2016-01-11 10 views
1

У меня есть клиент с ограниченным бюджетом, который хочет увидеть, когда есть атака ddos ​​в сети, чтобы они могли черным дыром маршрутизировать атаку с помощью домотканого инструмента. В настоящее время у них есть устройства, экспортирующие только поток sflow. Сисадмин говорит, что им нужно различное оборудование и полный экспорт нетто-трафика для обнаружения ddos, это точно?может sflow работать для мониторинга ddos ​​

ответ

1

По моему опыту Sflow на самом деле очень хорошо для быстрого обнаружения DDoS, по крайней мере, для объемных DDoS-атак типа атак отражения или пакетных наводнений. Причина этого кроется в различиях между sFlow и NetFlow.

NetFlow сохраняет состояние в маршрутизаторе, и если поток неактивен в течение некоторого времени (обычно 15 секунд или около того) или длится долго (обычно 60 секунд), то суммарное состояние этого потока отправляется в коллектор. Это означает, что будет сделан точный учет трафика, но может не дойти до вашего детектора до тех пор, пока атака не пройдет уже минуту!

В отличие от NetFlow, стратегия sFlow заключается в отправке образцов пакетов каждые 1 в N (обычно 1/512 или 1/1024 или около того). Это означает, что ваше программное обеспечение обнаружения может «видеть» атаку почти сразу!

Итак, придерживайтесь экспорта sFlow, не нужно добавлять оборудование. Ниже приведена дополнительная информация о различиях между NetFlow и sFlow: http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/

1

Нет необходимости заменять сетевое оборудование, sFlow хорошо работает для обнаружения DDoS. Вот несколько инструментов DDoS смягчающих на GitHub:

1

На самом деле вы определенно можете использовать sFLOW для обнаружения DDoS. Как автор FastNetMon я мог бы рекомендовать использовать sflow вместо netflow. Но, пожалуйста, имейте в виду, что вы должны выбрать правильный sflow sample_rate для него.

Проверьте эту замечательную ссылку о выборе правильной частоты дискретизации в соответствии с вашим количеством трафика: http://blog.sflow.com/2009/06/sampling-rates.html