思科防DDoS攻击系统率先评测

　　由思科的Guard和Detector组成的DDoS攻击防御方案可以非常有效地减轻或消除目前流行的各种DDoS网络攻击，提高IXC的安全性和可靠性。

　　本次测试没有开启Guard和Detector的学习功能来进行精确的流量模型建立和策略设定，而是采用了系统缺省自带的策略参数，已经取得了很好的防御效果，如果时间允许利用两天时间专门用于流量模型建立和策略参数设定，效果将会更好。

　　通过对信息流进行比较，找出正常流量模式、行为与协议执行情况，发现并阻止恶意流量而不影响合法的交互过程。防护器作为一个资源共享的设备，它可以根据需要动态地对网络中的网络设备资源和服务器进行保护，谁被攻击，就去保护谁，既可保护客户的服务器，又可保护客户的连接带宽。

　　资料：DDoS攻击常用防御手段

　　DDoS攻击源通常具有源地址伪装、跨运营商网络和分布式的特性，因此到目前为止对DDoS攻击还缺少直接有效的防御手段。引用一位资深安全专家的形象比喻：DDoS就好像有1000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

　　当然，随着DDoS攻击越来越流行，互联网工作者们也逐渐总结了一些防御手段。虽然这些手段远不足以从根本上杜绝DDoS攻击，但对于一般性的DDoS还是有一定的抑制作用。

　　首先，几乎所有的主机平台都有抵御DDoS的设置，如关闭不必要的服务、限制同时打开的SYN半连接数目、缩短SYN半连接的time out 时间、及时更新系统补丁等，另外，许多防火墙软件对DDoS攻击也有一定防护作用。

　　除此之外，还需要特别注意自己管理范围内的主机不要成为傀儡机，尤其是一些提供主机托管服务的ISP/ICP。这些托管主机的安全性普遍较差，甚至连基本的补丁都没打就赤膊上阵了，成为黑客最喜欢的“肉鸡”；还不必说托管的主机都是高性能、高带宽的——简直就是为DDoS定制的。

　　对于网络设备，可以从防火墙与路由器上对DDoS攻击进行抑制，但需要注意这往往是以牺牲网络设备效率为代价的。由于在DDoS攻击时或者流量极大，或者会话数极多，在攻击发生时这些设备通常反而成为网络瓶颈，甚至先于被攻击主机陷入瘫痪，造成更大的危害，因此需要慎重使用。

　　防火墙上一般措施有：禁止对主机的非开放服务的访问，限制同时打开的SYN最大连接数，限制特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问同时防止自己的服务器被当作傀儡机去害人。

　　而路由器，尤其是思科路由器，一般推荐如下方法：

　　1．使用ip verfy unicast reverse-path 网络接口命令检查所有经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。

　　2．使用访问控制列表（ACL）过滤RFC 1918中定义的所有私网地址，同时过滤进出报文，即ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只发送源地址属于客户端网络的通信。另外，如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。

　　3．使用CAR（Control Access Rate）限制ICMP数据包流量速率或禁止ICMP应用。

　　举例：interface {interface name}
　　rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop
　　access-list 2020 permit icmp any any echo-reply

　　4．使用CAR控制SYN数据包流量速率。

　　举例：interface {interface name}
　　rate-limit output access-group 153 45000000 100000 100000 conform-action transmit exceed-action drop
　　rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop
　　access-list 152 permit tcp any host eq www
　　access-list 153 permit tcp any host eq www established

　　另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

　　但是上述方法在真正面对大量DDoS攻击时往往没有多少效果，反而因为更多的消耗资源加剧攻击损害。对此一般防御方法只有停止被攻击目标的网络服务，然后利用黑洞路由和访问控制列表逐级匹配的方法追踪攻击源，往往耗时较长并需要多运营商配合，很难实现。另外，此类攻击过程中被攻击主机也由于主动或被迫停止网络服务，而陷入瘫痪。