我有一个企业网络系统,它有一个面向互联网的路由器,它下面是一个虚拟机箱交换机,它下面是一个接入层交换机,最后是一个服务器。我的问题是,当发生 Ddos 攻击时,即使我有解决方案来缓解服务器级别的攻击,路由器和交换机之间的带宽也会被占用。我想知道
a) 我如何才能快速知道所有设备的哪些端口正在承载该流量,以便我可以快速关闭它们 b) 网络映射软件可以为我绘制拓扑结构,最好给我提供诸如正在使用的网络带宽等统计信息。
答案1
您是否认为 DDoS 攻击可能来自互联网以外的其他地方?如果是这样,这是否意味着您的边缘路由器几乎可以提供有关流量激增等的可靠信息来源?
无论如何 - 就路由器而言,Netflow/sflow(取决于使用的供应商)既可以提供有关源、目标和正在使用的流量类型以及每秒数据包数、总量、AS 信息等的良好分析。有一些商业工具专门根据这些信息进行 DDoS 检测(即 Arbor 产品),还有各种各样的开源选项可以设置(结合适当的软件包)在达到某些阈值时发出警报等。这里的额外好处还在于,这些信息可以提供攻击开始、结束等的历史记录。显然,另一个主要好处是能够为容量规划、流量工程等提供大量信息。