Anti-DDoS >


DDoS-hyökkäyksen analysointi




Liikenteen analysointi ja hyökkäyksen havaitseminen



Hyökkäyksen havaitseminen



Hyökkäyksen havaitsemiseksi käytämme netflowta mitä saamme reitittimiltä ja analysoimme ne Arbor Peakflowlla. Jokainen reititin lähettää yhteenvedon joka on 1/2000-osa liikenteestä. Arbor Peakflow -laitteet analysoivat sitä ja vertailevat hyökkäysallekirjoitukseen. Vertausten osuessa, mitigaatio käynnistyy sekunneissa.

Analysoidut allekirjoitukset perustuvat liikenteen raja-arvoihin kuten "pakettia sekunnissa" (p/s, Kp/s, Mp/s, Gp/s) tai "bittiä sekunnissa" (b/s, Kb/s, Mb/s, Gb/s) tai tietyn tyyppisiin paketteihin, kuten:


  • DNS
  • ICMP
  • IP Fragment
  • IP NULL
  • IP Private
  • TCP NULL
  • TCP RST
  • TCP SYN
  • UDP
  • Kokonaisliikenne

Kun huomioidaan, että on pakko olla tietyt raja-arvot käynnistymiselle, ja että vain 1/2000 todellisesta liikenteestä analysoidaan, mitigaation käynnistäminen voi viedä 15 - 120 sekuntia.