1、DoS与DDoS

(1)DoS

通常,单个源针对单个服务的***,利用其缺陷和弱点

(2)DDoS

通常,多个源针对某个特定服务,利用合法请求作为***矢量

 

2、DDoS***准备

(1)僵尸行动:后门程序借用PC

(2)僵尸群:僵尸网络

(3)对抗方法

·    安装个人防火墙

·    保持对外出通信的控制

 

3、DoS和DDoS***

(1)常见的泛洪***

·    TCP SYN***

·    碎片***

·    大数据包***

(2)针对服务的***

·    资源饿死:DHCP

 

4、***交换机

使CPU负载,导致不能学习等问题

1)交换机的内部结构

·    CPU

·    交换表

·    数据缓存

·    以太网控制ASIC

·    fabric:上述所有与其相连

2)三种平面

(1)数据平面

CPU不会看见这些数据,即不使用CPU资源

(2)控制平面

对数据平面数据包如何转发做出决策,使用CPU资源

·    ARP

·    CDP

·    VTP

·    STP

·    路由协议信息

(3)管理平面

由CPU直接处理,对转发行为进行配置和控制,网管配置信息

PS:保护好控制平面和管理平面,保证CPU利用率

3)***交换机

·    数据平面仅影响fabric和以太网控制器

·    控制平面由以太网控制器传入,经一条交换机通道进入CPU

·    管理平面与控制平面相同(带外管理除外)

(1)数据平面***

较难实现

(2)控制平面***

泛洪控制平面数据包,尽可能使用ACL或认证控制。

(3)管理平面***

以下加强防护

·    使用带外管理(管理平面使用专用接口)

·    仅接受特定子网的管理流量

·    加密管理流量(SSH和SNMPv3)

·    AAA

·    启用syslog/SNMP trap控制管理平面的行为