como rastrear quais switches, roteadores estão sendo afetados por ddos

Navegue suas respostas
2

Eu tenho um sistema de rede empresarial que tem um roteador voltado para a internet, abaixo dele um switch de chassi virtual, abaixo dele um switch de camada de acesso e, finalmente, um servidor. Minha pergunta é que, quando há um ataque de DDoS, embora eu tenha soluções para atenuar o ataque em um nível de servidor, minha largura de banda entre o roteador e os switches fica sobrecarregada. Eu quero saber

a) como posso saber rapidamente quais portas de todos os dispositivos estão transportando esse tráfego para que eu possa desativá-las rapidamente b) um software de mapeamento de rede que pode desenhar a topologia para mim e, de preferência, me fornecer estatísticas como a largura de banda da rede sendo usada, etc.

    
por nandonachi 25.10.2012 / 07:09

2 respostas

1

Você espera que ataques DDoS sejam provenientes de algum outro lugar que não a Internet? Se assim for, isso não implicaria que o seu roteador de borda forneceria praticamente a fonte definitiva de informações sobre surtos de tráfego e tal?

De qualquer forma - no que diz respeito ao roteador, o Netflow / sflow (dependendo do fornecedor em uso) fornece boas análises sobre a origem, o destino e o tipo de tráfego em uso, bem como pacotes por segundo, volume geral, informações de AS Existem ferramentas comerciais especializadas na detecção de DDoS a partir dessas informações (ou seja, os produtos da Arbor), bem como uma ampla variedade de opções de código aberto que podem ser configuradas (em conjunto com pacotes apropriados) para alarmar quando certos limites forem atingidos O benefício adicional aqui é também que a informação pode fornecer registros históricos de quando os ataques começaram, terminaram, etc. Há também, obviamente, o outro grande benefício de poder fornecer toneladas de informações para planejamento de capacidade, engenharia de tráfego, etc. / p>     

por 25.10.2012 / 07:50
0

As suítes de monitoramento mais competentes podem fazer isso. Qualquer coisa com base em nagios deve lidar com isso sem suar, como seria zenoss . Há uma constelação de produtos lá fora que fazem isso, tanto a HP quanto a Dell oferecem coisas que podem fazer isso como parte de seus pacotes de software, e uma série de produtos comerciais (alguns dos quais também são baseados nos dois produtos gratuitos que eu já mencionei).

A maioria deles permite que você defina limites de alerta para quando certas coisas acontecerem, como portas de uplink excedendo 90% de utilização.

    
por 25.10.2012 / 07:40

Tags

Um tronco de VLAN privado também pode tronar VLANs normais qemu-img: não foi possível abrir $ FILE