思科网络DDOS攻击检测与防护设计与部署

思科网络 DDOS攻击 检测与防护设计与部署2007年9月17日2007年9月21日(本活动已经结束)讨论业界DDOS防护主流产品 Guard 与 Detector 的部署与设计原理，以及下一步DDOS 防护趋势思科专家：刘在恒，武涛，徐志骏，赵述志，金戈，郭庆问题编号：3748问题主题：请简单把思科DDOS解决方案的特点介绍一下？提问内容： 演示：回答者：郭庆回答内容： 特点：1. DDOS 防护性能 30G+ ；2. 旁路按需清洗设计；3. 全动态策略启动取消设计；4. 自动抓报取证生成特征库;5. XML输出自服务Portal设计；6. TACAS+,SNMP MIB, SYSlog 全网管集成；7. Detector 7层蠕虫检测与自学习同步策略；8. 城域网，骨干网，IDC 国际DDOS防护标准设计！DDOS主要攻击对象！-Guard定制的模版-四层交换机，防火墙，IPS-游戏网吧-网银证券-DNS，AAA学习Guard = 掌握DDOS规律，了解应用特征问题编号：3749问题主题：Guard对类似CC攻击的这种应用层DDOS怎么防范?提问内容： RT回答者：郭庆回答内容： 两种方式:1. Guard 的Zombie 模版！2. Guard 的Flex Filter功能，不仅可以防止CC，还可以防止SIP协议攻击，脚本攻击。问题编号：3751问题主题：回注方式提问内容： 对于回注的方式,比较多,能不能具体讲一讲回答者：刘在恒回答内容： 由于流量吸引导致DDOS攻击流量通过Guard清洗，其回注方式多种多样，其最根本的需求，就是避免清洗后的回注流量重新进入Guard，造成路由循环。简单来说有以下几种回注方式：1、通过回注拓扑变化，回注链路与吸入链路分离。绕过路由表项指向Guard的路由器。如在城域网或IDC中直接回注给下级路由器。2、通过PBR回注。通过源地址路由，直接把流量送给下级路由器， 避免查询路由表。3、通过MPLS VPN回注。将回注流量直接注入VRF，通过MPLS VPN将流量直接引入用户接入的PE设备。4、通过GRE回注。将回注流量引入GRE隧道，直接注入用户设备。具体的流量回注方式，需要根据网络拓扑的实际情况来设计，方案本身没有优劣之说，关键是思路清晰，易于维护。这体现了设计人员对自身网络的理解。如有进一步的问题。欢迎给我发邮件。ZaliuCISCO.COM问题编号：3752问题主题：在CISCO2821路由器上可以防DDOS攻击么？提问内容： 在CISCO2821路由器上可以防DDOS攻击么？如果可以，怎么防？回答者：刘在恒回答内容： Cisco的ISR系列路由器提供了内置的IOS防火墙，通过对防火墙的配置，或对某些特征流量的过滤和限速，可以提供一定程度的安全防护与防DDOS攻击的能力。但由于目前网络上的DDOS攻击往往规模很大，对于几百兆甚至几千兆的DDOS攻击，就需要专门的防DDOS设备，如Guard来专门处理了。问题编号：3753问题主题：Guard 的Zombie 模版是什么概念，有什么作用？提问内容： Guard 的Zombie 模版是什么概念，有什么作用？回答者：刘在恒回答内容： Zombie模版是Guard专门用来防御Zombie类DDOS攻击的模版。Zombie攻击的特点是用真的IP地址与Server端建立TCP连接，多个攻击client端建立的多个连接与真正开展业务的TCP连接非常接近，最终导致Server端的资源耗尽。问题编号：3754问题主题：Cisco 产品提问内容： Cisco主要推向市场的防御ddos产品是什么？有无产品资料？回答者：刘在恒回答内容： Cisco主要推向市场的防DDOS产品是Cisco Guard与Detector。这是两个运营商级的专业DDOS防御工具。其产品资料请到思科网站下列链接查询。问题编号：3755问题主题：Cisco Guard是如何实现区分正常和非正常流量的？提问内容： 请详细解答回答者：赵述志回答内容： 思科DDOS防护有两种学习模式, 通过第一阶段的学习, 我们可以让DDOS防护设备了解用户被保护网段中的主要业务类型, 通过第二阶段的学习 我们可以让DDOS防护设备了解相关业务类型的流量阀值,这样子就可以全面的了解用户的业务模型, 从而进行更加严紧并且结合实际用户业务的时时保护了, 当然我们也支持直接保护方式以及保护+学习共存模式等. 并且思科的MVP动态过滤引擎算法也是行业中非常领先的技术,可以根据攻击的变化而动态的改变防御方法.以变应万变!问题编号：3756问题主题：有什么方法能防止别人在网吧发布病毒？提问内容： 网络安全边界的硬件方面，要如何解决这个问题？谢谢回复.回答者：赵述志回答内容： 防治散发病毒需要从几个方面考虑, 首先你必须确认病毒的类型也就是说检测出来病毒,并且可以利用现有的设备定位病毒源以及封杀, 在小规模网络中对于网吧用户, 可以考虑利用ISR+IOS IPS的软件特性来进行防护.问题编号：3757问题主题：请介绍以下内容提问内容： DDOS攻击的主要种类；检测DDOS攻击的主流方法；防御DDOS攻击的主要手段。回答者：赵述志回答内容： DDOS 攻击的种类基本分两类 1) 带宽攻击：这种攻击消耗网络带宽或使用大量数据包淹没一个或另一个（或两者）。路由器、服务器和防火墙都只有有限的处理资源在这种负重下不能处理合法事务并最终导致崩溃。带宽攻击的普遍形式是大量数据包攻击，大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地。为了使检测更加困难，这种攻击也使用源地址欺骗篡改成产生避免验证请求的IP地址。在举例如下:协议层攻击SYN flooding 原理是依赖于TCP连接的建立方式。建立一个TCP连接在最初需要一个 3 向握手过程，而发送大量的握手请求-SYN包，使服务器没有资源处理正常的握手请求。UDP flooding UDP是没有连接状态的协议，因此可以发送大量的UDP包到某个端口， 如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，这样则消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。Smurf： 采用反射技术。向多个目标发送ICMP请求，源地址改为攻击目标的地址，这样大量的ICMP回送到攻击目标。Land： 采用目标和源地址相同的UDP包攻击目标。这种攻击到现在还是有效的。Tear drop： 也叫碎片攻击，发出的包是经过fragement的，而这些碎片的位移是相互重叠的，这种畸形数据包会造成目标主机不知道如何处理。Ping of death： 大于65535字节的ping包。基础网络的攻击应用层攻击:基于会话的攻击。例如简单的HTTP等TCP服务，服务器会话的数量是影响给定应用程序性能的重要因素，会话的数量是有限制的，这个限制就是一个DDoS的攻击点。一次简单的攻击便可打开 TCP 会话并让这些会话保持打开状态，从而可以迅速填满所有可用的会话槽，阻止建立任何新的会话。DNS攻击。DNS请求大多是基于UDP协议的，而且不需要由客户机进行认证，因此很轻易就可以将数千个请求从伪造的来源发送到服务器。另外对请求解析的地址做改动也能加大DNS服务器的负担。应用程序或数据库。 SQL也是易受攻击的目标，在大型而复杂的表格上，SQL查询可能在应用程序级生成不同的错误行为。例如如果没有正确的索引，涉及对同一个表的多个列进行筛选和排序操作的SQL 请求便会产生指数级数量的操作，这会消耗大量CPU 资源并显著增加应用程序响应时间。2) 应用攻击：这种DDoS攻击利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理事务和请求。HTTP半开和HTTP错误就是应用攻击的两个例子。基于会话的攻击、DNS攻击和应用程序或数据库攻击是其中的典型。当然也包含对于资源消耗类型的典型CC攻击方式.攻击形式再不停的变化, 就像感冒病毒一样, 上次的流感爆发让身种疫苗的我也不能幸免 为什么呢? 因为病毒会变种, DDOS也一样,因此要防护DDOS 需要变应对万变!检测技术 目前主流的有两种方式: 一种是NETFLOW方式,另外是利用DDOS异常流量专用检测设备方式, 下面是两种方式的比较,可以参考一下.Netflow的第一个问题是其DDoS监测功能不如Detector那样准确。Detector毕竟是每包检查，而Netflow只是数一个总的数据包的个数，甚至是做sample的。对于很多包个数变化并不明显的攻击（称之为low-rate攻击），和一些基于应用的攻击，netflow就无能为力。第二个问题就是操作的复杂性。Detector能够学习流量特征，生成和Guard统一的策略，这时候Guard不需要再学习。而如果使用netflow做为监测设备，两者没有直接关系，Guard学习完了，Arbor还要再学，而且在Guard上面修改了阀值，如何修改Arbor的对应的哪个阀值就成了问题，特别是网络应用变化比较频繁的网络，带来很多额外的工作量。第三个问题是时延。Netflow是一个准实时的技术，Netflow记录是路由器以一定的时间间隔推送出来的，一个flow通常在结束或 timeout后才被推送，被Arbor接受后还有一定的处理延迟时间，因此对攻击的检测不可避免的有时延，我们保守的估计时延会有两分种以上。对于一些时延敏感的应用，netflow的技术就会有问题。至于 防御手段 通常的做法是利用现有的模版进行拦截.但是思科的方法不同,思科DDOS防护有两种学习模式, 通过第一阶段的学习, 我们可以让DDOS防护设备了解用户被保护网段中的主要业务类型, 通过第二阶段的学习 我们可以让DDOS防护设备了解相关业务类型的流量阀值,这样子就可以全面的了解用户的业务模型, 从而进行更加严紧并且结合实际用户业务的时时保护了, 当然我们也支持直接保护方式以及保护+学习共存模式等. 并且思科的MVP动态过滤引擎算法也是行业中非常领先的技术,可以根据攻击的变化而动态的改变防御方法.以变应万变问题编号：3758问题主题：应用层DDOS提问内容： 绿盟在抗应用层DDOS用了马尔可夫链，不知思科用到了什么技术呢？回答者：赵述志回答内容： 思科也有自己专利的保护技术. 例如基于有些HTTP业务,有一种做法如下:DDOS防护设备首次 发 RST , 如果正常请求, Retry的Sequence number 一致, 非正常的不一致, 判断持续DOS攻击ACK 攻击, Windows窗口不对, 服务器常连接等待ACK , 或判断 sequence num 范围是否正常OS 查ACK是否异常. 也就是说 在一些情况下GUARD会代理响应前端请求,并且 针对异常的TCP请求给与拦截.并且 思科GUARD有专用的Zombie 模版.以及Guard 的Flex Filter功能，不仅可以防止CC，还可以防止SIP协议攻击，脚本攻击. 问题编号：3759问题主题：清洗原理提问内容： Guard 清洗流量的依据是什末？回答者：赵述志回答内容： 思科DDOS防护有两种学习模式, 通过第一阶段的学习, 我们可以让DDOS防护设备了解用户被保护网段中的主要业务类型, 通过第二阶段的学习 我们可以让DDOS防护设备了解相关业务类型的流量阀值,这样子就可以全面的了解用户的业务模型, 从而进行更加严紧并且结合实际用户业务的时时保护了, 当然我们也支持直接保护方式以及保护+学习共存模式等. 并且思科的MVP动态过滤引擎算法也是行业中非常领先的技术,可以根据攻击的变化而动态的改变防御方法.以变应万变问题编号：3760问题主题：学习过程提问内容： 从Guard的布署来看，应该是在需要进行流量牵引的时候才加入到行路中来，那么在没有攻击的情况下，Guard是处于一种什么样的的状态呢？学习状态吗？回答者：金戈回答内容： 在无攻击情况中，Guard可以放在旁路。这时候，由Cisco Detector或者Netflow采集分析器（Abor的产品或其他公司的产品）对您要保护的目的流量进行监控。一旦发现问题。则Detector与Guard交换相关信息，促发进行流量牵引，保护。无攻击情况下，Detecotor也可以把自己学到的流量模式传递给guard。问题编号：3761问题主题：2800路由器提问内容： 2800路由器，总掉线是怎么回事？回答者：赵述志回答内容： 首先您需要明确说明是什么掉线? 看是广域网还是局域网, 然后我们才好判断是由于线路质量,线路拥塞,还是病毒以及NAT业务造成路由器CPU以及内存出现异常导致的.问题编号：3762问题主题：请问在企业部署Detector+Guard和运营商有什么不同？回答者：金戈回答时间：2007-9-18 15:26:01回答内容： 在SP部署模式中，根据被保护对象的不同，我们可以选择采用“二层短转移”“三层长转移”等部署方式。而在企业环境中，我们一般会采用短转移的方式来保护出口带宽和内部Server。主要的区别在于，我们根据被保护对象的不同，采取不同的转移及回注方式，流量的清洗都是由Guard来作。问题编号：3763问题主题：如果网络设备不是CISCO设备有没有什么问题？提问内容： 比如核心路由器、交换机都不是cisco这种情况。回答者：金戈回答内容： 没有任何问题，因为Guard主要的作用是流量清洗，即Clean掉恶意的DDOS攻击流量。流量的牵引及回注主要由路由完成，因此在部署过程中，无需核心路由及交换，都为cisco产品。问题编号：3764问题主题：Guard Module的默认模板提问内容： 请问Guard默认的模板有什么意义，如果建立Zone的时候如何来区分呢？谢谢Template:GUARD_TCP_NO_PROXYGUARD_DEFAULT回答者：赵述志回答内容： 这个问题是个实践问题,通常来讲通常我们会使用GUARD_DEFAULT模版,并且让用户业务进行细致学习模式 从而优化模版中的相应数据,这样子当攻击发生的时候我们可以更加准确的拦截, 并且再使用了ADM/AGM 也就是说当网络中部署的思科的DDOS检测设备的时候,并且希望配置两者的联动 通常我们也会选择这个缺省模版. 但是有些情况例外, 比如对于被保护网络有大量上网业务的时候,也就是说他们这些被保护的机器不仅仅是被被动的访问,那么这种情况下我们通常会选择GUARD_TCP_NO_PROXY这个模版,尤其是内网有F5以及其他负载均衡设备的时候.问题编号：3765问题主题：DDoS防护趋势提问内容： 请谈一下未来的DDoS防护趋势，基于应用层的攻击会不会成为主流？比如CC的变种，由数据查询等大量消耗资源的操作变为读写磁盘等？回答者：赵述志回答内容： 有两类最基本的DDoS攻击：1) 带宽攻击：这种攻击消耗网络带宽或使用大量数据包淹没一个或另一个（或两者）。路由器、服务器和防火墙都只有有限的处理资源在这种负重下不能处理合法事务并最终导致崩溃。带宽攻击的普遍形式是大量数据包攻击，大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地。为了使检测更加困难，这种攻击也使用源地址欺骗篡改成产生避免验证请求的IP地址。2) 应用攻击：这种DDoS攻击利用TCP和HTTP等协议定义的行为，来不断占用计算资源以阻止它们处理事务和请求。HTTP半开和HTTP错误就是应用攻击的两个例子。基于会话的攻击、DNS攻击和应用程序或数据库攻击是其中的典型。当然也包含对于资源消耗类型的典型CC攻击方式.其实 还是我之前说过的 应为攻击会不停的变种,对于带宽以及应用资源耗竭的攻击,也必将会改变自身的形态, 但是对于DDOS 其实我们可以看见的是, 目前很多老式的攻击方式仍然活跃在互联网上面. 因此 DDOS的防护必须抓住以变应万变这个核心的设计理念.具体防御方式请参考前面答复的帖子.问题编号：3766问题主题：FlexFilter提问内容： 能不能对FlexFilter技术作一些介绍？回答者：郭庆回答内容： Detector用于流量的分析，其中中的FlexFilter 主要用来做流量记数功能，可以对某个特定的数据流的进行记数。因为启用FlexFilter可能占用资源，我们建议在启用这项功能之前采取特别的预防措施。用WBM上和CLI都可以配置flexfilter。用CLI配置一个flexFilter的命令：userDETECTOR-conf-Zone-# flex-filter count Guard 的FlexFilter功能，不仅可以防止CC，还可以防止SIP协议攻击，脚本攻击。FlexFilter本质是7层过滤,通过正则表达式与Patten匹配过滤应用层内容.问题编号：3767问题主题：4506 2台做了HSRP ,可是突然出现了应用层网络不通,但能ping 通.提问内容： 4506 2台做了HSRP ,可是突然出现了应用层网络不通,但能ping 通.日志现象:Nov 16 03:51:59: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Standby - Active*Nov 16 04:11:52: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Active- Init*Nov 16 04:17:21: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Standby - Active*Nov 16 04:29:48: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Active- Init*Nov 16 04:31:05: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Standby - Active*Nov 16 04:32:00: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Active- Init*Nov 16 04:33:08: %STANDBY-6-STATECHANGE: FastEthernet2/21 Group 16 state Standby - Active*Feb 3 00:22:33: %IP-4-DUPADDR: Duplicate address 192.168.30.1 on FastEthernet2*Aug 8 22:06:54: %STANDBY-3-DUPADDR: Duplicate address 192.168.6.254 on FastEthernet2/21, sourced by 0000.0c07.ac10-HSRP 虚拟地址*Aug 25 02:24:34: %STANDBY-3-DUPADDR: Duplicate address 192.168.6.254 on FastEthernet2/21, sourced by 0000.0c07.ac10*Sep 16 03:47:45: %IP-4-DUPADDR: Duplicate address 192.168.9.1 on GigabitEthernet2/2, sourced by 0007.e9b7.4a1f请问是感染了病毒? 还是DDOS攻击. 已经彻底检查没有LOOP和 设备故障.回答者：赵述志回答内容： 这个应该式网络层配置问题,或者是您的HSRP配置问题,或者是网络中出现环路. 请检查相应配置.问题编号：3768问题主题：关于DDOS防护主流产品,主要是以什么方式对设备进行管理?提问内容： CISCO下一步的DDOS防护趋势产品,是在ASA上面加强功能还是独立的产品线呢?那么关于这方面的设备,调试与管理主要是CLI还是WEB管理呢?回答者：赵述志回答内容： 首先 思科DDOS防护产品线是有独立的产品线的,防火墙上面的DDOS防护只是一些简单而且基本的功能,无论从性能以及功能都不能算作是一个专业的DDOS防御设备. 思科的DDOS 防护产品线有独立硬件盒子,也可以支持模块方式安装在C7600以及C6500的设备内. 至于 管理方式 大部分配置工作都是在WEB GUI方式进行的.配置非常的简单.问题编号：3769问题主题：如何有效检测和隔离内外网DDOS的攻击？提问内容： 如何有效检测和隔离内外网DDOS的攻击？回答者：赵述志回答内容： 思科的新的防护理念式内洗/外控/中隔离.现在IDC里面 SP遇到的比较头疼的用户问题主要两点：1、托管用户遇到攻击 如何对于用户进行保护 以及攻击溯源等问题，这个时候通常需要关注进入IDC的流量 对于这些流量进行分析和保护2、托管用户攻击别人 通常放映时托管自己中招 甚至成为了黑客集团的发包工具（肉机），托管用户可能自己还不知情，并且还会想运营商抱怨 无法被正常访问 影响业务，这个时候 通常 运营商需要 找到有力的证据支撑自己的无辜性，传统的做法是运营商设立一台新的机器 让后告诉用户说 你看我们的机器用这个地址是正常的，呵呵 但是用户通常无法认可，因此需要一种新的手段来监控运营商托管用户下行流量，并且判定攻击，并且对于攻击进行溯源。我们的IDC 安全一体化解决方案 完全可以解决上述问题：1、对于外部进来的攻击流量（上行）：我们利用DDOS GUARD及DECTOR 设备进行识别、判定、及清洗、记录等操作。 目前测试结果表现良好。2、对于从IDC出去的攻击流量（下行）：我们利用IPS加MARS的组合进行识别、端口定位、阻断、报表给用户等操作。其中IPS 用于接受所有RX 的SPAN流量，交给MARS集中分析取证，给予缓解建议、端口定位、REPORT功能等。 目前测试结果表现良好。当然 IPS + MARS 的组合也完全可以应用于进入（上行）攻击的定位。问题编号：3770问题主题：Guard和netflow工具是如何联动的，Guard与哪些netflow工具实现过联动部署？提问内容： Guard和netflow工具是如何联动的，Guard与哪些netflow工具实现过联动部署？回答者：赵述志回答内容： 检测技术 目前主流的有两种方式: 一种是NETFLOW方式,另外是利用DDOS异常流量专用检测设备方式, 下面是两种方式的比较,可以参考一下.Netflow的第一个问题是其DDoS监测功能不如Detector那样准确。Detector毕竟是每包检查，而Netflow只是数一个总的数据包的个数，甚至是做sample的。对于很多包个数变化并不明显的攻击（称之为low-rate攻击），和一些基于应用的攻击，netflow就无能为力。第二个问题就是操作的复杂性。Detector能够学习流量特征，生成和Guard统一的策略，这时候Guard不需要再学习。而如果使用netflow做为监测设备，两者没有直接关系，Guard学习完了，Arbor还要再学，而且在Guard上面修改了阀值，如何修改Arbor的对应的哪个阀值就成了问题，特别是网络应用变化比较频繁的网络，带来很多额外的工作量。第三个问题是时延。Netflow是一个准实时的技术，Netflow记录是路由器以一定的时间间隔推送出来的，一个flow通常在结束或 timeout后才被推送，被Arbor接受后还有一定的处理延迟时间，因此对攻击的检测不可避免的有时延，我们保守的估计时延会有两分种以上。对于一些时延敏感的应用，netflow的技术就会有问题。因此 两种方式各有其优势, 并且在骨干网上面也可以利用GUARD独有的PACKET-ACTIVE特性结合REMOTE TRIGER BLACK HOLE等技术实现远程牵引. 至于 目前部署的情况来看,在城域网更多的我们适合PEAKFLOW产品线合作为多. 利用NETFLOW检测攻击,然后利用SSH通知我们的GUARD进行防护.问题编号：3771问题主题：流量保护是单向的吗？提问内容： Guard是只对进入被保护zone的流量进行保护吗？对于从里面出去的流量有没有进行监控？回答者：赵述志回答时间：2007-9-19 9:54:52回答内容： 这个问题问得很好,目前主要是对于进入ZONE的流量而保护的方式,主要是因为从外网进入的攻击占多数, 当然作为GUARD也可以实现内洗,就是对于内部流量检测. 这些 也是目前电信针对城域网中的一个需求. 思科GUARD 完全可以实现内外清洗.问题编号：3773问题主题：关于上贴ID=3750谈到的旁路技术提问内容： 我同意ID=3750帖上的回答，旁路的关键技术在回注上，但是感觉最后一句话在混淆概念。回注的很多功能实现并不是在cisco的防护detector或者AGM上做的，而是在回注路由器上做的。这跟防护设备有什么关系呢？就像cisico的dedicated专用模式，需要单独架设一个机框并插入AGM卡，接驳在核心路由器上。把核心路由器当作牵引和回注路由器。这种场景下，回注策略是在核心路由器上做的，而不是在你新立的机框做的。所以，换成别家产品的话也基本是一样的道理，在核心路由器做PBR、GER、VRF等等配置就行了。这和您之前的解释有点矛盾。回答者：赵述志回答内容： 其实 DDOS 防御的一个重要环节就是回送,思科集成式AGM可以安装在C76或者C65上面,AGM 在保护模式时候可以注入RHI路由进入MSFC,这是其他厂家没有的,并且可以配置C65或者C76配置MSFC 进行你想要的任何回送方式,L2 / L3 包括VPN回送都可以实现. 当然您所说,如果不希望相应配置在MSFC上面进行,当然也可以在互联的其他路由器上面实现. 这点不矛盾.问题编号：3774问题主题：IPv6下防DDOS攻击提问内容： 请问：1：Guard是否支持IPv6？2：在IPv4下的DDOS攻击是否在IPv6下依然存在？3：要是DDOS攻击在IPv6下依然存在，思科在IPv6下是如何防御这些攻击的呢？谢谢！回答者：金戈回答内容： 1）Cisco Guard目前不支持IPv6.2) IPv4下的DDos攻击主要是基于TCP/IP协议的漏洞进行攻击。而IPV6的产生最原始是基于IPv4地址的匮乏，同时，IPV6在QOS、寻址方式、可扩展性等方面都相对IPv4有着明显的优势，特别是将IPSec作为必备协议从而大大提高了IPv6自身的安全性。IPv6的这些改进使得许多利用IP协议漏洞进行攻击的DDoS失去作用。但前期我们已经介绍过，随着利益产业链的形成，黑客的技术也在大力发展。目前就已经出现了专门针对IPV6的脉冲调制拒绝服务攻击(也称ShrewDDoS攻击)，它是一种在IPv6下传统防御策略无法防范的低频DDoS攻击（目前已经有方法解决）。但目前IPV6网的部署模式一般又两种情况，其一是纯IPV6的，其二是IPV6与IPV4的混和（用于过渡阶段）。针对纯IPV6的网络，传统下IPv4方式的攻击是无效的。对于混和的情况，因为他们共用带宽，所以传统ipv4下的DDOS攻击会对其有影响。问题编号：3775问题主题：DNS保护提问内容： guard是如何保护dns的回答者：赵述志回答内容： 在对于DNS服务器进行保护的时候会使用 Antispoofing 技术.简单来说 GUARD 会在DNS SERVER之前 代理一些请求,并且发送以及验证客户端信息的合法性,最终拦截恶意行为.包含两个主体:Authenticate source on initial querySubsequent queries verifiedDNS 防护目前思科在很多CASE都成功实施了,也是思科很有竞争性的地方,有些细节属于公司内部信息,抱歉不能全部澄清.如果需要或者又项目 可以直接与思科公司人员联系 进行相应现场测试即可.问题编号：3776问题主题：MVP结构提问内容： 在MVP五层体系结构中，最开始的时候前面的flexfilter和源verification是没有开启的，那么在什么样的情况下才使其工作呢？回答者：赵述志回答内容： Detector用于流量的分析，其中中的FlexFilter 主要用来做流量记数功能，可以对某个特定的数据流的进行记数。因为启用FlexFilter可能占用资源，我们建议在启用这项功能之前采取特别的预防措施。用WBM上和CLI都可以配置flexfilter。用CLI配置一个flexFilter的命令：userDETECTOR-conf-Zone-# flex-filter count Guard 的FlexFilter功能，不仅可以防止CC，还可以防止SIP协议攻击，脚本攻击。FlexFilter本质是7层过滤,通过正则表达式与Patten匹配过滤应用层内容问题编号：3777问题主题：源地址欺骗提问内容： 当今流行的DDOS攻击都采用源地址欺骗，请问GUARD的在这方面有什么独特的效果回答者：金戈回答内容： 源地址欺骗其实是比较简单的DDos攻击，CISCO Guard 的MVP结构中有专门针对地址欺骗的anti-spoofing模块阻挡恶意流量。但大多数情况下，在ISP网络环境中，都会在网络边缘节点启动URPF，来过虑假地址攻击。因此，大多数情况下，IP层面的假地址攻击跟本还未到GUARD就已经被过虑掉了。问题编号：3778问题主题：牵引的方法提问内容： 一般GUARD是通过发送一个BGP消息修改路由表来达到流量牵引的目的，那么除了这种方法还有什么其他的方法比较好呢？回答者：赵述志回答内容： 如果您部署清洗中心设备处于旁路模式 在SP 城域网以及骨干网中 那么会更多使用BGP牵引方式的. 如果在IDC中环境中 我们的AGM模块可以直接安装在C76以及C65设备上面,可以利用RHI注入路由直接牵引.没有必要部署BGP.问题编号：3781问题主题：dns保护提问内容： 除了Anti-spoofing 技术可以防伪造的攻击,在DNS保护方面思科可以抵御非伪造地址的攻击吗?例如非伪造地址的查询攻击以及比较流行的反射放大攻击回答者：赵述志回答内容： 我刚才只是举例回答, 非常抱歉有些信息属于前沿技术专利,并且也是我们的优势,不可以直接传递敏感信息,请谅解. 如果有项目需求可以直接联系我们思科工程师获取支持.问题编号：3783问题主题：流量牵引是双向还是单向的提问内容： Cisco流量牵引是双向还是单向的,具体的方面怎么实现！回答者：金戈回答内容： 流量的牵引用到了路由的longest prefix机制。即当Detector在监控的过程中发现有网络攻击时，会把被攻击的ZONE通知Guard，Guard会把被攻击的地址段分成更细的两部分，同时利用RHI送给BGP，BGP把路由announce(通告)出去。这样，根据Longest prefix机制，流量被牵引到GUARD,当清洗完毕。流量会通过PBR、GRE、MPLS VPN、或者其他的方式送回到被保护中的ZONE 里面去。问题编号：3784问题主题：Guard的部署提问内容： 1.已经有Guard盒子的情况下，如果希望用AGM模块增加整个清洁中心的性能，如何做到1G和3G的负载分担？如果是1G+3G+3G+3G这样的模式，又该如何处理？2.对于一张很大的网络（如：ChinaNet），在部署清洁中心的时候,是建立集中的大型清洁中心？还是建立分布式的中型清洁中心？回答者：赵述志回答内容： 1. 不会有太多影响的,要知道3G的AGM 实际上会有三条链路连接到背板，因此支持总计3G清洗容量.但是我们仍然建议还是集中部署AGM最为集成式方案更加好. 但是要注意 一般单机箱部署GUARD集群 那么单一ZONE保护 是8G容量. 这个收限制与IGP/BGP最多八条等价路径的限制. 但是我们可以通过其他的方法来扩大最终的清洗容量.2. CT/CN2 已经部署了骨干的清洗中心了. 我们月初一直在实施作上线测试准备工作. 一般来讲是相对集中部署.但是对于整个SP来讲 一定是采用骨干网/城域网/IDC等等逐级分布式部署的大方向.问题编号：3785问题主题：纯IPv6环境下的DDOS攻击提问内容： 请问：1：IPv6协议本身是否存在DDOS攻击可能？要是有，主要是在哪些协议存在呢？思科在此方面如何防范此类攻击？2：在IPv4下有些DDOS攻击是利用源地址欺骗，请问IPv6下是否也存在源地址欺骗？要是可以欺骗，象IPv4下有些攻击是否也有存在的可能呢？谢谢！回答者：金戈回答内容： 请参阅之前我们同事的回复.IPv6近期发现了一处安全漏洞，可能被DDOS.此漏洞在于IPv6的type 0路由头（RH0）特征之中。当系统处理某些IPv6 type 0路由头时均存在拒绝服务漏洞。但请不要担心，IETF已经形成两份草案，可以删除RH0功能，或者默认禁用该功能。这样就可以消除隐患。未来可能还会有新的IPv6下的攻击手段，但我们总会有办法去消除它，技术是在不断的进步的。而不是一种亡羊补牢的方式。您的第二个问题，请见之前的答复。问题编号：3786问题主题：防御Shrew Attack提问内容： 至于防御Shrew Attack，怎样配制Guard？可以详细解释一下吗？回答者：金戈回答内容： Shrew DDoS主要是利用TCP超时重传机制的漏洞,通过估计合法TCP流的RTO(Retransmission timeout)作为低速率攻击发包的周期T,周期性的包,使得攻击流可以周期性地占用网络带宽,影响的TCP流进入超时重传状态,达到攻击目的.Guard里面有缺省模板可以专门防御Shrew攻击，也可以FlexFilter 定制慢速攻击的包。具体详细的模板配置方式请参见Cisco Guard的Installed guide。Guard界面-General- Packet内置的慢速攻击 Types of malformed packets:malformed_packets/packets_to_proxy_ipmalformed_packets/dns_anti_spoofing_algomalformed_packets/dns (queries)malformed_packets/dns (short_queries)malformed_packets/dns (replies)malformed_packets/src ip = dst ipmalformed_packets /zero_header_field问题编号：3787问题主题：有没有中文的相关技术文章提问内容： 有没有中文的介绍Guard与Detector的文章回答者：金戈回答内容： 目前还没有，前期我们曾在北京、上海、广州举办过大型的关于CISCO CLEAN PIPE的Roadshow活动。您可能没有参与.建议您浏览Cisco网站上的资料，有关配置可以下载Installed guide。同时也可以联系本地的Account SE.问题编号：3788问题主题：城域网对外攻击的清洗？提问内容： 能进一步解释一下城域网对外攻击的清洗实现方法吗？由于我理解，cisco的产品是基于zone的概念，这个对于从外部进来的攻击防护很容易控制，去往zone的流量可以清洗。但是出去的流量，目的ip十分分散，用zone似乎很难控制。而且，实际zone actived的数量是有限制的，出去流量的清洗应该不是用这种方法吧？这块一直不知道怎么跟客户解释。回答者：金戈回答内容： 您提到的问题很好，之前的解决方案的目的是为了保护自己，保护IDC的SERVER,或者保护接入大客户。而针对你的问题是为了保护上游ISP或者防止AS内部攻击。这种情况下我们建议按照Clean Pipe解决方案的三个步骤，首先要增加自身基础网络的安全，比如打开router switch上面已经有的功能Copp，URPF，iacl等等，过虑一些低级的攻击。其次我们建议在成域网部署CLEAN CENTER,集中的部署模式。针对攻击的检测。由于接入较多，非常分散，可以采用Netflow方式进行检测。这样当发现有攻击时Netflow分析器会及时告知Guard，实现路由牵引，过虑。问题编号：3789问题主题：接上个问题，对外攻击的防护提问内容： 前面jinge的回答，一个层次上加强自身基础网络防护，通过路由器配置优化进行，第二个层次主要是通过clean center进行，但是回答的还是不太明白。因为前面有的顾问说了，旁路的技术核心在回注上。检测上是没太大问题，通过netflow方式，可能arbor或者genie检测仪能发现攻击，但是问题就来了。1，arbor检测仪和guard的zone是同步的，arbor检测出来攻击可以发给guard防护。但是上贴我问了，被保护的zone是有限的，对于外部internet地址或者说上游AS来说，这种配置实际不可取的。那么如何来做呢？2，就算检测没有什么大问题，但是更大的问题是回注。外部的资源我们无法控制，这个回注的配置用普通三层回注不行，pbr也不可实现，用vrf也够呛，用L2F更不行。回注才是对外清洗的核心问题。这2个问题苦恼已久了。回答者：金戈回答内容： 1）这种情况下，我们不应该在提到Zone的概念，或者说我们也可以把这个被保护的Zone放大，即保护整个外网，整个外网是一个zone。这时候Arbor或者其他厂商的Netflow分析产品是完全可以独立的分析出DDos攻击的。2）你说的这种情况SP一般都会很关心，因为很有可能是下游的客户发起的攻击影响了SP上链的链路。解决方法比较常见的就向我上贴所说的那种，这种情况完全不考虑回注，因为SP的上链链路更加重要，这种方案是以牺牲客户访问被攻击IP为基础的。因为的确没有什么很好的办法进行回注，SP也不可能设计多条面向出口的回注链路，这样会影响整体性能的，同时也大大增加了网络的复杂度，违背了SP网络扁平化，层次化的设计原则。有幸的是，我们完全可以利用Single Hole/Black Hole技术作为弥补，效果可以达到阻止网络攻击在最边缘的节点，这样不会影响到AS内其他的客户访问该地址。至于Single Hole/Black Hole的做法可以参见CISCO 文档，也可以直接联系我。另外还有一种方式，我们也可以让Clean Center直连出口路由器实现回注，在出口路由器上启用PBR.同时我们也可以采用分布式部署模式，即在各个边缘以二层短转移的方式部署Guard。这种方案的好处是可以就近消灭攻击，同时也能实现回注，但却增大了COST.问题编号：3790问题主题：FlexFilter如何防护cc攻击提问内容： 前面的提问中曾经提到：FlexFilter本质是7层过滤,通过正则表达式与Patten匹配过滤应用层内容, 但是cc攻击的payload的数据包随机性很大，没有明显的特征，感觉采用Pattern匹配防御效果不佳？请问GUARD如何解决？回答者：金戈回答内容： CC攻击的原理主要是攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS攻击，因此还是有明显特征的，比如单个IP地址的连接数，ACK的发送量，发送间隔等等。或者您提到的的Payload的包的大小，鉴定一个CC攻击是基于多个参数的，在多个参数的共同鉴定下，效果还是很理想的。问题编号：3791问题主题：检测技术的发展趋势提问内容： 以变应万变的检测防御方法很有效，但异常检测的思路似乎是以不变应万变。不知道异常检测现在的发展情况怎样，会不会是今后的一个趋势？另外现在有不少研究人工智能检测技术的，不知道这样的技术是否已在思科产品中应用？回答者：金戈回答内容： 其实异常检测也是在变化的，CISCO的Detector主要倚靠签名分析和动态档案来进行异常流量的分析。动态档案就是在不断的更新自己所学到的流量情况。因为一个网络里面的流量状况每天都是不一样的，尤其是SP网络里面，从整体趋势来看是逐步增加的。异常流量分析的今后趋势应该是更加细化这种类似于“动态档案”的解决方案，随着网络不断的变化，流量不断的变化，建立以日、月、年为单位的流量的档案（因为很有可能某家公司或SP在每个月固定的每天有大量的数据需要传送）。人工智能检测比较高级。不知道我们的动态档案方法应不应该算是一种“人工智能”。问题编号：3793问题主题：对于游戏服务器如何保护？提问内容： CC攻击对网游服务器的危害也比较大，请问GUARD是如何保护游戏服务器的？效果如何？和web服务器的保护有何区别？回答者：金戈回答内容： 通过Clean Pipe的部署方式你可以看出来，Detector可以旁挂在你被保护的zone的前端，SPAN流向被保护zone中的流量，进行分析。因此Detecotor面向的是攻击流量、是DDos攻击的类型，而不是被保护对象。因此，无论你的Zone中是Web Server还是游戏Server。Detctor都会一如既往的检测流量，当发现DDos攻击后会通知Guard进行拦截。问题编号：3794问题主题：Cisco Guard XT 5650的如何接入网络？提问内容： Cisco Guard XT 5650有2个千兆网口，实际做流量清洗的时候，是不是每个千兆可以单独使用？如我是双出口的网口，是不是需要一台设备就可以了？还是需要在每个出口处部署一台设备？回答者：赵述志回答内容： 两个出口也不必要部署两台XT, 部署一台然后 利用BGP牵引流量就可以了.当然也要看您的实际带宽情况,目前盒子只是支持1G清洗容量.实际清洗的时候 我们配置一个接口进行流量的牵引,另外一个接口用于流量的回送.ETH0 用于管理使用.interface eth0ip address X.X.X.X 255.255.255.240mtu 1500no shutdownexitinterface giga0ip address X.X.X.X 255.255.255.248mtu 1500speed full 1000no shutdownexitinterface giga1ip address X.X.X.X 255.255.255.252mtu 1500speed full 1000no shutdownexit问题编号：3795问题主题：部署方案？提问内容： 可以给一个在企业网络中的部署方案吗？最好有拓扑图。谢谢。回答者：赵述志回答内容： 在大型的IXP企业以及金融用户目前都已经开始测试和部署GUARD. 但是与SP不同的是,其实企业部署相对更加简单,可惜本网站不能上传附件 因此无法显示图纸. 但是 简单思路是 出口路由器直接安装AGM或者旁路一台清洗设备都可以, 这样子配置更加简单, 如果有必要还可以配置和内网ADM一起联动. 大型 企业的EDC 和 SP IDC 的部署方式有些类似之处 可以参考.问题编号：3796问题主题：流量牵引的策略如何设置？提问内容： 企业部署相对更加简单,可惜本网站不能上传附件 因此无法显示图纸. 但是 简单思路是 出口路由器直接安装AGM或者旁路一台清洗设备都可以, 这样子配置更加简单, 如果有必要还可以配置和内网ADM一起联动. 我的问题是，直接旁路guard模块后，流量如何被牵引到guard模块？清洗后的流量如何注入网络。是不是路由器上需要做路由的策略设置？对其它厂商的路由器支持吗？我在cisco的网站上看了一下，没有相关的configruation example。可以给一个例子吗？我有一种观点，如果是消耗带宽的攻击，比如说，我的千兆出口，攻击流量达到了900M。即使采用了流量牵引，也无济于事。因为流量已经到达了我的网络，占用了大量的带宽。这种情况下，是不是和运营商配合，采取其它措施更有效？回答者：赵述志回答内容： 如果您购买GUARD盒子,那么牵引的方式只能是BGP, 如果您购买的是AGM模块,那么牵引的方式可以是IGP/BGP/RHI等方式.流量利用BGP 可以牵引到GUARE模块啊, 清洗后的流量可以利用L2直接回送,或者利用PBR/VRF方式回送,其他厂家路由器完全可以实现.第二个问题,您说得完全没错 如果洪水已经到了家门口了 而且是对于带宽浩劫类型的攻击 那么需要上级运营商一起协调实施. 其实北京某家金融机构 也是采用的上级SP帮助清洗,结合本地再建立一个自己的清洗中心的思路. 采用逐级疏导清洗的思路.问题编号：3797问题主题：请问2个genie和guard联动的问题提问内容： 1、genie和guard联动时，ssh调用protect命令时，怎么将timeout参数传递给guard？2、genie读取guard上的zone时，有zone id，zone名称，prefix#和prefix，启动，请问：prefix#和prefix，启动代表什么意思？谢谢！回答者：郭庆回答内容： 1.范例：adminGUARD#configure genie_192.168.6.6 adminGUARD-conf-zone-genie_192.168.6.6#protection-end-timer 602. prefix#是指这个zone中有多少条prefix组成; （总共的防护网端数）prefix是列出具体那些prefix列表 ( 防护的具体地址）