如何從體系結(jié)構(gòu)上避免DoS攻擊

    在遇到DoS攻擊的時(shí)候，黑客往往可以通過讓網(wǎng)管員無法訪問控制模塊的CPU來達(dá)到攻擊交換路由器的目的。DoS攻擊往往會(huì)導(dǎo)致傳統(tǒng)交換路由器的控制模塊的CPU負(fù)載過大，以致于網(wǎng)管員無法通過Telnet或者串口訪問設(shè)備。Force10 的交換路由器獨(dú)特的體系結(jié)構(gòu)設(shè)計(jì)，可以從根本上解決這一問題。

    DoS攻擊會(huì)將設(shè)備“鎖住”

    傳統(tǒng)的交換路由器產(chǎn)品通過單一的CPU處理所有的控制和管理功能。DoS攻擊發(fā)送大量需要單一CPU 處理的數(shù)據(jù)包，從而導(dǎo)致該CPU 癱瘓。這樣的攻擊會(huì)導(dǎo)致CPU沒有能力去處理一些更重要的管理請求，如Telnet等。由于網(wǎng)管員無法登錄到設(shè)備上去，因此也就無法采用正確措施阻止DoS攻擊。

    Force10能將設(shè)備“解鎖”

    在Force10的E系列交換路由器產(chǎn)品體系結(jié)構(gòu)中，控制模塊分別有獨(dú)立的CPU處理IP路由、二層交換和管理功能。這一獨(dú)特的三CPU結(jié)構(gòu)設(shè)計(jì)，充分保證了在系統(tǒng)中任何一個(gè)CPU受到攻擊的情況下，不會(huì)影響另外兩個(gè)CPU的性能。黑客可以向管理CPU發(fā)送大量的ICMP數(shù)據(jù)包，從而試圖去“鎖住”管理CPU。在這種情況下，一種基于試探性的智能資源預(yù)留機(jī)制會(huì)發(fā)生作用。這一試探性機(jī)制可以確保去往所有CPU的控制信息包被限制在一個(gè)正常的范圍內(nèi)（這其中考慮到了突發(fā)數(shù)據(jù)的情況）。這一模式可以充分保證為進(jìn)程通信和正常的設(shè)備管理預(yù)留一定的CPU處理能力。

    立即阻止DoS造成破壞

    在傳統(tǒng)的交換路由器產(chǎn)品設(shè)計(jì)中，由于網(wǎng)管員需要和黑客競爭CPU資源才能登錄到設(shè)備上，因此一旦發(fā)生DoS攻擊，阻止DoS攻擊的能力是受限制的。相反，F(xiàn)orce10 的多CPU體系結(jié)構(gòu)和試探性智能資源預(yù)留機(jī)制可以確保在受到DoS攻擊的情況下，網(wǎng)管員總是可以去實(shí)施正確的措施對DoS攻擊進(jìn)行阻止。

    基于硬件的ACL: 網(wǎng)管員可以通過修改ACL的方式，對DoS數(shù)據(jù)包加以過濾。E系列交換路由器完全通過硬件實(shí)現(xiàn)ACL，單臺設(shè)備可支持一百多萬條ACL，而且ACL不會(huì)影響設(shè)備的線速轉(zhuǎn)發(fā)性能。另外，F(xiàn)orce10的Hot-Lock ACL技術(shù)可以保證實(shí)時(shí)的ACL增加和修改，從而避免安全漏洞和數(shù)據(jù)包的無謂丟失。

    基于硬件的速率監(jiān)管：網(wǎng)管員可以根據(jù)策略在任意端口上對流量進(jìn)行速率監(jiān)管。E系列產(chǎn)品可以讓網(wǎng)管員靈活地根據(jù)自己的策略進(jìn)行流量管理。