У меня есть корпоративная сетевая система с маршрутизатором, выходящим в Интернет, под ним - коммутатор виртуального шасси, под ним - коммутатор уровня доступа и, наконец, сервер. Мой вопрос заключается в том, что при атаке Ddos, хотя у меня есть решения для смягчения атаки на уровне сервера, моя полоса пропускания между маршрутизатором и коммутаторами перегружается. я хочу знать
а) как я могу быстро узнать, какие порты всех устройств несут этот трафик, чтобы я мог быстро их закрыть б) программное обеспечение для картографии сети, которое может нарисовать топологию для меня и, желательно, предоставить мне статистику, например, используемую пропускную способность сети и т. д.
Ожидаете ли вы, что DDoS-атаки будут исходить не из Интернета? Если так, не означает ли это, что ваш граничный маршрутизатор будет в значительной степени источником окончательной информации о скачках трафика и тому подобном?
В любом случае - что касается маршрутизатора, Netflow / sflow (в зависимости от используемого поставщика) обеспечивает как хорошую аналитику об источнике, назначении и типе используемого трафика, так и количество пакетов в секунду, общий объем, информацию AS и т. Д. Существуют коммерческие инструменты, которые специализируются на обнаружении DDoS-атак на основе этой информации (например, продукты Arbor), а также широкий спектр опций с открытым исходным кодом, которые можно настроить (вместе с соответствующими пакетами) для сигнализации при достижении определенных пороговых значений и т. Д. Дополнительным преимуществом здесь также является то, что информация может содержать исторические записи о том, когда атаки начались, закончились и т. Д. Очевидно, что есть еще одно важное преимущество - возможность предоставить тонны информации для планирования пропускной способности, управления трафиком и т. Д.
Большинство компетентных программ мониторинга могут это сделать. Все, что основано на нагиос должен справиться с этим, не вспотев, как и зенос. Существует огромное количество продуктов, которые делают это, и HP, и Dell предлагают вещи, которые могут делать это как часть своих программных пакетов, и целый ряд коммерческих продуктов (некоторые из которых также основаны на двух бесплатных продуктах I уже упоминал).
Большинство из них позволяет вам устанавливать пороговые значения для предупреждений, когда происходят определенные события, например, порты восходящей связи, использование которых превышает 90%.