sflow 可以监控 ddos 吗
can sflow work for monitoring ddos
我有一个精打细算的客户,他想了解网络上何时发生 ddos 攻击,以便他们可以使用自制工具黑洞路由攻击。目前他们的设备只输出 sflow 流量。系统管理员说他们需要不同的硬件和完整的 netflow 导出来检测 ddos,这样准确吗?
无需更换网络硬件,sFlow对DDoS检测效果很好。以下是 GitHub 上的几个 DDoS 缓解工具:
根据我的经验,sFlow 实际上非常适合快速 DDoS 检测,至少对于像反射攻击或数据包泛洪这样的容量 DDoS 攻击是这样。原因在于sFlow和NetFlow的区别。
NetFlow 在路由器中保持状态,如果流暂时处于非活动状态(通常为 15 秒左右),或者持续很长时间(通常为 60 秒),则该流的摘要状态将发送到收集器.这意味着可以准确计算流量,但可能要等到攻击开始一分钟后才能到达您的检测器!
与 NetFlow 不同,sFlow 策略是每隔 N 中的 1(通常为 1/512 或 1/1024 左右)发送数据包样本。这意味着您的检测软件几乎可以立即 "see" 发起攻击!
所以坚持使用 sFlow 导出,无需添加硬件。以下是有关 NetFlow 和 sFlow 之间差异的一些其他详细信息:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
实际上,您绝对可以使用 sFLOW 进行 DDoS 检测。作为 FastNetMon 的作者,我可以推荐使用 sflow 而不是 netflow。但请记住,您应该 select 为它更正 sflow sampling_rate。
请查看关于根据您的流量 select 正确采样率的精彩参考:http://blog.sflow.com/2009/06/sampling-rates.html
我有一个精打细算的客户,他想了解网络上何时发生 ddos 攻击,以便他们可以使用自制工具黑洞路由攻击。目前他们的设备只输出 sflow 流量。系统管理员说他们需要不同的硬件和完整的 netflow 导出来检测 ddos,这样准确吗?
无需更换网络硬件,sFlow对DDoS检测效果很好。以下是 GitHub 上的几个 DDoS 缓解工具:
根据我的经验,sFlow 实际上非常适合快速 DDoS 检测,至少对于像反射攻击或数据包泛洪这样的容量 DDoS 攻击是这样。原因在于sFlow和NetFlow的区别。
NetFlow 在路由器中保持状态,如果流暂时处于非活动状态(通常为 15 秒左右),或者持续很长时间(通常为 60 秒),则该流的摘要状态将发送到收集器.这意味着可以准确计算流量,但可能要等到攻击开始一分钟后才能到达您的检测器!
与 NetFlow 不同,sFlow 策略是每隔 N 中的 1(通常为 1/512 或 1/1024 左右)发送数据包样本。这意味着您的检测软件几乎可以立即 "see" 发起攻击!
所以坚持使用 sFlow 导出,无需添加硬件。以下是有关 NetFlow 和 sFlow 之间差异的一些其他详细信息:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
实际上,您绝对可以使用 sFLOW 进行 DDoS 检测。作为 FastNetMon 的作者,我可以推荐使用 sflow 而不是 netflow。但请记住,您应该 select 为它更正 sflow sampling_rate。
请查看关于根据您的流量 select 正确采样率的精彩参考:http://blog.sflow.com/2009/06/sampling-rates.html