如何從體系結(jié)構(gòu)上避免DoS攻擊

    在遇到DoS攻擊的時候，黑客往往可以通過讓網(wǎng)管員無法訪問控制模塊的CPU來達到攻擊交換路由器的目的。DoS攻擊往往會導致傳統(tǒng)交換路由器的控制模塊的CPU負載過大，以致于網(wǎng)管員無法通過Telnet或者串口訪問設備。Force10 的交換路由器獨特的體系結(jié)構(gòu)設計，可以從根本上解決這一問題。

    DoS攻擊會將設備“鎖住”

    傳統(tǒng)的交換路由器產(chǎn)品通過單一的CPU處理所有的控制和管理功能。DoS攻擊發(fā)送大量需要單一CPU 處理的數(shù)據(jù)包，從而導致該CPU 癱瘓。這樣的攻擊會導致CPU沒有能力去處理一些更重要的管理請求，如Telnet等。由于網(wǎng)管員無法登錄到設備上去，因此也就無法采用正確措施阻止DoS攻擊。

    Force10能將設備“解鎖”

    在Force10的E系列交換路由器產(chǎn)品體系結(jié)構(gòu)中，控制模塊分別有獨立的CPU處理IP路由、二層交換和管理功能。這一獨特的三CPU結(jié)構(gòu)設計，充分保證了在系統(tǒng)中任何一個CPU受到攻擊的情況下，不會影響另外兩個CPU的性能。黑客可以向管理CPU發(fā)送大量的ICMP數(shù)據(jù)包，從而試圖去“鎖住”管理CPU。在這種情況下，一種基于試探性的智能資源預留機制會發(fā)生作用。這一試探性機制可以確保去往所有CPU的控制信息包被限制在一個正常的范圍內(nèi)（這其中考慮到了突發(fā)數(shù)據(jù)的情況）。這一模式可以充分保證為進程通信和正常的設備管理預留一定的CPU處理能力。

    立即阻止DoS造成破壞

    在傳統(tǒng)的交換路由器產(chǎn)品設計中，由于網(wǎng)管員需要和黑客競爭CPU資源才能登錄到設備上，因此一旦發(fā)生DoS攻擊，阻止DoS攻擊的能力是受限制的。相反，F(xiàn)orce10 的多CPU體系結(jié)構(gòu)和試探性智能資源預留機制可以確保在受到DoS攻擊的情況下，網(wǎng)管員總是可以去實施正確的措施對DoS攻擊進行阻止。

    基于硬件的ACL: 網(wǎng)管員可以通過修改ACL的方式，對DoS數(shù)據(jù)包加以過濾。E系列交換路由器完全通過硬件實現(xiàn)ACL，單臺設備可支持一百多萬條ACL，而且ACL不會影響設備的線速轉(zhuǎn)發(fā)性能。另外，F(xiàn)orce10的Hot-Lock ACL技術(shù)可以保證實時的ACL增加和修改，從而避免安全漏洞和數(shù)據(jù)包的無謂丟失。

    基于硬件的速率監(jiān)管：網(wǎng)管員可以根據(jù)策略在任意端口上對流量進行速率監(jiān)管。E系列產(chǎn)品可以讓網(wǎng)管員靈活地根據(jù)自己的策略進行流量管理。