SIPServerDDOS检测部署.PPT

大流量DDOS攻击的全网解决方案 郭 庆 议程 DDOS攻击的近况 全网DDOS缓解方案部署要点 设备选型 其他 DDOS攻击的近况 DDOS攻击的近况 主要攻击分析 以前主要攻击是TCP Sync为主的DDOS，近期已经转变成基于ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击（IDC近期的攻击，单个IP遭受10G以上的攻击） 攻击影响范围 之前的TCP Sync攻击流量相对较小，主要受影响为用户主机或网络，目前的特大流量网络攻击已经影响到城域网的基础网络架构，主要表现为国干至城域网的中继中断，板卡转发异常，城域网内的网络中继拥塞等，受影响的不只是被攻击的用户，还波及相当数量的其他用户。 城域网宽带用户受攻击严重，主要涉及IDC，网吧，近期甚至出现针对普通宽带拨号用户的攻击 UDP 80 为主的DDOS攻击现场 碎片为主的DDOS攻击现场 ICMP flood + Syn flood混合攻击现场 全网DDOS缓解方案部署要点 DDOS泄洪原理 – 上游力保下游堤坝安全 全网DDOS清洗中心部署要点 大流量DDOS处理流程 设备选型 独立设备 Dual Xeon? 3G Processor??? 双致强3G CPU Alone DDOS Chips??? 专用DDOS处理板与芯片 主推模块 – DDOS专业处理器 模块逻辑连接图 Anomaly Guard Module Packet Flow Supervisor 2/SFM or Supervisor 720 其他 设备64字节DDOS实测线速报告 Clean Pipe 案例点评 ATT - Internet Protect Sprint – IP Defender CableWireless – Secure Internet Gateway MCI – DDoS Defense Detection Mitigation SAAVIS – Network based DDOS Mitigation Service NTT – DDOS Attack Protection Service IIJ – DDoS Protect System URL ATT?: Internet Protect w / DDoS Mitigation: /service_fam_overview.jsp?repoid=ProductSub-Categoryrepoitem=eb_internet_protectserv_port=eb_securityserv_fam=eb_internet_protect ? Sprint?: Sprint?IP Defender: /business/products/products/ipDefender_tabC.html ? MCI : WAN Defense /us/enterprise/security/managed/wan/ ? SAAVIS: DDoS mitigation /NR/rdonlyres/FE2C21FF-9D3E-4233-9DEB-16A952FE5A17/9908/DDOSMitigation.pdf NTT COM - Verio /products/ddos/index.html ? IIJ: http://www.iij.ad.jp/solution/sec-sol/ddos.html Guards and Detector??in Telstras ? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * ? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * 预警能力（Bornet， SuperWarm） 对客户服务分级区别处理能力 事后分析报表提高客户满意度能力 城域网 骨干网 骨干网部署：缓解城域网出口压力 城域网部署：保护VIP，网吧，专线用户以及IDC出口的带宽资源 IDC部署：保护托管服务器的业务永续运行 网间部署：控制网间异常流量的费用 均可专业防护DNS，Radius， SIP Server DDOS检测部署：广域网Netflow，MSS/IDC 部署Detector Guard清洗中心 ASBR 网间路由器 城域网出口清洗中心 IDC Detector VIP大客户 Detector 网吧等宽带用户 CE DDN IDC清洗中心 ISP Guard清洗中心 推荐Sup720, Sup32 不支持, Sup2支持但不推荐 Ca