私は、ネットワークに ddos 攻撃があるときを確認して、手製のツールを使用して攻撃をブラックホール ルーティングできるようにしたい、予算重視のクライアントを抱えています。現在、sflow トラフィックのみをエクスポートするデバイスがあります。システム管理者は、ddos 検出には別のハードウェアと完全な netflow エクスポートが必要だと言っていますが、それは正確ですか?
質問する
766 次
3 に答える
1
ネットワーク ハードウェアを交換する必要はありません。sFlow は DDoS 検出に適しています。GitHub の DDoS 緩和ツールのいくつかを次に示します。
于 2016-01-12T03:42:24.227 に答える
1
私の経験では、sFlow は、少なくともリフレクション攻撃やパケット フラッドのような大量の DDoS 攻撃に対して、高速な DDoS 検出に実際に非常に適しています。その理由は、sFlow と NetFlow の違いにあります。
NetFlow はルーターの状態を保持し、フローがしばらくの間 (通常 15 秒程度) 非アクティブであるか、長時間 (通常 60 秒) 続く場合、そのフローの要約状態がコレクターに送信されます。これは、トラフィックの正確な説明が作成されることを意味しますが、攻撃がすでに 1 分進行するまで検出器に到達しない可能性があります。
NetFlow とは異なり、sFlow 戦略はパケット サンプルを N 分の 1 (通常は 1/512 または 1/1024 程度) ごとに送信することです。これは、検出ソフトウェアが攻撃をほぼ即座に「見る」ことができることを意味します。
ハードウェアを追加する必要はありません。NetFlow と sFlow の違いに関する詳細を次に示し ます。 http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
于 2016-01-13T17:19:15.493 に答える