抗DDoS攻击测试报告Version20070702共享版

*****抗DDoS系统

测试报告

目 录

一、 测试环境介绍 .................................................................................................................................... - 3 - 

1、 测试拓扑 .........................................................................................................................................- 3 - 2、 环境说明 .........................................................................................................................................- 3 - 

二、 测试内容 ............................................................................................................................................ - 4 - 

1、 3台PC攻击情况图 .......................................................................................................................- 4 - 2、 攻击同时访问攻击目标/拷贝数据 ................................................................................................- 6 - 3、 攻击时Guard保护分析 ................................................................................................................- 7 - 

三、 CLEANPIPE特性 ................................................................................................................................. - 9 - 

1、 基于疏导设计的保护原理 ..............................................................................................................- 9 - 2、 DDoS 防御流程........................................................................................................................... -10 - 

2.1 基础学习 .................................................................................................................................... - 10 - 2.2 检测 ............................................................................................................................................ - 10 - 2.3 转移 ............................................................................................................................................ - 10 - 2.4 净化 ............................................................................................................................................ - 11 - 2.5 注入 ............................................................................................................................................ - 11 - 2.6 流量净化完成 ............................................................................................................................ - 11 - 四、 测试总结 .......................................................................................................................................... - 11 - 

一、测试环境介绍

1、测试拓扑

2、环境说明

拓扑如上图，所有标注的接口和地址都是测试中实际使用的接口和IP地址； 攻击源由3台XP机器模拟，3台pc都是百兆连接Cat3750交换机， 专门一台PC模拟正常访问的客户机器

专门一台PC模拟******的服务器，IP地址为124.x.x.100/24

正常业务数据访问时，所有数据不经过Guard，当有攻击数据时，同一目标IP的数据流均经由Guard过滤，恶意数据流过滤掉以后，正常数据流回注给目标机器；

每台攻击机器模拟百兆网卡的98%的数据带宽

二、测试内容

攻击形式 : TCP SynFlood, 工具 : xFlood

流量 : 295.68Mbps(PC的网卡达不到)

1、3台PC攻击情况图

3台PC同时攻击124.x.x.100，见下列3幅图

攻击产生的流量图：请注意，后面一幅图，拷贝数据时间点为15:36，对应次图的攻击流量为

295.688Mbps，表明恶意流量被过滤，正常流量照常访问！

2、攻击同时访问攻击目标/拷贝数据

请注意访问目标地址 : \\\\124.x.x.100\\抗DDoS\est目录

3、攻击时Guard保护分析 实时查看攻击地源ip地址

查看攻击类型

三、CleanPipe特性

1、基于疏导设计的保护原理

Clean Pipes是一个功能强大的威胁防御系统的组成部分。该系统通过防止创收服务和关键任务型组件受到DDoS攻击的影响，确保它们的可用性。它主要目的是防止提供连接和服务的数据传输途径受到安全威胁的影响。

检测 － Detector和Arbor Peakflow(第3方设备)设备可以发现和分类DDoS攻击。

威胁消除 － Cisco Guard可以减小或者完全消除DDoS攻击的影响。威胁消除组件能包括以下部分： 转移 － 将包含DDoS数据包的流量转移到威胁消除设备(这里指Guard) 注入 － 将经过“清洁”的流量从消除设备发回到原始目的地

2、DDoS 防御流程

对于Clean Pipes怎样保护一个区域或者网段遭受DDoS攻击，下面就这些步骤作简单介绍，这些步骤按照发生的先后顺序排列：从DDoS攻击发生之前，到攻击发生的时候，再到攻击结束之后。

2.1 基础学习

在没有发生DDoS时，Clean Pipes的组件会构建一个基础数据库，其中包含某个区域的正常流量模式，以便它们可以在发生DDoS攻击时识别异常流量模式。

2.2 检测

在完成一个区域的学习流程之后，思科流量异常检测器 XT和Peakflow SP会监控输出流量，或者在检测到异常情况时发出警报或启用Cisco Guard XT。

思科流量异常检测器 XT 会不断地监控来自线路的镜像流量。如果发现了异常或者恶意的流量，它就会动态地设置一组（动态）过滤器，记录该事件和向网络管理人员发出警报。如果管理人员发现异常现象是真正的威胁，他们可以手动启用Cisco Guard XT，将受保护区域置入保护模式。或者，思科流量异常检测器 XT在检测到DDoS攻击之后，可以自动建立一个Secure Shell (SSH)协议连接，启动一个远程Cisco Guard。 2.3 转移

在收到将受攻击区域置于保护模式的要求之后， Cisco Guard XT会向上游路由器发出一个BGP声明，将下一跳地址改为Cisco Guard XT的地址

还可以手动设置转移操作。无论采用何种方式，上游路由器都会将该BGP声明加入到它的路由表之中，向Cisco Guard XT 转发不清洁流量和清洁流量。指向其他目的地的数据流仍将保持原有的数据路径，而不会被转移。

2.4 净化

Cisco Guard XT可以分析经过转移的区域流量，搜索其中的异常情况。它会在数据流超过策略阈值时检测到异常。这时， Cisco Guard 会分析结果和创建一组动态过滤器，不断地匹配区域流量和攻击类型。最初的动态过滤器会将流量转发到用户过滤器，直到Cisco Guard停止分析数据流和创建更多的动态过滤器来处理异常情况。动态过滤器和用户过滤器会将它们的结果送入一个比较器，由其选择最严格的推荐保护措施，再将流量转发到相关的保护模块进行验证。该模块会丢弃没有通过身份验证的流量，随后Cisco Guard XT将会把流量发送到速率限制器，尤其丢弃超过指定速率的流量。

2.5 注入

来自Cisco Guard XT 的、经过清洁的流量将会被发回到区域中。可以选择多种注入方法，具体取决于核心网络拓扑是第二层还是第三层。它们将确保注入的流量不会回到Cisco Guard XT。这种方法的例子包括基于策略的路由器（PBR，本次测试所用）、虚拟路由/转发（VRF）、通用路由封装（GRE）和多协议标签交换（MPLS）VPN；流量回注顺序如下。本次测试中的攻击源，即模拟来自上层网络的攻击流量；

2.6 流量净化完成

Cisco Guard XT 上的动态过滤器具有的生命期限有限，会在DDoS攻击终止之后删除。在缺省情况下， Cisco Guard XT会在用户禁用它之前一直处于保护模式；但是如果在一段指定的时间内没有使用动态过滤器或者添加新的动态过滤器，它可以自动停止保护。Cisco Guard XT 将撤销以前的BGP声明，而流量将会回到正常的数据路径上传输。

四、测试总结

Cisco Clean Pipe允许建立一个透明的流量区域，不断地过滤流量，以及通过密切跟踪区域流量签名发现发展中的流量模式。这种DDoS防御机制通常被称为流量净化。

通过本次测试比较，对于恶意数据的过滤、正常数据流的净化，效果明显，可以说立竿见影，在当今DDoS攻击盛行的大网络中，该系统有助于有效提升客户服务、有效保护带宽资源、有效保护投资。