DDoS终结者 测思科防DDoS攻击系统

　　二、方案原理

　　针对上述的需求，作为在网络安全方面全球最大、最强的公司，思科系统推荐采用基于Guard和Detector的DDoS防御方案，示意图如图2。

　　图2

　　1.开始的时候Guard不对被保护对象进行保护，没有任何数据流流经Guard，此时Guard为离线设备。Detector收到交换机通过端口镜像过来的通往保护对象的数据流后，通过算法分析和策略匹配，发现了被保护对象正受到攻击。

　　2.Detector建立起到Guard的SSH连接，通知Guard对被保护对象进行保护。

　　3.Guard通过BGP路由更新告知与它相连的BGP对等体，路由器将目的地未被保护对象的数据流发往Guard。目的地不是被保护对象的数据流则正常流动，不受影响(图3)。

　　图3

　　4.通过策略匹配和算法分析，识别正在进行的攻击类型，并对数据流进行处理(识别伪造源地址、过滤非法数据包、速率限制等)，在此阶段，攻击数据被清除。

　　5.被过滤过的数据流被再次发回与它相连的BGP对等体(或者是该对等体下游的其它三层设备)，因此，合法的数据流连接仍然正常工作。

　　三、 测试环境及方法

　　利用现有的网络环境，包括图1中的GSR、OSR、6509、4507R和2950，在本次测试中，Guard和Detector只与图1的一台6509和4507R相连，在GSR上做了少量路由的改动，保证来往于被保护对象的数据流总是从我们指定的6509经过，避免由于2台6509的Load Balance造成测试误差。

　　由于Guard和Detector上均有2个GE接口，因此，我们可以配置Guard和Detector同时与两台6509相连(此时Guard不采用串联在4507R和6509之间的方式，而是单臂连接到6509上，进入到Guard的数据流从同一个接口返回)，这样，对整个IDC的保护将更加完整(图4)。