《大流量DDOS攻击之部署方案ppt课件.ppt》由会员分享,可在线阅读,更多相关《大流量DDOS攻击之部署方案ppt课件.ppt(30页珍藏版)》请在三一办公上搜索。
1、郭 庆,大流量DDOS攻击的全网解决方案,议程,DDOS攻击的近况全网DDOS缓解方案部署要点设备选型其他,DDOS攻击的近况,DDOS攻击的近况,主要攻击分析以前主要攻击是TCP Sync为主的DDOS,近期已经转变成基于ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击(IDC近期的攻击,单个IP遭受10G以上的攻击)攻击影响范围之前的TCP Sync攻击流量相对较小,主要受影响为用户主机或网络,目前的特大流量网络攻击已经影响到城域网的基础网络架构,主要表现为国干至城域网的中继中断,板卡转发异常,城域网内的网络中继拥塞等,受影响的不只是被攻击的用户,还波及相当数
2、量的其他用户。城域网宽带用户受攻击严重,主要涉及IDC,网吧,近期甚至出现针对普通宽带拨号用户的攻击,UDP 80 为主的DDOS攻击现场,碎片为主的DDOS攻击现场,ICMP flood+Syn flood混合攻击现场,全网DDOS缓解方案部署要点,DDOS泄洪原理 上游力保下游堤坝安全,预警能力(Bornet,SuperWarm)对客户服务分级区别处理能力事后分析报表提高客户满意度能力,城域网,全网DDOS清洗中心部署要点,骨干网,骨干网部署:缓解城域网出口压力城域网部署:保护VIP,网吧,专线用户以及IDC出口的带宽资源IDC部署:保护托管服务器的业务永续运行网间部署:控制网间异常流量的
3、费用均可专业防护DNS,Radius,SIP ServerDDOS检测部署:广域网Netflow,MSS/IDC 部署Detector,Guard清洗中心,ASBR 网间路由器,城域网出口清洗中心,IDC,Detector,VIP大客户,Detector,网吧等宽带用户,CE,DDN,IDC清洗中心,ISP,Guard清洗中心,大流量DDOS处理流程,设备选型,独立设备,Dual Xeon 3G Processor 双致强3G CPUAlone DDOS Chips 专用DDOS处理板与芯片,推荐Sup720,Sup32 不支持,Sup2支持但不推荐Cat6k IOS support:12.2
4、(18)SXD3 or later7600 IOS support:12.2(18)SXE or later 面板上有Reset键,重启后,sh mod,直到软件版本显示方可Sess Slot,Cat6K/7600 板卡注意事项,主推模块 DDOS专业处理器,SimpsonDaughtercard,Komodo plusBase board,模块逻辑连接图,Management Path,Data Path,Anomaly Guard Module Packet Flow Supervisor 2/SFM or Supervisor 720,RoutingTable,Master FIB Ta
5、ble,Supervisor 2 or Supervisor 720,R(x)000 CPU,Cisco Catalyst 6000 32 Gbps BUS,Output Line Card,AnomalyGuardModule,Si,Si,Si,Si,Si,1,2,3,Input Line Card,4,5,CrossbarFabric,CrossbarFabric,Si,其他,设备64字节DDOS实测线速报告,Clean Pipe 案例点评,Managed DDoS Service Providers,AT&T,Sprint,Verizon,BT,Savvis,Broadwing,Qwes
6、t,AT&T-Internet Protect,Sprint IP Defender,Cable&Wireless Secure Internet Gateway,MCI DDoS Defense Detection&Mitigation,SAAVIS Network based DDOS Mitigation Service,NTT DDOS Attack Protection Service,IIJ DDoS Protect System,URL,ATT:Internet Protect w/DDoS Mitigation:http:/SprintIP Defender:http:/:WAN Defensehttp:/DDoS mitigationhttp:/COM-Veriohttp:/,Guards and Detectorin Telstras,
