Cisco防DOS攻击方案介绍

1、cisco clean pipes ddos 攻击防御解决方案设计攻击防御解决方案设计 v1.0 table of contents 一一：综综述述.3 1.1 dos 和 ddos 攻击概述.4 二二：解解决决方方案案简简介介 .6 三三：目目标标市市场场.7 解决方案的优势.7 四四：网网络络架架构构.8 4.1 防御.9 4.2 检测.10 4.3 威胁消除 .11 五五：解解决决方方案案组组件件.13 5.1 思科流量异常检测器 xt .13 5.2 cisco netflow.13 5.3 arbor peakflow sp.14 5.4 cisco guard xt.15 六六：d

2、dos 防防御御流流程程.17 七七：ddos 防防御御模模式式概概述述.22 7.1 托管网络服务模式.22 7.2 主机托管服务模式.24 7.3 托管对等服务模式.25 7.4 基础设施保护模式.26 一一：综综述述 在现代企业的日常运营中，网络正在扮演着越来越重要的角色。但是，网络也在迅速地发 展成为被威胁和攻击的对象。分布式拒绝服务（ddos）攻击是最常见的攻击之一。这些攻 击的主要目标是阻止合法用户对某个特定的计算机或者网络资源的正常访问。这些攻击的 方法是一些攻击者通过向目标发送大量恶意请求，导致计算机服务器和网络设备的性能降 低和网络服务中断，或者网络连接的带宽达到饱和。ddo

3、s 攻击正在以惊人的速度增加。因 为这些攻击而导致的服务中断，已经使得那些利用互联网开展业务的企业损失了数十亿美 元。 为了防御这种难以避免的而且日益严重的网络威胁，思科为电信运营商及其客户提供了一 个全新的安全解决方案clean pipes ddos防御解决方案。它是思科的电信运营商托管 安全服务的组成部分。通过部署这套全面的托管安全服务，电信运营商能够以很少的开支， 帮助他们的企业客户保障网络安全。 思科clean pipes解决方案包含了思科交换机和路由器中内嵌的思科网络平台保护（nfp）技 术。它可以加固基础设施的数据、控制、管理和服务平面，防御各种安全威胁。 思科clean pipe

4、s解决方案包含多个功能组件，包括检测、威胁消除，以及流量转移和注入。 该解决方案可以区分合法流量与非法流量，丢弃恶意流量和传输有用流量，有效地保护网 络免受ddos攻击的影响。 思科提供了多种ddos防御模式，包括托管网络、主机托管、基础设施和托管对等网络。本 文中ddos防御模式概述部分将详细介绍这些模式。 思科clean pipes解决方案是为了实现下列目标： 帮助企业用户有效地防御ddos攻击，从而最大限度地提高在线服务和业务的连续性。 通过检测sp网络或者客户终端中的攻击，该防御系统可以提供必要的技术，帮助用户清 除攻击流量和只允许合法流量使用从sp网络到客户网络的、带宽有限的连接。s

5、p将以托 管安全服务的形式向企业客户提供这种保护。除了sp以外，托管供应商还可以利用相同 的防御系统防止他们的托管客户的web和其他电子商务应用遭受ddos攻击。 确保sp网络中的网络资源（例如路由器、dns、smtp、电子邮件和www）具有足够 的安全性，不会受到ddos攻击的影响。 帮助sp防止价格昂贵的高速骨干网连接（例如跨海连接和经由某个传输电信运营商的 pop间连接）和低速连接因为ddos攻击而发生带宽饱和。 帮助电信运营商确保自治系统间高速连接（例如oc-48c/stm-16c pos）、跨海连接和 与下游isp的连接可以承受大规模的ddos攻击。近年来，一些引起广泛关注的攻击的强

6、 度曾达到每秒几千兆的规模。如果不采取任何保护机制，如此大规模的攻击很容易导致 这些高速连接的带宽达到饱和，降低其中传输的合法流量的速度，甚至导致骨干网基础 设施陷入瘫痪。 1.1 dos和和ddos攻攻击击概概述述 dos攻击的主要特征是攻击者试图阻止合法用户使用一项网络服务。ddos攻击包括威胁互 联网计算机的安全和放置特洛伊木马程序。这是一种恶意的、不会自动复制的程序，它会 伪装成良性程序，有意地执行一些用户并不希望的操作。众多的特洛伊木马程序会遵照一 台由攻击者控制的主服务器的指示，在指定的时间以特定的方式共同发动攻击。 注注 为了方便起见，如非特别说明，本文余下的部分将用ddos一词

7、代表dos和ddos。 ddos攻击主要有两种类型。第一种攻击采取的方法是利用攻击对象上已有的软件漏洞，向 其发送少量的畸形数据包，导致攻击对象的服务性能大幅降低和整个系统发生崩溃。这种 攻击可以通过安装针对有缺陷软件的补丁程序，方便地加以避免。第二种则是利用大量的 无效或恶意数据数据包导致攻击对象的资源（例如cpu、内存、缓存、磁盘空间和带宽） 不堪重负，从而降低服务性能或者导致服务中断。这种攻击相对而言更加难以防御，因为 合法数据包和无效数据包看起来非常类似。 下面列出了一些最常见的ddos攻击： 缓存溢出攻击试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会 溢出到其他的缓存

8、之中，破坏或者覆盖其中的有效数据。ping-of-death 是一种比较知名 的缓存溢出攻击。在这种攻击中，攻击者会发送特大型的互联网控制消息协议（icmp） 数据包。 tcp syn泛洪攻击一个正常的tcp连接需要进行三方握手操作。首先，客户端向服务 器发送一个tcp syn数据包。而后，服务器分配一个控制块，并响应一个syn ack数 据包。服务器随后将等待从客户端收到一个ack数据包。如果服务器没有收到ack数据 包， tcp连接将处于半开状态，直到服务器从客户端收到ack数据包或者连接因为time- to-live (ttl)计时器设置而超时为止。在连接超时的情况下，事先分配的控制块将

9、被释放。 当一个攻击者有意地、重复地向服务器发送syn数据包，但不对服务器发回的syn ack 数据包答复ack数据包时，就会发生tcp syn泛洪攻击。这时，服务器将会失去对资源 的控制，无法建立任何新的合法tcp连接。 icmp泛洪攻击当icmp ping通过多个响应请求而造成系统过载时，就会发生icmp泛洪 攻击。这将导致系统不断地保留它的资源，直到无法再处理有效的网络流量。 smurf 攻击在进行这种攻击时，攻击者会向接收站点中的一个广播地址发送一个ip icmp ping（即“请回复我的消息”）。ping数据包随后将被广播到接收站点的本地网络 中的所有主机。该数据包包含一个“伪装的”

10、源地址，即该dos攻击的对象的地址。每 个收到此ping数据包的主机都会向伪装的源地址发送响应，从而导致这个无辜的、被伪 装的主机收到大量的ping回复。如果收到的数据量过大，这个被伪装的主机就将无法接 收或者区分真实流量。 udp泛洪攻击与icmp泛洪攻击类似，攻击者发动udp泛洪的方法是通过发送大量的 udp数据包，导致目标系统无法处理有效的连接。发生在端口53上的dns泛洪攻击就是 一个典型的例子。 蠕虫蠕虫是一些独立的程序，可以自行攻击系统和试图利用目标的漏洞。在成功地利 用漏洞之后，蠕虫会自动地将其程序从攻击主机复制到新发现的系统，从而再次启动循 环。蠕虫会将自身的多个复本发送到其他

11、的计算机，例如通过电子邮件或者互联网多线 交谈（irc）。有些蠕虫（例如众所周知的红色代码和nimda蠕虫）具有ddos攻击的 特征，可能导致终端和网络基础设施的中断。 并不是所有的ddos攻击的目的都是导致特定终端（例如web服务器）停止运行；攻击者可 能会将网络基础设施本身作为攻击目标。这种攻击包括导致连接带宽达到饱和，耗尽路由 器和交换机的资源，中断路由器上的某项服务等。连接饱和与cpu耗尽型ddos攻击可能会 拒绝为动态路由协议提供保持相邻关系所必需的带宽。当路由器失去与相邻设备的连接时， 它会清空从这个中断的相邻设备获得的所有路由。随后它必须将所有发往这些被清空的路 由的流量转向一个

12、替代路由，或者丢弃所有这些流量。因为它必须连续地重新计算新的路 由（清除中断的路由和更新路由），cpu资源最终将被大量占用。无论如何，结果都是会 发生dos。伪装控制流量的ddos攻击会劫持动态路由协议流量，恶意地重置所有相邻关系， 或者用错误的信息更新相邻关系，从而导致dos。 ddos攻击者的动机可能是消遣、报复、成就感、意识形态和政治目的，但是目前最常见的、 最受人们关注的攻击动机是牟利和敲诈。攻击者可能会将电子商务企业作为目标，向他们 勒索大笔的金钱。如果要求没有得到满足，攻击者就会发动ddos攻击，中断网站的正常运 行。在可以预见的将来，这些勒索型的攻击还会继续增多。 二二：解解决决

13、方方案案简简介介 思科clean pipes解决方案是一个功能强大的威胁防御系统的组成部分。该系统通过防止创 收服务和关键任务型组件受到ddos攻击的影响，确保它们的可用性。它是一个精心设计的、 经过系统验证的解决方案，主要目的是防止提供连接和服务的数据传输途径受到安全威胁 的影响。根据客户类型的不同，这些数据传输途径可能是： 企业“最后一公里”数据连接 政府关键数据连接 电信运营商所有可能遭受攻击的数据连接（对等连接点、对等边缘和数据中心） 对数据传输途径危害最大的安全威胁包括ddos、蠕虫和病毒。这个用于提供“清洁管道” 功能的解决方案的核心目标就是在连接受到威胁之前，从数据传输途径中去除

14、恶意流量， 使其只提供合法流量。图1-1 显示了可以提供ddos防御1.1解决方案的各类客户。 图图1-1 思科思科clean pipes解决方案解决方案 三三：目目标标市市场场 思科clean pipes解决方案针对所有主要的细分市场，重点在保障托管服务、主机托管和基 础设施的安全， 可以根据sp的类型确定最适用的部署方式。表1-1 目标市场 列出了sp可以 提供的推荐服务。 表表1-1 目标市场目标市场 托托管管ddos防防御御服服务务 针针对对托托管管服服务务的的 ddos防防御御 针针对对sp基基础础设设施施的的 ddos防防御御 专专用用共共享享 金融 医疗 存在相应的法规要求 （例

15、如hipaa和 sarbanes-oxley）的行 业 中型企业 小型企业 目前从一家托管电 信运营商购买托管 服务的大型企业和 中小型企业 对所有sp网络进行内部 网络保护和网络加固 另外，设法提供完全基 于网络的托管ddos保 护 解解决决方方案案的的优优势势 为为电电信信运运营营商商（sp）带带来来的的优优势势 能够为sp的托管安全服务系列添加一个新的收入来源。这种新型服务让sp可以为大型企业 客户提供业务连续性服务，在保护网络安全方面成为他们值得信赖的合作伙伴。这项服务 将让sp成为企业网络的一个不可或缺的组成部分，为在一段时间内对企业向上销售多种安 全服务创造更多的机会。 为为 sp

16、 客客户户带带来来的的优优势势 提供业务连续性和增强客户信心。任何攻击都会得到实时、主动的解决，而且恶意流量会 在网络资源受到影响之前被立即清除。最佳的行动时机是在攻击开始之后和资源受到威胁 之前。客户总是能够参与到决策流程之中，并对确定流量是否属于恶意流量拥有最终的决 定权。上游保护机制可以经济地覆盖多个数据中心，最大限度地减少保护资产所需的开支。 四四：网网络络架架构构 思科clean pipes1.0解决方案包含三个用于防御ddos的功能组件： 防御思科网络平台保护 (nfp) 可以加固网络基础设施的数据、控制和管理平面，防御 各种安全威胁的影响。 检测detector和arbor pe

17、akflow设备可以发现和分类ddos攻击。 威胁消除cisco guard可以减小或者完全消除ddos攻击的影响。威胁消除组件可能包 括以下部分： 转移将包含ddos数据包的流量转移到威胁消除设备 注入将经过“清洁”的流量从消除设备发回到原始目的地 图2-1 显示了clean pipes1.0解决方案的网络架构。 图图2-1 clean pipes1.0解决方案的网络架构解决方案的网络架构 该解决方案在基础设施中采用了新的思科产品，以及由合作伙伴开发的、来自arbor networks 的产品，其中包括： 用于在电信运营商网络中进行网络远程测控的netflow功能，它支持多款思科设备，包 括

18、cisco crs-1 运营商级路由系统和cisco 12000系列路由器 思科流量异常检测器 detector xt 5600 和用于cisco 7600系列路由器、cisco catalyst 6500系列交换机的新型思科流量异常检测器模块有助于实现准确的异常分析，可以部署 在配有托管服务api的客户终端上 cisco guard xt 5650 和用于cisco 7600系列路由器、cisco catalyst 6500系列交换机的新 型思科流量异常检测器有助于实现准确的异常流量分析和威胁消除 arbor networks peakflow sp具有基础设施安全、托管服务、流量和路由等功

19、能，可以进 行智能的流量和路由分析，为防御ddos和蠕虫提供了重要的手段 作为一个思科技术开发商计划合作伙伴，arbor networks提供的解决方案可以利用来自于思 科设备的netflow数据进行覆盖整个网络的关系分析、异常流量检测和智能威胁消除管理， 并能够向清洁中心的cisco guard发出警报。 如需了解更多关于peakflow sp的信息，请访问： http:/ 4.1 防防御御 防御部分是在保障网络安全和为客户提供“清洁管道”服务方面第一个必不可少的环节。 通过加固sp基础设施中的网络设备，可以防范ddos攻击、刺探、网络设备闯入和其他针对 服务的威胁。 思科推荐的这些安全技术

20、被统称为网络平台保护（nfp）。nfp并不是一种独立的手段，而 是可以通过提高安全等级进一步完善clean pipes1.0解决方案。nfp主要部署在下列三个领 域之中： 数据平面 检测流量异常和实时响应攻击 技术： netflow, ip源跟踪，acl，urpf, rtbh，qos工具 控制平面 为路由控制平面提供深度防御保护 技术: 接收acl，控制平面监管， iacl，相邻设备身份验证， bgp最佳实践 管理平面 安全、不间断地管理cisco ios网络基础设施 技术：cpu和内存阈值，双重输出系统日志，镜像验证， sshv2，snmpv3，安全审 核，cli视图 请参阅第三章“利用思科

21、网络平台保护 (nfp)防御网络攻击”，了解更多关于在部署clean pipes1.0解决方案时推荐使用的nfp的信息。 图2-2 显示了一个通过在路由器上启用nfp来提高安全等级的sp网络。 图图2-2 启用启用nfp的的sp网络网络 4.2 检检测测 检测部件是第二道防线。网络中部署的nfp并不一定能够检测出网络中的所有攻击。检测 设备更适合处理异常情况，因为检测设备会分析流经一个“受保护网络”的数据流。 检测异常的第一步是将“正常”流量模式作为基础，即网络没有遭受攻击的状态。这种基 础可以作为参考点，检测异常情况的发生。 思科clean pipes1.0解决方案包括两个能够进行异常检测的

22、设备：思科流量异常检测器 xt 和一个第三方产品peakflow sp。 这两款产品都可以利用两种目前最有效的方法发现攻击： 签名分析和动态档案。 签名分析（或者滥用行为检测）用于发现流量与已有模式的预定义差异，它们往往是dos攻 击的征兆。例如，在很短的时间内出现大量的icmp请求。 动态档案可用于检测更加复杂的攻击。它是一个正常行为基础，可以与当前流量进行对比。 这些档案总是在不断地进行更新，并逐步融合暂时出现的和拓扑上的组件，以产生复杂的 网络行为模式。 通过结合签名分析和动态档案，检测设备可以检测到新出现的（即“零日”）威胁。 作为异常检测设备，思科流量异常检测器 xt和peakflo

23、w sp并不是互相排斥的。但是，根 据实际的部署模式，某一种检测设备可能更加符合检测需要。如需了解更多细节，请参阅 第四章“利用思科检测器xt检测网络攻击。” 目前存在两种数据收集方法： netflow和数据包获取。peakflow sp依靠netflow，而思科检 测器会使用交换机的一个span端口或者一个光分离器获取每个数据包的复本。 图2-3显示了两个可选的检测产品：peakflow sp 和思科检测器。 图图2-3 可选的检测产品可选的检测产品peakflow sp和思科检测器和思科检测器 4.3 威威胁胁消消除除 cisco guard是威胁消除组件，负责对每个数据流进行攻击分析、识

24、别，以及提供拦截攻击 流量的威胁消除服务。 cisco guard允许建立一个透明的流量区域，不断地过滤流量，以及 通过密切跟踪区域流量签名发现发展中的流量模式。这种ddos防御机制通常被称为流量净 化。 guard可以在本地启用，或者由思科流量异常检测器 xt5600或者其他基于标准的检测解决 方案（例如peakflow sp）通过一个ssh连接启用。guard可以转移发往某个特定设备的流量， 使其进入一种名为多重验证流程（mvp）的独特思科架构。mvp架构可以施加多个用于识 别和拦截涉及攻击的特定数据包和数据流的防御层， 同时允许合法流量的传输，从而即使 在遭受攻击的情况下，也可确保业务连

25、续性。 为了完成上述任务，cisco guard采用了下列组件： 流量转移即将区域流量重定向（转移）到guard的学习和保护系统的流量转移机制。这 还有助于防止网络流量发生堵塞。 流量学习一个基于算法的学习系统，可以学习区域流量的签名，适应这些流量的特性， 以阈值和策略的形式为保护系统提供参考和防御指导。 流量保护一个可以区分合法和可疑流量，以及过滤恶意流量的保护系统。保护系统可 以在执行任务的同时，紧密地集成学习系统，以获得参考和指导。只有合法流量可以获 准进入区域。 流量注入即将合法流量发回（注入）到区域的机制。这还有助于防止网络流量发生堵 塞。 这些组件的集成让guard可以在有需要时发

26、挥有效的保护作用，并在没有检测到ddos时保 持在后台运行。 “清洁中心”一词表示位于电信运营商网络中某集中区域的一组执行流量净化功能的cisco guard。如需了解更多关于清洁中心的信息，请参阅第七章“系统设计和注意事项。” 图2-4显示了基于cisco guard的威胁消除功能。 图图2-4 威胁消除示例威胁消除示例 五五：解解决决方方案案组组件件 5.1 思思科科流流量量异异常常检检测测器器xt 思科流量异常检测器 xt 5600 是一款高性能的、独立的dos检测设备。它可以利用交换机 的端口镜像功能（例如交换端口分析器span）或者分离技术，获得发往受保护区域的流 量的复本。思科流量

27、异常检测器服务模块是一个用于cisco catalyst 6500系列交换机和cisco 7600系列路由器的集成多业务模块。它可以利用span或者vlan访问控制列表（vacl） 功能获得发往一个区域的流量的复本。 根据荣获专利的多重验证流程（mvp）架构，这两个平台都可以利用最新的行为分析和攻 击识别技术，主动地检测和发现各种类型的攻击。通过不断地监控发往某个受保护设备 （例如一台web或者电子商务应用服务器）的流量，思科流量异常检测器xt可以定制详细 的档案，表明每个设备在正常工作情况下的行为特征。当它检测到不同于档案的行为时， 检测器就会根据用户设定做出响应：向操作人员发出一个警报，启

28、动手动响应；触发一个 已有的管理系统；或者启动cisco guard xt或者cisco anomaly guard服务模块，立即开始 清除恶意攻击流量，从而为网络和以业务为中心的流量提供强有力的保护。 思科流量异常检测器 xt采用了一个基于web的gui，以便用一种简单的、直观的方式显示 信息。这有助于简化配置、运营、攻击识别和分析。思科流量异常检测器 xt 和思科流量 异常检测器服务模块在逻辑上都位于cisco guard xt 和 cisco anomaly guard服务模块的下 游，但是位于所有防火墙的上游。在没有发生攻击时，检测器设备会监控受保护区域的所 有输入和输出流量。在发生攻

29、击之后，guard设备会转移来自受攻击区域的流量并对其进行 清洁。在这种情况下，检测器设备只会监控从guard设备发往受保护区域的、“经过清洁的” 流量。 如需了解更多关于思科流量异常检测器 xt的信息，请访问： http:/ 如需了解更多关于思科流量异常检测器服务模块的信息，请访问： http:/ 5.2 cisco netflow netflow是目前在ip网络中应用最为广泛的ddos识别和网络流量分析技术。支持netflow的 设备包括几乎所有运行cisco ios软件的电信运营商路由器，一些运行cisco catalyst os的高 端交换平台。最近，甚至一些硬件设备可以通过asic支

30、持netflow。它可以提供关于流量 特征、连接使用情况和网络流量模式的信息。 netflow以数据流的方式对数据包进行分类。每个数据流都具有唯一的、包含七个关键值的 特性： 输入接口 ip协议类型 服务类型(tos) 字节 源ip地址 目的地ip地址 源端口号 目的地端口号 这种数据流精确程度让一个netflow采集设备可以方便地进行大规模的流量监控。netflow 分类可以为建立基础档案和确定网络流量的特性提供足够的信息。 网络流量异常指的是一种与典型流量模式相比存在统计异常的事件或者情况。netflow可以 通过生成详细的流量记录，帮助用户发现异常。异常可能是潜在攻击的早期征兆。netf

31、low 通常部署在sp网络的边缘，监控边缘和对等接口上的输入流量，因为大部分攻击使用的都 是一些典型的输入 节点。路由器会在cisco ios软件中保持一个动态的netflow缓存，跟踪 当前的数据流。 ip数据流信息可以从netflow缓存中输出到一个外部收集设备，以进行下一步的分析。来自 于多个收集设备的数据流可以通过映射，发现遭受ddos攻击的网络节点和确定攻击特征。 arbor networks peakflow sp 就是这种收集设备应用的一个典型例子。这个基于gui的工具 可以采用ddos防御技术，例如输入访问控制列表（acl），基于网络的应用识别 （nbar），单播方向路径转发（

32、urpf），以及cisco guard xt的启用。 如需了解更多关于netflow的信息，请访问： http:/ 5.3 arbor peakflow sp arbor networks peakflow sp是一个可扩展的平台，可以提供一个全面的解决方案，为电信 运营商及其客户提供强大的ddos防御、流量和路由功能。它包含三个设备：托管服务、基 础设施安全，以及流量和路由。peakflow sp托管服务功能让电信运营商可以为他们的企业 客户提供可扩展的ddos防御和流量管理工具。它的基础设施安全功能可以帮助网络管理人 员主动地检测和清除整个网络中的异常情况，例如ddos攻击和蠕虫。peak

33、flow sp的流量和 路由功能可以分析流量网络，让操作人员可以及时地针对路由、传输、合作伙伴和客户制 定业务决策。 peakflow sp可以利用它的双层收集器架构进行扩展。这些收集器 可以从多个路由器和一个 控制器获取netflow统计数据。控制器可以协调事件关联和对事件进行追溯。当peakflow sp 与cisco guard结合提供ddos防御功能时，一旦通过收集器获得某个区域的异常信息，控制 器就会建立ssh连接，启用cisco guard，将受攻击区域置于保护模式。 对于clean pipes1.0解决方案，peakflow sp可以为ddos攻击检测、追溯和消除提供一个简 便的

34、方法。它首先会利用来自于网络中已有的路由器的数据流，构建一个覆盖整个网络的 正常行为模式。与内嵌式数据收集方法相比， peakflow sp可以从思科路由器收集基于数据 流的cisco netflow统计数据。这使得peakflow sp可以随着网络规模的扩大而进行扩展。或 者， peakflow sp可以利用不支持netflow的路由器上的数据包获取功能。它还可以使用光分 离器，或者来自于相邻路由器或交换机的端口镜像流量。无论是netflow还是数据包获取都 不会对网络的性能或者可靠性产生影响；即这种数据收集方式是不影响运行的。系统可以 实时地将这些流量与基本模式进行对比，标记异常情况和找出

35、受到影响的接口、严重性等。 异常情况随后会被用来与网络进行对比，追溯来源和找出输入 节点。最后，根据异常情况 的特性，peakflow sp会为保持服务的正常运行建议合适的威胁消除措施，例如启动cisco guard xt清除恶意数据包，或者启用远程触发黑洞（rtbh），在远程路由器上丢弃无用流 量。 peakflow sp 全网络异常检测可以利用目前最有效的两种方法发现攻击：签名分析和动态档 案。 5.4 cisco guard xt cisco guard xt 5650 ddos威胁消除设备和 cisco anomaly guard 服务模块可以提供一个功 能强大、范围广泛的ddos防御

36、系统。一般而言， cisco guard xt 和cisco anomaly guard 服务模块都应当放置在受保护区域的上游 ，并且尽可能地靠近攻击流量的来源。这让这些 设备可以防止尽可能多的下游资源遭受ddos攻击流量的影响。cisco anomaly guard服务模 块必须放置在防火墙上游，以便在进行任何网络地址转换（nat）处理之前处理流量，以 及防止防火墙受到ddos攻击的影响。 具有两个千兆以太网接口的cisco guard xt能够以高达每秒1gb（1gbps）的线速处理攻击 流量。cisco anomaly guard服务模块是cisco catalyst 6500系列和ci

37、sco 7600系列路由器的 一个集成多业务模块，可以接收高达1gbps的以太网流量。这些设备可以共同协作，逐步扩 展规模，以支持高达数个gb的速率，从而构成一个名为清洁中心的群集。这样，思科可以 提供一个可扩展的解决方案，以便适应大型的、不断发展的电信运营商和企业环境。 集成这些设备的cisco guard xt平台是一个完整的检测和威胁消除解决方案，可以防止企业、 托管中心、政府机构和电信运营商环境遭受ddos攻击。结合能够检测攻击的异常检测设备， cisco guard xt可以提供详细的攻击分析、识别和消除服务，拦截攻击流量和防止它们中 断网络的正常运行。 如需了解更多关于cisco

38、anomaly guard服务模块的信息，请访问： http:/ 如需了解更多关于cisco guard xt的信息，请访问： http:/ 表2-1 解决方案的组件和所支持的软件版本 显示了解决方案的组件和所支持的软件版本。 表表2-1 解决方案的组件和所支持的软件版本解决方案的组件和所支持的软件版本 组组件件主主要要用用途途硬硬件件/软软件件版版本本 cisco guard xt 5600威胁消除版本3.1(2.2) agm (anomaly guard 模块)威胁消除版本4 12.2(18)sxd3 (cat 6k) 12.2(18)sxe1 (c7600) cisco detector

39、 xt检测版本: 3.1(2.2) arbor peakflow sp收集器收集netflow 数据 控制器利用netflow数据检 测异常情况 arbos 3.3/ios netflow arbos 3.3/ios netflow 六六：ddos 防防御御流流程程 思科clean pipes1.0解决方案包含多个安全组件，其中包括cisco guard xt、思科流量异常检测器 xt和arbor networks peakflow sp。图2-5 概要显示了不同组件在各个阶段采取的措施。 图图2-5 ddos 防御流程防御流程 下列步骤说明了思科clean pipes1.0解决方案怎样保护一

40、个区域或者网段遭受ddos攻击。这 些步骤按照发生的先后顺序排列：从ddos攻击发生之前，到攻击发生的时候，再到攻击结 束之后。 1. 基础学习 在没有发生ddos时，思科clean pipes1.0解决方案的组件会构建一个基础数据库，其中 包含某个区域的正常流量模式，以便它们可以在发生ddos攻击时识别异常流量模式。 在部署了peakflow sp 和 cisco guard xt的情况下，这些设备可以独立学习流量模式。 peakflow sp 可以通过接收netflow 统计数据来分析正常流量模式，而cisco guard xt可 以通过转移来自上游的流量，为区域的不同服务的数据流制定策略

41、，从而学习正常流量 模式（流量转移将在第三步详细介绍）。如果在学习过程中发生了攻击， cisco guard xt将会停止学习，切换到保护模式。 在部署了思科流量异常检测器 xt和cisco guard xt的情况下，思科流量异常检测器 xt 会创建区域配置和正常流量模式的学习结果。这些配置可以被上载到cisco guard xt。 换句话说， cisco guard xt在这种情况下并不需要使用流量转移。这种上载操作可以每 24小时执行一次，以确保两个设备都可以获得最新的流量基础信息。如果在学习流程中 发生攻击，思科流量异常检测器 xt会切换到保护模式。 2. 检测 在完成一个区域的学习流程

42、之后，思科流量异常检测器 xt和peakflow sp会监控输出流 量，或者在检测到异常情况时发出警报或启用cisco guard xt。 思科流量异常检测器 xt 会不断地监控来自线路的镜像流量。如果发现了异常或者恶意 的流量，它就会动态地设置一组（动态）过滤器，记录该事件和向网络管理人员发出警 报。如果管理人员发现异常现象是真正的威胁，他们可以手动启用cisco guard xt，将 受保护区域置入保护模式。或者，思科流量异常检测器 xt在检测到ddos攻击之后，可 以自动建立一个secure shell (ssh)协议连接，启动一个远程cisco guard。 arbor peakflo

43、w sp收集器设备可以从电信运营商网络中的不同路由器收集netflow统计 数据。当该设备发现一个异常的流量模式时，它会通过向 peakflow sp 控制器设备发送 异常特征，向其发出警报，并由其进行进一步的分析。控制器设备随后会继续监控警报。 如果它超过了一个由用户定义的阈值， arbor peakflow sp控制器就会将其归类为一个极 为重要的红色警报。这时，网络管理人员可以通过选择一个预先配置的消除设备（即 cisco guard xt 或者cisco anomaly guard服务模块），过滤恶意流量，从而阻止攻击。 cisco guard xt会建立一个ssh连接，将遭受攻击的区

44、域置于保护模式。 图2-6 显示了检测顺序。 图图2-6 检测顺序检测顺序 3. 转移 在收到将受攻击区域置于保护模式的要求之后， cisco guard xt会向上游路由器发出一 个bgp声明，将下一跳地址改为cisco guard xt的地址。网络操作人员还可以手动设置 转移操作。无论采用何种方式，上游路由器都会将该bgp声明加入到它的路由表之中， 向cisco guard xt 转发不清洁流量和清洁流量。指向其他目的地的数据流仍将保持原有 的数据路径，而不会被转移。 4. 净化 cisco guard xt可以分析经过转移的区域流量，搜索其中的异常情况。它会在数据流超 过策略阈值时检测到

45、异常。这时， cisco guard 会分析结果和创建一组动态过滤器，不 断地匹配区域流量和攻击类型。最初的动态过滤器会将流量转发到用户过滤器，直到 cisco guard停止分析数据流和创建更多的动态过滤器来处理异常情况。动态过滤器和用 户过滤器会将它们的结果送入一个比较器，由其选择最严格的推荐保护措施，再将流量 转发到相关的保护模块进行验证。该模块会丢弃没有通过身份验证的流量，随后cisco guard xt将会把流量发送到速率限制器，由其丢弃超过指定速率的流量。 5. 注入 来自cisco guard xt 的、经过清洁的流量将会被发回到区域中（参见图2-7）。可以选择 多种注入方法，具

46、体取决于核心网络拓扑是第二层还是第三层。它们将确保注入的流量 不会回到cisco guard xt。这种方法的例子包括基于策略的路由器（pbr）、虚拟路由/ 转发（vrf）、通用路由封装（gre）和多协议标签交换（mpls）vpn。 图图2-7 注入顺序注入顺序 6. 流量净化完成 cisco guard xt 上的动态过滤器具有的生命期限有限，会在ddos攻击终止之后删除。 在缺省情况下， cisco guard xt会在用户禁用它之前一直处于保护模式；但是如果在一 段指定的时间内没有使用动态过滤器或者添加新的动态过滤器，它可以自动停止保护。 cisco guard xt 将撤销以前的bgp

47、声明，而流量将会回到正常的数据路径上传输。如果 peakflow sp或者一个触发路由器被用于流量转移，用于该流量转移的bgp声明需要手动 删除。 七七：ddos 防防御御模模式式概概述述 思科clean pipes1.0解决方案的目标是将它的功能与网络基础设施产品、基础设施安全最佳 实践集成到一起，为部署模式提供经过系统测试的设计原则。电信运营商可以将这种部署 模式作为一种服务，提供给他们的企业客户。本节所讨论的很多技术也可以被电信运营商 用于防止他们自己的网络遭受攻击。 表2-2 列出了ddos防御模式，以及它们的功能和主要作用。 表表2-2 ddos 防御模式防御模式 ddos 防防御御

48、模模式式核核心心功功能能主主要要作作用用 托管网络为sp客户提供最后 一英里带宽保护 新的sp收入模式 主要功能在于提高客户的业务连续性 保护关键的最后一英里带宽 确保在数据连接上连续地提供增强的服务 主机托管保护由运营商托管 的数据中心资产 新的sp收入模式 确保电信运营商托管的关键资产的正常使用 区分托管服务 托管对等连接点为下游isp提供批 量的无ddos连接 新的sp收入模式 提供批量清洁连接 更好地推广一个无ddos的环境 基础设施保护针对sp的保护模式 可以保护他们的网 络和保护服务供应 保护数据中心的关键资产 消除针对关键路由基础设施的攻击（对等节点、运 营商边缘和核心路由器）

49、通过在昂贵的跨海连接上减少无用流量，降低运营 开支 降低附带损害的影响 7.1 托托管管网网络络服服务务模模式式 这种服务模式让电信运营商可以防止企业客户的网络遭到来自互联网的ddos攻击。这些攻 击不仅会影响主机和上面的应用，而且更加严重的是还会导致电信运营商和客户 网络之间的连接带宽达到饱和。对于金融和电子商务客户而言，这种攻击可能导致客户的 流失、声誉的下降和其他损失。 如果能够及早检测到ddos攻击，并尽可能地在网络上游阻止它们，就可以有效地消除 ddos攻击的影响。一般而言，电信运营商可以利用思科 clean pipes1.0解决方案，在两个 服务层次为企业客户提供ddos防御功能，

50、如图2-8所示： 专用服务这种高级服务适用于那些在线服务对业务的持续发展至关重要的客户。这 种服务用于为客户终端设备提供承诺的流量清洁容量，策略学习和定制，以及可选的 ddos检测和清洁启用功能。 共享服务这种服务面向对的是其他一些需求并不是特别迫切的企业客户。因此，这 项服务用于提供“尽力而为的”、由其他客户共享的流量清洁容量，标准的ddos检测 策略，并且不提供基于cpe的ddos检测和清洁启用功能。 图图2-8 托管网络服务模式托管网络服务模式 专用服务的架构设计包括在sp的网络清洁中心为每个客户专门设置一个cisco guard xt 设 备或者cisco anomaly guard服务模块。这些设备的数量取决于客户希望防御的ddos攻击的 最大规模。sp可以建立多个清洁中心，具体取决于