我有一个精打细算的客户,他想看看网络上何时有 ddos 攻击,以便他们可以使用普通工具对攻击进行黑洞路由。目前,他们的设备仅导出 sflow 流量。系统管理员说他们需要不同的硬件和完整的 netflow 导出来进行 ddos 检测,这准确吗?
问问题
766 次
3 回答
1
实际上,您绝对可以使用 sFLOW 进行 DDoS 检测。作为 FastNetMon 的作者,我可以推荐使用 sflow 而不是 netflow。但请记住,您应该为其选择正确的 sflow sampling_rate。
请查看有关根据您的流量选择正确采样率的精彩参考:http: //blog.sflow.com/2009/06/sampling-rates.html
于 2016-02-05T11:40:52.537 回答
1
以我的经验,sFlow 实际上非常适合快速 DDoS 检测,至少对于反射攻击或数据包泛洪等体积 DDoS 攻击而言是这样。其原因在于 sFlow 和 NetFlow 之间的差异。
NetFlow 在路由器中保持状态,如果流有一段时间处于非活动状态(通常为 15 秒左右)或持续很长时间(通常为 60 秒),则该流的摘要状态将发送到收集器。这意味着对流量进行了准确的描述,但可能要等到攻击已经开始一分钟后才能到达您的检测器!
与 NetFlow 不同的是,sFlow 策略是每 N 中的 1 个发送数据包样本(通常是 1/512 或 1/1024 左右)。这意味着您的检测软件几乎可以立即“看到”攻击!
所以坚持使用 sFlow 导出,无需添加硬件。以下是有关 NetFlow 和 sFlow 之间差异的一些额外细节:http: //www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
于 2016-01-13T17:19:15.493 回答