防御DDoS分布式拒绝服务保证业务的永继性 (…

协议分析：该模块处理反常事件识别模块发现的可疑数据流，目的是为了识别特定的应用攻击，例如 http-error 攻击。然后，协议分析模块检测任何不正确的协议处理，包括不完全处理或错误处理。

速率限制：该模块提供了另一个执行选项，并且通过更详细的监测来防止不正当数据流攻击目标。该模块实施每个数据流业务的修整，处罚长时间消耗大量资源的源头。

在攻击间隙，攻击保护卫士处于“学习”模式，被动监测不同来源的业务模型和数据流，了解正常行为，建立基准配置文件。该信息被用来调整策略，用以在实时网络活动中识别和过滤已知、未知和以前从未见过的攻击。

图二说明：

• Multi-Verification Process(MVP) architecture ：多验证过程 (MVP) 体系结构
• Anomaly Recognition and Protocol Analysis update dynamic filters and rate limiting in real-time to block newly identified attack traffic ：反常事件识别和协议分析实时更新动态过滤器和速率限制，阻断最新被识别的攻击业务
• Packet Filtering ：数据包过滤
• Anti-spoofing ：反欺骗
• Anomaly Recognition ：异常识别
• Protocol Analysis ：协议分析
• Rate Liming ：速率限制

完善 DDoS 攻击防御布署

完善的 DDoS 保护提供灵活的、可升级的布署来保护数据中心（服务器和网络设备）、 ISP 链接或骨干网（路由器和 DNS 服务器）。

提供商

攻击保护卫士可布署在服务提供商的基础设施上有战略意义的节点上，例如在每个对等点，来保护核心路由器、下游边缘设备、链接以及客户。也可以布署在边缘路由器来提供特定的客户保护。攻击探测器可以靠近提供商的边缘或在客户内部。

图四说明：

• Traffic for targeted device diverted through Guard ：到目标设备的业务通过攻击防护卫士转向
• “ clean ” traffic returned to system ：返回到系统的干净业务
• DDoS protection in an ISP environment ： ISP 环境的 DDoS 保护部署
• Traffic destined for targeted device is diverted to Riverhead Guards,clean traffic is returned to the system ：到特定目标设备的业务转移到攻击保护卫士，返回干净的业务到系统

企业和数据中心

在企业数据中心，攻击保护卫士被布署在数据中心的分发层，保护下游的低速链接和服务器。攻击保护卫士能连接到分发交换机并且支持冗余配置（见图 5 ）。

图五说明：

• Alert ：报警
• Riverhead protection in an enterprise enviroment ：企业环境下的攻击防护卫士
• Only traffic destined for the targeted device is diverted to th Guard,which returns “ clean ” transactions back to the system ：只有到特定目标设备的业务转移到攻击防护卫士，返回干净业务到系统

总结：创新的防护 DDoS 攻击技术手段

思科公司的创新技术和体系结构提供了这种全新的防护 DDoS 攻击的方法，对业务进行现有的最详细的审查，不仅能检测最复杂的 DDoS 攻击，也能提供阻断日益复杂和难于检测的攻击业务的能力，同时不影响合法业务处理，确保 DDoS 攻击意图停止业务操作的目的失败。此技术解决方案超越了简单过滤，它能检测数据并去除恶意业务，允许好的数据包通过，确保了业务的持续进行和完整性。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有