我有一个预算有限的客户,他们希望看到网络上有ddos攻击,这样他们就可以使用朴素工具进行黑洞攻击。目前,他们的设备只导出sflow流量。系统管理员说他们需要不同的硬件和完整的netflow导出来进行ddos检测,这是准确的吗?
答案 0 :(得分:1)
无需更换网络硬件,sFlow适用于DDoS检测。以下是GitHub上的几个DDoS缓解工具:
答案 1 :(得分:1)
根据我的经验,sFlow实际上非常适合快速DDoS检测,至少对于反射攻击或数据包泛滥等体积DDoS攻击。原因在于sFlow和NetFlow之间存在差异。
NetFlow在路由器中保持状态,如果流程暂时处于非活动状态(通常为15秒左右),或者长时间(通常为60秒),则该流程的摘要状态将发送到收集器。这意味着可以准确记录流量,但在攻击已经进行一分钟之前可能无法到达您的探测器!
与NetFlow不同,sFlow策略是每隔N(通常为1/512或1/1024左右)发送数据包样本。这意味着您的检测软件可以看到"这次袭击几乎立即发生!
所以坚持使用sFlow导出,无需添加硬件。以下是有关NetFlow和sFlow之间差异的一些其他详细信息:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
答案 2 :(得分:1)
实际上你绝对可以使用sFLOW进行DDoS检测。作为FastNetMon的作者,我可以建议使用sflow而不是netflow。但请记住,您应该为它选择正确的sflow sampling_rate。
请查看有关根据您的流量选择正确的采样率的精彩参考:http://blog.sflow.com/2009/06/sampling-rates.html