Cisco防DOS攻击方案介绍.doc

《Cisco防DOS攻击方案介绍.doc》由会员分享，可在线阅读，更多相关《Cisco防DOS攻击方案介绍.doc（27页珍藏版）》请在三一办公上搜索。

1、Cisco Clean Pipes DDoS攻击防御解决方案设计V1.0Table of Contents一：综述31.1 DoS和DDoS攻击概述4二：解决方案简介6三：目标市场7解决方案的优势7四：网络架构84.1 防御94.2 检测104.3 威胁消除11五：解决方案组件135.1 思科流量异常检测器XT135.2 Cisco Netflow135.3 Arbor Peakflow SP145.4 Cisco Guard XT15六：DDOS 防御流程17七：DDOS 防御模式概述227.1 托管网络服务模式227.2 主机托管服务模式247.3 托管对等服务模式257.4 基础设施保护

2、模式26一：综述在现代企业的日常运营中，网络正在扮演着越来越重要的角色。但是，网络也在迅速地发展成为被威胁和攻击的对象。分布式拒绝服务（DDoS）攻击是最常见的攻击之一。这些攻击的主要目标是阻止合法用户对某个特定的计算机或者网络资源的正常访问。这些攻击的方法是一些攻击者通过向目标发送大量恶意请求，导致计算机服务器和网络设备的性能降低和网络服务中断，或者网络连接的带宽达到饱和。DDoS 攻击正在以惊人的速度增加。因为这些攻击而导致的服务中断，已经使得那些利用互联网开展业务的企业损失了数十亿美元。为了防御这种难以避免的而且日益严重的网络威胁，思科为电信运营商及其客户提供了一个全新的安全解决方案Cl

3、ean Pipes DDoS防御解决方案。它是思科的电信运营商托管安全服务的组成部分。通过部署这套全面的托管安全服务，电信运营商能够以很少的开支，帮助他们的企业客户保障网络安全。 思科Clean Pipes解决方案包含了思科交换机和路由器中内嵌的思科网络平台保护（NFP）技术。它可以加固基础设施的数据、控制、管理和服务平面，防御各种安全威胁。思科Clean Pipes解决方案包含多个功能组件，包括检测、威胁消除，以及流量转移和注入。该解决方案可以区分合法流量与非法流量，丢弃恶意流量和传输有用流量，有效地保护网络免受DDoS攻击的影响。思科提供了多种DDoS防御模式，包括托管网络、主机托管、基础

4、设施和托管对等网络。本文中DDoS防御模式概述部分将详细介绍这些模式。 思科Clean Pipes解决方案是为了实现下列目标： 帮助企业用户有效地防御DDoS攻击，从而最大限度地提高在线服务和业务的连续性。通过检测SP网络或者客户终端中的攻击，该防御系统可以提供必要的技术，帮助用户清除攻击流量和只允许合法流量使用从SP网络到客户网络的、带宽有限的连接。SP将以托管安全服务的形式向企业客户提供这种保护。除了SP以外，托管供应商还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。 确保SP网络中的网络资源（例如路由器、DNS、SMTP、电子邮件和WWW）具有足够的

5、安全性，不会受到DDoS攻击的影响。 帮助SP防止价格昂贵的高速骨干网连接（例如跨海连接和经由某个传输电信运营商的PoP间连接）和低速连接因为DDoS攻击而发生带宽饱和。 帮助电信运营商确保自治系统间高速连接（例如OC-48c/STM-16c POS）、跨海连接和与下游ISP的连接可以承受大规模的DDoS攻击。近年来，一些引起广泛关注的攻击的强度曾达到每秒几千兆的规模。如果不采取任何保护机制，如此大规模的攻击很容易导致这些高速连接的带宽达到饱和，降低其中传输的合法流量的速度，甚至导致骨干网基础设施陷入瘫痪。1.1 DoS和DDoS攻击概述DoS攻击的主要特征是攻击者试图阻止合法用户使用一项网络

6、服务。DDoS攻击包括威胁互联网计算机的安全和放置特洛伊木马程序。这是一种恶意的、不会自动复制的程序，它会伪装成良性程序，有意地执行一些用户并不希望的操作。众多的特洛伊木马程序会遵照一台由攻击者控制的主服务器的指示，在指定的时间以特定的方式共同发动攻击。注 为了方便起见，如非特别说明，本文余下的部分将用DDoS一词代表DoS和DDoS。 DDoS攻击主要有两种类型。第一种攻击采取的方法是利用攻击对象上已有的软件漏洞，向其发送少量的畸形数据包，导致攻击对象的服务性能大幅降低和整个系统发生崩溃。这种攻击可以通过安装针对有缺陷软件的补丁程序，方便地加以避免。第二种则是利用大量的无效或恶意数据数据包导

7、致攻击对象的资源（例如CPU、内存、缓存、磁盘空间和带宽）不堪重负，从而降低服务性能或者导致服务中断。这种攻击相对而言更加难以防御，因为合法数据包和无效数据包看起来非常类似。下面列出了一些最常见的DDoS攻击：l 缓存溢出攻击试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会溢出到其他的缓存之中，破坏或者覆盖其中的有效数据。ping-of-death 是一种比较知名的缓存溢出攻击。在这种攻击中，攻击者会发送特大型的互联网控制消息协议（ICMP）数据包。l TCP SYN泛洪攻击一个正常的TCP连接需要进行三方握手操作。首先，客户端向服务器发送一个TCP SYN数据包。而后，服务器分

8、配一个控制块，并响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包， TCP连接将处于半开状态，直到服务器从客户端收到ACK数据包或者连接因为time-to-live (TTL)计时器设置而超时为止。在连接超时的情况下，事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送SYN数据包，但不对服务器发回的SYN ACK数据包答复ACK数据包时，就会发生TCP SYN泛洪攻击。这时，服务器将会失去对资源的控制，无法建立任何新的合法TCP连接。l ICMP泛洪攻击当ICMP ping通过多个响应请求而造成系统过载时，就会发生ICMP

9、泛洪攻击。这将导致系统不断地保留它的资源，直到无法再处理有效的网络流量。l Smurf 攻击在进行这种攻击时，攻击者会向接收站点中的一个广播地址发送一个IP ICMP ping（即“请回复我的消息”）。Ping数据包随后将被广播到接收站点的本地网络中的所有主机。该数据包包含一个“伪装的”源地址，即该DoS攻击的对象的地址。每个收到此ping数据包的主机都会向伪装的源地址发送响应，从而导致这个无辜的、被伪装的主机收到大量的ping回复。如果收到的数据量过大，这个被伪装的主机就将无法接收或者区分真实流量。l UDP泛洪攻击与ICMP泛洪攻击类似，攻击者发动UDP泛洪的方法是通过发送大量的UDP数据

10、包，导致目标系统无法处理有效的连接。发生在端口53上的DNS泛洪攻击就是一个典型的例子。l 蠕虫蠕虫是一些独立的程序，可以自行攻击系统和试图利用目标的漏洞。在成功地利用漏洞之后，蠕虫会自动地将其程序从攻击主机复制到新发现的系统，从而再次启动循环。蠕虫会将自身的多个复本发送到其他的计算机，例如通过电子邮件或者互联网多线交谈（IRC）。有些蠕虫（例如众所周知的红色代码和NIMDA蠕虫）具有DDoS攻击的特征，可能导致终端和网络基础设施的中断。 并不是所有的DDoS攻击的目的都是导致特定终端（例如Web服务器）停止运行；攻击者可能会将网络基础设施本身作为攻击目标。这种攻击包括导致连接带宽达到饱和，耗

11、尽路由器和交换机的资源，中断路由器上的某项服务等。连接饱和与CPU耗尽型DDoS攻击可能会拒绝为动态路由协议提供保持相邻关系所必需的带宽。当路由器失去与相邻设备的连接时，它会清空从这个中断的相邻设备获得的所有路由。随后它必须将所有发往这些被清空的路由的流量转向一个替代路由，或者丢弃所有这些流量。因为它必须连续地重新计算新的路由（清除中断的路由和更新路由），CPU资源最终将被大量占用。无论如何，结果都是会发生DoS。伪装控制流量的DDoS攻击会劫持动态路由协议流量，恶意地重置所有相邻关系，或者用错误的信息更新相邻关系，从而导致DoS。DDoS攻击者的动机可能是消遣、报复、成就感、意识形态和政治目

12、的，但是目前最常见的、最受人们关注的攻击动机是牟利和敲诈。攻击者可能会将电子商务企业作为目标，向他们勒索大笔的金钱。如果要求没有得到满足，攻击者就会发动DDoS攻击，中断网站的正常运行。在可以预见的将来，这些勒索型的攻击还会继续增多。二：解决方案简介思科Clean Pipes解决方案是一个功能强大的威胁防御系统的组成部分。该系统通过防止创收服务和关键任务型组件受到DDoS攻击的影响，确保它们的可用性。它是一个精心设计的、经过系统验证的解决方案，主要目的是防止提供连接和服务的数据传输途径受到安全威胁的影响。根据客户类型的不同，这些数据传输途径可能是： 企业“最后一公里”数据连接 政府关键数据连接

13、 电信运营商所有可能遭受攻击的数据连接（对等连接点、对等边缘和数据中心）对数据传输途径危害最大的安全威胁包括DDoS、蠕虫和病毒。这个用于提供“清洁管道”功能的解决方案的核心目标就是在连接受到威胁之前，从数据传输途径中去除恶意流量，使其只提供合法流量。图1-1 显示了可以提供DDoS防御1.1解决方案的各类客户。图1-1 思科Clean Pipes解决方案三：目标市场思科Clean Pipes解决方案针对所有主要的细分市场，重点在保障托管服务、主机托管和基础设施的安全， 可以根据SP的类型确定最适用的部署方式。表1-1 目标市场 列出了SP可以提供的推荐服务。表1-1 目标市场托管DDoS防御

14、服务针对托管服务的DDoS防御针对SP基础设施的DDoS防御专用共享l 金融l 医疗l 存在相应的法规要求（例如HIPAA和Sarbanes-Oxley）的行业 l 中型企业l 小型企业目前从一家托管电信运营商购买托管服务的大型企业和中小型企业对所有SP网络进行内部网络保护和网络加固另外，设法提供完全基于网络的托管DDoS保护解决方案的优势为电信运营商（SP）带来的优势能够为SP的托管安全服务系列添加一个新的收入来源。这种新型服务让SP可以为大型企业客户提供业务连续性服务，在保护网络安全方面成为他们值得信赖的合作伙伴。这项服务将让SP成为企业网络的一个不可或缺的组成部分，为在一段时间内对企业向

15、上销售多种安全服务创造更多的机会。为SP客户带来的优势提供业务连续性和增强客户信心。任何攻击都会得到实时、主动的解决，而且恶意流量会在网络资源受到影响之前被立即清除。最佳的行动时机是在攻击开始之后和资源受到威胁之前。客户总是能够参与到决策流程之中，并对确定流量是否属于恶意流量拥有最终的决定权。上游保护机制可以经济地覆盖多个数据中心，最大限度地减少保护资产所需的开支。四：网络架构思科Clean Pipes1.0解决方案包含三个用于防御DDoS的功能组件： 防御思科网络平台保护 (NFP) 可以加固网络基础设施的数据、控制和管理平面，防御各种安全威胁的影响。 检测Detector和Arbor Pe

16、akflow设备可以发现和分类DDoS攻击。 威胁消除Cisco Guard可以减小或者完全消除DDoS攻击的影响。威胁消除组件可能包括以下部分： 转移将包含DDoS数据包的流量转移到威胁消除设备 注入将经过“清洁”的流量从消除设备发回到原始目的地图2-1 显示了Clean Pipes1.0解决方案的网络架构。图2-1 Clean Pipes1.0解决方案的网络架构该解决方案在基础设施中采用了新的思科产品，以及由合作伙伴开发的、来自Arbor Networks 的产品，其中包括：l 用于在电信运营商网络中进行网络远程测控的NetFlow功能，它支持多款思科设备，包括Cisco CRS-1 运营

17、商级路由系统和Cisco 12000系列路由器l 思科流量异常检测器 Detector XT 5600 和用于Cisco 7600系列路由器、Cisco Catalyst 6500系列交换机的新型思科流量异常检测器模块有助于实现准确的异常分析，可以部署在配有托管服务API的客户终端上l Cisco Guard XT 5650 和用于Cisco 7600系列路由器、Cisco Catalyst 6500系列交换机的新型思科流量异常检测器有助于实现准确的异常流量分析和威胁消除l Arbor Networks Peakflow SP具有基础设施安全、托管服务、流量和路由等功能，可以进行智能的流量和路

18、由分析，为防御DDoS和蠕虫提供了重要的手段作为一个思科技术开发商计划合作伙伴，Arbor Networks提供的解决方案可以利用来自于思科设备的NetFlow数据进行覆盖整个网络的关系分析、异常流量检测和智能威胁消除管理，并能够向清洁中心的Cisco Guard发出警报。如需了解更多关于Peakflow SP的信息，请访问： 4.1 防御防御部分是在保障网络安全和为客户提供“清洁管道”服务方面第一个必不可少的环节。通过加固SP基础设施中的网络设备，可以防范DDoS攻击、刺探、网络设备闯入和其他针对服务的威胁。 思科推荐的这些安全技术被统称为网络平台保护（NFP）。NFP并不是一种独立的手段，

19、而是可以通过提高安全等级进一步完善Clean Pipes1.0解决方案。NFP主要部署在下列三个领域之中：l 数据平面 检测流量异常和实时响应攻击 技术： NetFlow, IP源跟踪，ACL，uRPF, RTBH，QoS工具l 控制平面 为路由控制平面提供深度防御保护 技术: 接收ACL，控制平面监管， iACL，相邻设备身份验证， BGP最佳实践l 管理平面 安全、不间断地管理Cisco IOS网络基础设施 技术：CPU和内存阈值，双重输出系统日志，镜像验证， SSHv2，SNMPv3，安全审核，CLI视图请参阅第三章“利用思科网络平台保护 (NFP)防御网络攻击”，了解更多关于在部署Cl

20、ean Pipes1.0解决方案时推荐使用的NFP的信息。 图2-2 显示了一个通过在路由器上启用NFP来提高安全等级的SP网络。图2-2 启用NFP的SP网络4.2 检测检测部件是第二道防线。网络中部署的NFP并不一定能够检测出网络中的所有攻击。检测设备更适合处理异常情况，因为检测设备会分析流经一个“受保护网络”的数据流。 检测异常的第一步是将“正常”流量模式作为基础，即网络没有遭受攻击的状态。这种基础可以作为参考点，检测异常情况的发生。 思科Clean Pipes1.0解决方案包括两个能够进行异常检测的设备：思科流量异常检测器 XT 和一个第三方产品Peakflow SP。 这两款产品都可

21、以利用两种目前最有效的方法发现攻击：签名分析和动态档案。 签名分析（或者滥用行为检测）用于发现流量与已有模式的预定义差异，它们往往是DoS攻击的征兆。例如，在很短的时间内出现大量的ICMP请求。动态档案可用于检测更加复杂的攻击。它是一个正常行为基础，可以与当前流量进行对比。这些档案总是在不断地进行更新，并逐步融合暂时出现的和拓扑上的组件，以产生复杂的网络行为模式。通过结合签名分析和动态档案，检测设备可以检测到新出现的（即“零日”）威胁。作为异常检测设备，思科流量异常检测器 XT和Peakflow SP并不是互相排斥的。但是，根据实际的部署模式，某一种检测设备可能更加符合检测需要。如需了解更多细

22、节，请参阅第四章“利用思科检测器XT检测网络攻击。”目前存在两种数据收集方法： NetFlow和数据包获取。Peakflow SP依靠NetFlow，而思科检测器会使用交换机的一个SPAN端口或者一个光分离器获取每个数据包的复本。图2-3显示了两个可选的检测产品：PeakFlow SP 和思科检测器。图2-3 可选的检测产品PeakFlow SP和思科检测器4.3 威胁消除Cisco Guard是威胁消除组件，负责对每个数据流进行攻击分析、识别，以及提供拦截攻击流量的威胁消除服务。 Cisco Guard允许建立一个透明的流量区域，不断地过滤流量，以及通过密切跟踪区域流量签名发现发展中的流量模

23、式。这种DDoS防御机制通常被称为流量净化。Guard可以在本地启用，或者由思科流量异常检测器 XT5600或者其他基于标准的检测解决方案（例如Peakflow SP）通过一个SSH连接启用。Guard可以转移发往某个特定设备的流量，使其进入一种名为多重验证流程（MVP）的独特思科架构。MVP架构可以施加多个用于识别和拦截涉及攻击的特定数据包和数据流的防御层， 同时允许合法流量的传输，从而即使在遭受攻击的情况下，也可确保业务连续性。为了完成上述任务，Cisco Guard采用了下列组件：l 流量转移即将区域流量重定向（转移）到Guard的学习和保护系统的流量转移机制。这还有助于防止网络流量发生

24、堵塞。l 流量学习一个基于算法的学习系统，可以学习区域流量的签名，适应这些流量的特性，以阈值和策略的形式为保护系统提供参考和防御指导。l 流量保护一个可以区分合法和可疑流量，以及过滤恶意流量的保护系统。保护系统可以在执行任务的同时，紧密地集成学习系统，以获得参考和指导。只有合法流量可以获准进入区域。l 流量注入即将合法流量发回（注入）到区域的机制。这还有助于防止网络流量发生堵塞。这些组件的集成让Guard可以在有需要时发挥有效的保护作用，并在没有检测到DDoS时保持在后台运行。“清洁中心”一词表示位于电信运营商网络中某集中区域的一组执行流量净化功能的Cisco Guard。如需了解更多关于清洁

25、中心的信息，请参阅第七章“系统设计和注意事项。”图2-4显示了基于Cisco Guard的威胁消除功能。图2-4 威胁消除示例五：解决方案组件5.1 思科流量异常检测器XT思科流量异常检测器 XT 5600 是一款高性能的、独立的DoS检测设备。它可以利用交换机的端口镜像功能（例如交换端口分析器SPAN）或者分离技术，获得发往受保护区域的流量的复本。思科流量异常检测器服务模块是一个用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的集成多业务模块。它可以利用SPAN或者VLAN访问控制列表（VACL）功能获得发往一个区域的流量的复本。根据荣获专利的多重验证流程

26、（MVP）架构，这两个平台都可以利用最新的行为分析和攻击识别技术，主动地检测和发现各种类型的攻击。通过不断地监控发往某个受保护设备（例如一台Web或者电子商务应用服务器）的流量，思科流量异常检测器XT可以定制详细的档案，表明每个设备在正常工作情况下的行为特征。当它检测到不同于档案的行为时，检测器就会根据用户设定做出响应：向操作人员发出一个警报，启动手动响应；触发一个已有的管理系统；或者启动Cisco Guard XT或者Cisco Anomaly Guard服务模块，立即开始清除恶意攻击流量，从而为网络和以业务为中心的流量提供强有力的保护。思科流量异常检测器 XT采用了一个基于Web的GUI，

27、以便用一种简单的、直观的方式显示信息。这有助于简化配置、运营、攻击识别和分析。思科流量异常检测器 XT 和思科流量异常检测器服务模块在逻辑上都位于Cisco Guard XT 和 Cisco Anomaly Guard服务模块的下游，但是位于所有防火墙的上游。在没有发生攻击时，检测器设备会监控受保护区域的所有输入和输出流量。在发生攻击之后，Guard设备会转移来自受攻击区域的流量并对其进行清洁。在这种情况下，检测器设备只会监控从Guard设备发往受保护区域的、“经过清洁的”流量。如需了解更多关于思科流量异常检测器 XT的信息，请访问： 如需了解更多关于思科流量异常检测器服务模块的信息，请访问：

28、 5.2 Cisco NetflowNetFlow是目前在IP网络中应用最为广泛的DDoS识别和网络流量分析技术。支持NetFlow的设备包括几乎所有运行Cisco IOS软件的电信运营商路由器，一些运行Cisco Catalyst OS的高端交换平台。最近，甚至一些硬件设备可以通过ASIC支持NetFlow。它可以提供关于流量特征、连接使用情况和网络流量模式的信息。NetFlow以数据流的方式对数据包进行分类。每个数据流都具有唯一的、包含七个关键值的特性：l 输入接口l IP协议类型l 服务类型(ToS) 字节l 源IP地址l 目的地IP地址l 源端口号l 目的地端口号这种数据流精确程度让一

29、个NetFlow采集设备可以方便地进行大规模的流量监控。NetFlow分类可以为建立基础档案和确定网络流量的特性提供足够的信息。网络流量异常指的是一种与典型流量模式相比存在统计异常的事件或者情况。NetFlow可以通过生成详细的流量记录，帮助用户发现异常。异常可能是潜在攻击的早期征兆。NetFlow通常部署在SP网络的边缘，监控边缘和对等接口上的输入流量，因为大部分攻击使用的都是一些典型的输入 节点。路由器会在Cisco IOS软件中保持一个动态的NetFlow缓存，跟踪当前的数据流。IP数据流信息可以从NetFlow缓存中输出到一个外部收集设备，以进行下一步的分析。来自于多个收集设备的数据流

30、可以通过映射，发现遭受DDoS攻击的网络节点和确定攻击特征。Arbor Networks Peakflow SP 就是这种收集设备应用的一个典型例子。这个基于GUI的工具可以采用DDoS防御技术，例如输入访问控制列表（ACL），基于网络的应用识别（NBAR），单播方向路径转发（uRPF），以及Cisco Guard XT的启用。如需了解更多关于NetFlow的信息，请访问： 5.3 Arbor Peakflow SPArbor Networks Peakflow SP是一个可扩展的平台，可以提供一个全面的解决方案，为电信运营商及其客户提供强大的DDoS防御、流量和路由功能。它包含三个设备：托管

31、服务、基础设施安全，以及流量和路由。Peakflow SP托管服务功能让电信运营商可以为他们的企业客户提供可扩展的DDoS防御和流量管理工具。它的基础设施安全功能可以帮助网络管理人员主动地检测和清除整个网络中的异常情况，例如DDoS攻击和蠕虫。Peakflow SP的流量和路由功能可以分析流量网络，让操作人员可以及时地针对路由、传输、合作伙伴和客户制定业务决策。Peakflow SP可以利用它的双层收集器架构进行扩展。这些收集器 可以从多个路由器和一个控制器获取NetFlow统计数据。控制器可以协调事件关联和对事件进行追溯。当Peakflow SP与Cisco Guard结合提供DDoS防御功

32、能时，一旦通过收集器获得某个区域的异常信息，控制器就会建立SSH连接，启用Cisco Guard，将受攻击区域置于保护模式。 对于Clean Pipes1.0解决方案，Peakflow SP可以为DDoS攻击检测、追溯和消除提供一个简便的方法。它首先会利用来自于网络中已有的路由器的数据流，构建一个覆盖整个网络的正常行为模式。与内嵌式数据收集方法相比， Peakflow SP可以从思科路由器收集基于数据流的Cisco NetFlow统计数据。这使得Peakflow SP可以随着网络规模的扩大而进行扩展。或者， Peakflow SP可以利用不支持Netflow的路由器上的数据包获取功能。它还可以

33、使用光分离器，或者来自于相邻路由器或交换机的端口镜像流量。无论是NetFlow还是数据包获取都不会对网络的性能或者可靠性产生影响；即这种数据收集方式是不影响运行的。系统可以实时地将这些流量与基本模式进行对比，标记异常情况和找出受到影响的接口、严重性等。异常情况随后会被用来与网络进行对比，追溯来源和找出输入 节点。最后，根据异常情况的特性，Peakflow SP会为保持服务的正常运行建议合适的威胁消除措施，例如启动Cisco Guard XT清除恶意数据包，或者启用远程触发黑洞（RTBH），在远程路由器上丢弃无用流量。Peakflow SP 全网络异常检测可以利用目前最有效的两种方法发现攻击：签

34、名分析和动态档案。 5.4 Cisco Guard XTCisco Guard XT 5650 DDoS威胁消除设备和 Cisco Anomaly Guard 服务模块可以提供一个功能强大、范围广泛的DDoS防御系统。一般而言， Cisco Guard XT 和Cisco Anomaly Guard服务模块都应当放置在受保护区域的上游 ，并且尽可能地靠近攻击流量的来源。这让这些设备可以防止尽可能多的下游资源遭受DDoS攻击流量的影响。Cisco Anomaly Guard服务模块必须放置在防火墙上游，以便在进行任何网络地址转换（NAT）处理之前处理流量，以及防止防火墙受到DDoS攻击的影响。具

35、有两个千兆以太网接口的Cisco Guard XT能够以高达每秒1Gb（1Gbps）的线速处理攻击流量。Cisco Anomaly Guard服务模块是Cisco Catalyst 6500系列和Cisco 7600系列路由器的一个集成多业务模块，可以接收高达1Gbps的以太网流量。这些设备可以共同协作，逐步扩展规模，以支持高达数个Gb的速率，从而构成一个名为清洁中心的群集。这样，思科可以提供一个可扩展的解决方案，以便适应大型的、不断发展的电信运营商和企业环境。集成这些设备的Cisco Guard XT平台是一个完整的检测和威胁消除解决方案，可以防止企业、托管中心、政府机构和电信运营商环境遭受

36、DDoS攻击。结合能够检测攻击的异常检测设备， Cisco Guard XT可以提供详细的攻击分析、识别和消除服务，拦截攻击流量和防止它们中断网络的正常运行。 如需了解更多关于Cisco Anomaly Guard服务模块的信息，请访问： 如需了解更多关于Cisco Guard XT的信息，请访问： 表2-1 解决方案的组件和所支持的软件版本 显示了解决方案的组件和所支持的软件版本。表2-1 解决方案的组件和所支持的软件版本组件主要用途硬件/软件版本Cisco Guard XT 5600威胁消除版本3.1(2.2)AGM (Anomaly Guard 模块)威胁消除版本412.2(18)SXD

37、3 (Cat 6K)12.2(18)SXE1 (C7600)Cisco Detector XT检测版本: 3.1(2.2)Arbor Peakflow SP收集器收集NetFlow 数据控制器利用NetFlow数据检测异常情况ArbOS 3.3/IOS NetflowArbOS 3.3/IOS Netflow六：DDoS 防御流程思科Clean Pipes1.0解决方案包含多个安全组件，其中包括Cisco Guard XT、思科流量异常检测器 XT和Arbor Networks Peakflow SP。图2-5 概要显示了不同组件在各个阶段采取的措施。图2-5 DDoS 防御流程下列步骤说明了

38、思科Clean Pipes1.0解决方案怎样保护一个区域或者网段遭受DDoS攻击。这些步骤按照发生的先后顺序排列：从DDoS攻击发生之前，到攻击发生的时候，再到攻击结束之后。1. 基础学习在没有发生DDoS时，思科Clean Pipes1.0解决方案的组件会构建一个基础数据库，其中包含某个区域的正常流量模式，以便它们可以在发生DDoS攻击时识别异常流量模式。在部署了Peakflow SP 和 Cisco Guard XT的情况下，这些设备可以独立学习流量模式。Peakflow SP 可以通过接收NetFlow 统计数据来分析正常流量模式，而Cisco Guard XT可以通过转移来自上游的流量

39、，为区域的不同服务的数据流制定策略，从而学习正常流量模式（流量转移将在第三步详细介绍）。如果在学习过程中发生了攻击， Cisco Guard XT将会停止学习，切换到保护模式。在部署了思科流量异常检测器 XT和Cisco Guard XT的情况下，思科流量异常检测器 XT 会创建区域配置和正常流量模式的学习结果。这些配置可以被上载到Cisco Guard XT。换句话说， Cisco Guard XT在这种情况下并不需要使用流量转移。这种上载操作可以每24小时执行一次，以确保两个设备都可以获得最新的流量基础信息。如果在学习流程中发生攻击，思科流量异常检测器 XT会切换到保护模式。2. 检测在完

40、成一个区域的学习流程之后，思科流量异常检测器 XT和Peakflow SP会监控输出流量，或者在检测到异常情况时发出警报或启用Cisco Guard XT。思科流量异常检测器 XT 会不断地监控来自线路的镜像流量。如果发现了异常或者恶意的流量，它就会动态地设置一组（动态）过滤器，记录该事件和向网络管理人员发出警报。如果管理人员发现异常现象是真正的威胁，他们可以手动启用Cisco Guard XT，将受保护区域置入保护模式。或者，思科流量异常检测器 XT在检测到DDoS攻击之后，可以自动建立一个Secure Shell (SSH)协议连接，启动一个远程Cisco Guard。Arbor Peak

41、flow SP收集器设备可以从电信运营商网络中的不同路由器收集NetFlow统计数据。当该设备发现一个异常的流量模式时，它会通过向 Peakflow SP 控制器设备发送异常特征，向其发出警报，并由其进行进一步的分析。控制器设备随后会继续监控警报。如果它超过了一个由用户定义的阈值， Arbor Peakflow SP控制器就会将其归类为一个极为重要的红色警报。这时，网络管理人员可以通过选择一个预先配置的消除设备（即Cisco Guard XT 或者Cisco Anomaly Guard服务模块），过滤恶意流量，从而阻止攻击。Cisco Guard XT会建立一个SSH连接，将遭受攻击的区域置于

42、保护模式。图2-6 显示了检测顺序。图2-6 检测顺序3. 转移在收到将受攻击区域置于保护模式的要求之后， Cisco Guard XT会向上游路由器发出一个BGP声明，将下一跳地址改为Cisco Guard XT的地址。网络操作人员还可以手动设置转移操作。无论采用何种方式，上游路由器都会将该BGP声明加入到它的路由表之中，向Cisco Guard XT 转发不清洁流量和清洁流量。指向其他目的地的数据流仍将保持原有的数据路径，而不会被转移。4. 净化Cisco Guard XT可以分析经过转移的区域流量，搜索其中的异常情况。它会在数据流超过策略阈值时检测到异常。这时， Cisco Guard

43、会分析结果和创建一组动态过滤器，不断地匹配区域流量和攻击类型。最初的动态过滤器会将流量转发到用户过滤器，直到Cisco Guard停止分析数据流和创建更多的动态过滤器来处理异常情况。动态过滤器和用户过滤器会将它们的结果送入一个比较器，由其选择最严格的推荐保护措施，再将流量转发到相关的保护模块进行验证。该模块会丢弃没有通过身份验证的流量，随后Cisco Guard XT将会把流量发送到速率限制器，由其丢弃超过指定速率的流量。5. 注入来自Cisco Guard XT 的、经过清洁的流量将会被发回到区域中（参见图2-7）。可以选择多种注入方法，具体取决于核心网络拓扑是第二层还是第三层。它们将确保注

44、入的流量不会回到Cisco Guard XT。这种方法的例子包括基于策略的路由器（PBR）、虚拟路由/转发（VRF）、通用路由封装（GRE）和多协议标签交换（MPLS）VPN。图2-7 注入顺序6. 流量净化完成Cisco Guard XT 上的动态过滤器具有的生命期限有限，会在DDoS攻击终止之后删除。在缺省情况下， Cisco Guard XT会在用户禁用它之前一直处于保护模式；但是如果在一段指定的时间内没有使用动态过滤器或者添加新的动态过滤器，它可以自动停止保护。Cisco Guard XT 将撤销以前的BGP声明，而流量将会回到正常的数据路径上传输。如果Peakflow SP或者一个触

45、发路由器被用于流量转移，用于该流量转移的BGP声明需要手动删除。七：DDoS 防御模式概述思科Clean Pipes1.0解决方案的目标是将它的功能与网络基础设施产品、基础设施安全最佳实践集成到一起，为部署模式提供经过系统测试的设计原则。电信运营商可以将这种部署模式作为一种服务，提供给他们的企业客户。本节所讨论的很多技术也可以被电信运营商用于防止他们自己的网络遭受攻击。表2-2 列出了DDoS防御模式，以及它们的功能和主要作用。表2-2 DDoS 防御模式DDoS 防御模式核心功能主要作用托管网络为SP客户提供最后一英里带宽保护l 新的SP收入模式l 主要功能在于提高客户的业务连续性l 保护关

46、键的最后一英里带宽l 确保在数据连接上连续地提供增强的服务主机托管保护由运营商托管的数据中心资产l 新的SP收入模式l 确保电信运营商托管的关键资产的正常使用l 区分托管服务托管对等连接点为下游ISP提供批量的无DDoS连接l 新的SP收入模式l 提供批量清洁连接l 更好地推广一个无DDoS的环境基础设施保护针对SP的保护模式可以保护他们的网络和保护服务供应l 保护数据中心的关键资产l 消除针对关键路由基础设施的攻击（对等节点、运营商边缘和核心路由器）l 通过在昂贵的跨海连接上减少无用流量，降低运营开支l 降低附带损害的影响7.1 托管网络服务模式这种服务模式让电信运营商可以防止企业客户的网络遭到来自互联网的DDoS攻击。这些攻击不仅会影响主机和上面的应用，而且更加严重的是还会导致电信运营商和客户网络之间的连接带宽达到饱和。对于金融和电子商务客户而言，这种攻击可能导致客户的流失、声誉的下降和其他损失。 如果能够及早检测到DDoS攻击，并尽可能地在网络上游阻止它们，就可以有效地消除DDoS攻击的影响。一般而言，电信运营商可以利用思科 Clean Pipes1.0解决方案，在两个服务层次为企业客户提供DDoS防御功能，如图2-8所示：l 专用服务这种高级