四種捕獲DDoS攻擊的監測工具
責編:admin |2015-07-15 10:38:46現在有很多防御或緩解DDoS攻擊的服務,但是如何第一時間發現網站被D仍然是個難題。這里我們羅列四個幫助識別DDoS攻擊的監測工具和方法。
工具一:內部服務器、網絡和基礎設施監控
公司有很多監控軟件和應用程序可以選擇,但是最受歡迎的非Nagios莫屬。它能夠幫助你監控內部基礎設施與應用程序、服務器、操作系統、網絡協議、系統度量和網絡基礎設施等在內的全部內容。
舉個例子,監控軟件通過檢查HTTP服務器來確保網站或者Web服務器的正常運行,如果服務器不能正常運作,監控軟件會給出實時通知。
大多數的DDoS攻擊目標是一個Web服務器或者應用程序端,監控軟件可能會發現HTTP服務器速度變慢、CPU高負荷利用或者徹底奔潰的問題,但是這些情況并不能100%確定是遭到了DDoS攻擊,這一切還將取決于IT管理員對異常狀態的判斷。
工具二:外部性能監控
IT管理員可以使用一個外部性能監控解決方案來評估一個潛在發生的DDoS攻擊。和安裝于用戶網絡內部的工具不同,外部性能監控解決方案通常由第三方提供,通過位于世界各地的監控節點對網站或應用程序進行性持續性探測。
外部監控一般包括以下幾個監控方案:
1、使用虛擬瀏覽器檢查網站或者應用程序正常運行的時間及性能
2、使用真實瀏覽器檢查網站或者應用程序的降級性能、錯誤和服務
3、監控如DNS、FTP和電子郵件的等的網絡服務
外部第三方監控解決方案對DDoS來說是很有意義的。這一類型解決方案的目標是持續監控網站、服務器或者應用程序端,當發生機器故障、反應緩慢以及其他的問題,這些都是DDoS攻擊的預兆。不過外部解決方案能告訴IT管理員機器性能降低或者徹底崩潰了,但是仍然不能確定原因。
第三方監測的目的是為了保護互聯網服務器供應商、托管公司及服務器的正常運作,緩慢的響應時間和機器的中斷都表明一個供應商或者服務器被破壞。
在啟用DDoS保護服務之前,我們需要做的最重要的就是認真記錄所有來自第三方的監控數據。
工具三:Netflow或者Peakflow流量分析
Cisco公司開發的Netlow是另一個監控DDoS的不錯選擇,其主要用于收集IP流量信息并逐步成為行業標桿,支持多個平臺并得到廣泛的應用。
Cisco將Netlow定義為一個數據序列包,數據中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協議類型|包數量|字節數|流數量
一些防DDoS服務商可以從你的Netflow數據中發現攻擊。舉個例子, 我們可以通過一段時間內統計的網絡數據來定義一個正常狀態,也就是建立基線。一旦受到不良因素影響,流量數據就會出現異常高或者低的情況。
我們可以以報警為目的建立低、中、高的閾值。一旦超過閾值,用戶就能收到電子郵件、電話或者其他方式的報警。
但這種方案也存在缺陷,比如你根本無法導出Newlow數據,因為這通常要求你擁有或者租賃自己的路由器。
工具四:前置監測
最后一個捕捉DDoS的監控方案涉及到在網絡或者數據中心內部安裝DDoS監測設備。一些防DDoS服務商提供了這樣的解決方案——本地監測和防護設備處理在可用帶寬內的DDoS攻擊,如果攻擊超過帶寬,就切換到云防護。
與我們談論的其他監控選擇相比,這種方案肯定是最貴的。所以價格也是我們要考慮的重要因素。
結論
DDoS攻擊問題日益嚴重,幾乎所有公司一直努力在做防D保護,而他們現在面臨的問題是“那我們如何知道我們受到攻擊了呢?”世界上沒有完美的解決方案,你需要做的就是根據你的基建、預算以及任何細節找到對業務來說是最佳的選擇。
原報告下載
鏈接: http://pan.baidu.com/s/1hmMei 密碼: bgyn