我有一个企业networking系统,有一个面向互联网的路由器,下面是一个虚拟机箱交换机,下面是一个接入层交换机,最后是一个服务器。 我的问题是,当有一个Ddos攻击,即使我有解决scheme,以减轻服务器级别的攻击,我的带宽之间的路由器和交换机被占用。 我想知道
a)如何快速知道所有设备的哪些端口正在承载stream量,以便快速closures它们b)可以为我绘制拓扑结构的networking映射软件,最好给我使用networking带宽等统计数据。
你认为DDoS攻击是来自互联网以外的其他地方吗? 如果是这样,这是不是意味着你的边缘路由器几乎可以提供有关stream量激增等信息的明确来源?
无论如何 – 就路由器而言,Netflow / sflow(取决于所使用的供应商)同时提供关于所用stream量的来源,目的地和types以及每秒数据包,总体积,AS信息等的良好分析。有些商业工具专门从这些信息中检测DDoS(即Arbor产品),还有各种各样的开源选项,可以设置(与适当的软件包一起使用)在达到某些阈值时发出警报等。这里的附加好处还在于,这些信息可以提供攻击何时开始,何时结束等的历史logging。另外显而易见的是能够为容量规划,交通工程等提供大量信息的另一个主要的好处。
最能胜任的监控套件可以做到这一点 任何基于nagios的东西都应该如此处理,而不是像zenoss那样突破汗水。 有这样一个伟大的产品星座,这样做,惠普和戴尔提供的东西,可以做到这一点,作为他们的软件套件的一部分,和一整套商业产品(其中一些也是基于两个免费产品我已经提到过)。
其中大部分允许您为特定情况发生时设置警报阈值,如上行链路端口使用率超过90%。