88816de.gif)
![](/icons/88816dou.gif)
而且现有防火墙设备还会
![](/icons/88816yinwei.gif)
有限
![](/icons/88816de.gif)
处理能力陷入瘫痪
![](/icons/88816dou.gif)
成为网络运行瓶颈
![](/icons/88816dou2.gif)
另外
![](/icons/88816dou.gif)
攻击过程中目标主机也必然陷入瘫痪
![](/icons/88816dou2.gif)
国内已经有越来越多
![](/icons/88816de.gif)
网站WebSite(Discuz、IM286等)中招落马,因此本报评测员
![](/icons/88816dou.gif)
协同本地xx电信运营商在重庆市建立
![](/icons/88816de.gif)
互联网交换中心(IXC)
![](/icons/88816dou.gif)
对思科Riverhead防DDoS攻击系统进行了测试(目前该系统在国内仅有两套测试设备)
![](/icons/88816dou2.gif)
为你提供专业
![](/icons/88816de.gif)
解决方案
、背景资料
本次测试采用
![](/icons/88816de.gif)
思科防DDoS攻击解决方案是思科收购和整合名为Riverhead公司
![](/icons/88816de.gif)
产品
![](/icons/88816dou.gif)
在对付DDoS方面做出了非常重要
![](/icons/88816de.gif)
创新
![](/icons/88816dou.gif)
提出了“导向”概念和防御DDoS攻击两条最关键防线:反欺骗防线和统计分析防线
![](/icons/88816dou2.gif)
该系统由智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成
![](/icons/88816dou2.gif)
在国外电信运营商、门户网站WebSite、在线游戏公司及在线支付公司应用比较广泛
![](/icons/88816dou.gif)
其最终用户包括全球5大应用软件Software生产商、媒体公司和金融企业等
![](/icons/88816dou.gif)
AT&T、Spr
![](/icons/88816int.gif)
、Rackspace、Datapipe等ISP均是其客户
![](/icons/88816dou2.gif)
本次测试
![](/icons/88816dou.gif)
我们将以xx电信运营商现有
![](/icons/88816de.gif)
网络结构及环境为例
![](/icons/88816dou2.gif)
由于××电信运营商
![](/icons/88816de.gif)
客户对网络
![](/icons/88816de.gif)
安全性、可靠性等指标要求不断提升
![](/icons/88816dou.gif)
而且网络
![](/icons/88816de.gif)
应用类型也多种多样
![](/icons/88816dou.gif)
因此
![](/icons/88816dou.gif)
如何对现有
![](/icons/88816de.gif)
网络方案进行优化和完善
![](/icons/88816dou.gif)
提高互联网数据中心(IDC)对目前流行
![](/icons/88816de.gif)
DDoS攻击
![](/icons/88816de.gif)
防御能力
![](/icons/88816dou.gif)
就成为IDC需要着重考虑
![](/icons/88816de.gif)
课题
![](/icons/88816dou.gif)
IDC拓扑结构
2、方案原理
针对上述
![](/icons/88816de.gif)
需求
![](/icons/88816dou.gif)
作为在网络安全方面全球最大、最强
![](/icons/88816de.gif)
公司
![](/icons/88816dou.gif)
思科系统推荐采用基于Guard和Detector
![](/icons/88816de.gif)
DDoS防御方案
![](/icons/88816dou2.gif)
1.开始
![](/icons/88816de.gif)
时候Guard不对被保护对象进行保护
![](/icons/88816dou.gif)
没有任何数据流流经Guard
![](/icons/88816dou.gif)
此时Guard为离线设备
![](/icons/88816dou2.gif)
Detector收到交换机通过端口镜像过来
![](/icons/88816de.gif)
通往保护对象
![](/icons/88816de.gif)
数据流后
![](/icons/88816dou.gif)
通过算法分析和策略匹配
![](/icons/88816dou.gif)
发现了被保护对象正受到攻击
![](/icons/88816dou2.gif)
2.Detector建立起到Guard
![](/icons/88816de.gif)
SSH连接
![](/icons/88816dou.gif)
通知Guard对被保护对象进行保护
![](/icons/88816dou2.gif)
3.Guard通过BGP路由更新告知和它相连
![](/icons/88816de.gif)
BGP对等体
![](/icons/88816dou.gif)
路由器将目
![](/icons/88816de.gif)
地未被保护对象
![](/icons/88816de.gif)
数据流发往Guard
![](/icons/88816dou2.gif)
目
![](/icons/88816de.gif)
地不是被保护对象
延伸阅读
最新评论