Cisco防DOS攻击方案介绍

CiscoCleanPipes®DDoS攻击防御解决方案设计V1.0TableofContents一：综述..............................................................................................................................................................................31.1DOS和DDOS攻击概述.............................................................................................................................................4二：解决方案简介..............................................................................................................................................................6三：目标市场......................................................................................................................................................................7解决方案的优势..............................................................................................................................................................7四：网络架构......................................................................................................................................................................84.1防御............................................................................................................................................................................94.2检测..........................................................................................................................................................................104.3威胁消除..................................................................................................................................................................11五：解决方案组件............................................................................................................................................................125.1思科流量异常检测器XT.........................................................................................................................................125.2CISCONETFLOW........................................................................................................................................................135.3ARBORPEAKFLOWSP................................................................................................................................................145.4CISCOGUARDXT......................................................................................................................................................15六：DDOS防御流程........................................................................................................................................................17七：DDOS防御模式概述.................................................................................................................................................227.1托管网络服务模式...................................................................................................................................................227.2主机托管服务模式...................................................................................................................................................247.3托管对等服务模式...................................................................................................................................................257.4基础设施保护模式...................................................................................................................................................26一：综述在现代企业的日常运营中，网络正在扮演着越来越重要的角色。但是，网络也在迅速地发展成为被威胁和攻击的对象。分布式拒绝服务（DDoS）攻击是最常见的攻击之一。这些攻击的主要目标是阻止合法用户对某个特定的计算机或者网络资源的正常访问。这些攻击的方法是一些攻击者通过向目标发送大量恶意请求，导致计算机服务器和网络设备的性能降低和网络服务中断，或者网络连接的带宽达到饱和。DDoS攻击正在以惊人的速度增加。因为这些攻击而导致的服务中断，已经使得那些利用互联网开展业务的企业损失了数十亿美元。为了防御这种难以避免的而且日益严重的网络威胁，思科为电信运营商及其客户提供了一个全新的安全解决方案――CleanPipesDDoS防御解决方案。它是思科的电信运营商托管安全服务的组成部分。通过部署这套全面的托管安全服务，电信运营商能够以很少的开支，帮助他们的企业客户保障网络安全。思科CleanPipes解决方案包含了思科交换机和路由器中内嵌的思科网络平台保护（NFP）技术。它可以加固基础设施的数据、控制、管理和服务平面，防御各种安全威胁。思科CleanPipes解决方案包含多个功能组件，包括检测、威胁消除，以及流量转移和注入。该解决方案可以区分合法流量与非法流量，丢弃恶意流量和传输有用流量，有效地保护网络免受DDoS攻击的影响。思科提供了多种DDoS防御模式，包括托管网络、主机托管、基础设施和托管对等网络。本文中《DDoS防御模式概述》部分将详细介绍这些模式。思科CleanPipes解决方案是为了实现下列目标：•帮助企业用户有效地防御DDoS攻击，从而最大限度地提高在线服务和业务的连续性。通过检测SP网络或者客户终端中的攻击，该防御系统可以提供必要的技术，帮助用户清除攻击流量和只允许合法流量使用从SP网络到客户网络的、带宽有限的连接。SP将以托管安全服务的形式向企业客户提供这种保护。除了SP以外，托管供应商还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。•确保SP网络中的网络资源（例如路由器、DNS、SMTP、电子邮件和）具有足够的安全性，不会受到DDoS攻击的影响。•帮助SP防止价格昂贵的高速骨干网连接（例如跨海连接和经由某个传输电信运营商的PoP间连接）和低速连接因为DDoS攻击而发生带宽饱和。•帮助电信运营商确保自治系统间高速连接（例如OC-48c/STM-16cPOS）、跨海连接和与下游ISP的连接可以承受大规模的DDoS攻击。近年来，一些引起广泛关注的攻击的强度曾达到每秒几千兆的规模。如果不采取任何保护机制，如此大规模的攻击很容易导致这些高速连接的带宽达到饱和，降低其中传输的合法流量的速度，甚至导致骨干网基础设施陷入瘫痪。1.1DoS和DDoS攻击概述DoS攻击的主要特征是攻击者试图阻止合法用户使用一项网络服务。DDoS攻击包括威胁互联网计算机的安全和放置特洛伊木马程序。这是一种恶意的、不会自动复制的程序，它会伪装成良性程序，有意地执行一些用户并不希望的操作。众多的特洛伊木马程序会遵照一台由攻击者控制的主服务器的指示，在指定的时间以特定的方式共同发动攻击。注为了方便起见，如非特别说明，本文余下的部分将用DDoS一词代表DoS和DDoS。DDoS攻击主要有两种类型。第一种攻击采取的方法是利用攻击对象上已有的软件漏洞，向其发送少量的畸形数据包，导致攻击对象的服务性能大幅降低和整个系统发生崩溃。这种攻击可以通过安装针对有缺陷软件的补丁程序，方便地加以避免。第二种则是利用大量的无效或恶意数据数据包导致攻击对象的资源（例如CPU、内存、缓存、磁盘空间和带宽）不堪重负，从而降低服务性能或者导致服务中断。这种攻击相对而言更加难以防御，因为合法数据包和无效数据包看起来非常类似。下面列出了一些最常见的DDoS攻击：缓存溢出攻击－试图在一个缓存中存储超出其设计容量的数据。这种多出的数