Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cho em hỏi về cách chổng DDOS khi dùng Switch Layer 3

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cho em hỏi về cách chổng DDOS khi dùng Switch Layer 3

    Hi all. Mọi người cho mình hỏi 1 chút về chống DDOS khi dùng SWitch layer 3.

    Cty mình đang được datacenter cấp cho 1 switch layer 2 và cũng có chia Vlan trên này.
    Bị DDOS lần 1. Toàn bộ hệ thống ảnh hưởng. Nên nghĩ việc tách riêng 1 line riêng cho server có IP bị ddos , các server còn lại sẽ dùng chung 1 line khác. Suy nghĩ vậy thì khi bị DDOS thì chỉ có server có IP bị DDOS ảnh hưởng còn các server khác thì không bị rớt mạng.
    Bị DDOS lần 2. Toàn bộ hệ thống bị ảnh hưởng tiếp. Hỏi datacenter thì được báo là Switch layer 2 thì việc tách line vẫn không chống được DDOS. Muốn chống DDOS bằng tách line thì dùng Switch layer 3 thì sẽ khả dụng hơn.

    Mình biết Switch layer 3 thì có khả năng của 1 router. Vậy khi bị DDOS thì nó sẽ khác gì so với layer 2.
    Ngoài ra để cấu hình SW layer 3 chống DDOS thì cần phải cấu hình gì trên Switch layer 3?

    Ai biết hỗ trợ mình với mình cảm ơn nhiều.
    Tags: None
  • #2
    up top, up top cho bạn hiền....................

    Comment

    • #3
      chủ đề mà em hỏi rộng lớn và phức tạp. Để chống DDOS, nếu em chỉ có switch L3 thì em có thể triển khai ACL tạm thời.
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment

      • #4
        Originally posted by dangquangminh View Post
        chủ đề mà em hỏi rộng lớn và phức tạp. Để chống DDOS, nếu em chỉ có switch L3 thì em có thể triển khai ACL tạm thời.
        Em cảm ơn thầy đã quan tâm.
        Để chống DDOS thì em biết cũng tùy trường hợp mà có cách khắc phục khác nhau.
        Hiện tại em đang có thắc mắc 1 vấn đề nhỏ:
        Mô hình là sẽ có 2 line truy cập vào Switch L3. Và trên Switch này sẽ cấu hình tách riêng ra 2 range IP và mỗi line sẽ add vào mỗi range. Cấu hình để 2 range tách biệt nhau hoàn toàn. Mục đích là nếu 1 IP của 1 range bị DDOS thì chỉ có range đó và line cắm vào range đó bị ảnh hưởng. Còn range IP kia và line kia vẫn ổn định.
        Để cấu hình thì em không rõ cấu hình những gì.
        Thầy có thể gợi ý cho em 1 số hướng để em tách biệt hoàn toàn 2 range này được không ạ.
        Em cảm ơn thầy nhiều.

        Comment

        • #5
          khi em dùng từ 'line", có phải em muốn nói đến "đường truyền Internet"?

          Ý của em có phải là em có hai đường truyền Internet. Hai đường truyền này cắm vào switch layer 3 của em. Em muốn tách biệt hai line này ra co chạy riêng biệt.

          Có phải đúng như vậy không?
          Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

          Email : dangquangminh@vnpro.org
          https://www.facebook.com/groups/vietprofessional/

          Comment

          • #6
            Originally posted by dangquangminh View Post
            khi em dùng từ 'line", có phải em muốn nói đến "đường truyền Internet"?

            Ý của em có phải là em có hai đường truyền Internet. Hai đường truyền này cắm vào switch layer 3 của em. Em muốn tách biệt hai line này ra co chạy riêng biệt.

            Có phải đúng như vậy không?
            Hi. Đúng rồi thầy ạ.
            Hiện tại thì em đang dùng Switch L2 và dùng 1 line 1G từ datacenter cấp xuống. Khi bị DOSS thì chết hết nguyên 1 SW.

            Bữa có nhờ datacenter tách ra 2 line (mỗi line 500M) thì sau khi tách xong thì bị DDOS vẫn chết lun toàn SW. Line kia vẫn bị ảnh hưởng.

            Datacenter nói là do SW L2 nên khi bị DDOS bằng L3 thì việc tách Line trên Switch trên Switch L2 sẽ không có tác dụng. Phải dùng Switch L3 mới có khả thi.

            Hiện dataceter sẽ hỗ trợ tách 2 line, mỗi line 500M và nối vào Switch core của họ. Bên phía mình thì họ nói phải kiểm soát chặt trên Switch và phải tách riêng hoàn toàn 2 line này thì sẽ tốt hơn.

            Cho nên hiện giờ em ko rõ lắm về việc tách riêng biệt hoàn toàn 2 line với 2 range trên Switch L3 này ạ.

            Comment

            • #7
              có nhiều cách. Phần dưới đây viết những cách cơ bản nhất nha.

              1. dùng lệnh ip verify unicast reversepath trên cổng đấu nối về datacenter.
              2. Viết ra ACL để lọc tất cả các địa chỉ RFC1918.
              3. dùng lệnh CAR trên cổng outside
              4. Em cũng cần có log để làm bằng chứng nha. Nếu switch chưa có bật log thì cấu hình log nha.

              Xem thêm chi tiết

              A Cisco Guide to Defending Against Distributed Denial of Service Attacks
              http://www.cisco.com/c/en/us/support/docs/security-vpn/kerberos/13634-newsflash.html


              Khi em cần thảo luận chi tiết hơn thì em hỏi nha.

              Cám ơn em, mong em tiếp tuc ủng hộ VnPro.
              Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

              Email : dangquangminh@vnpro.org
              https://www.facebook.com/groups/vietprofessional/

              Comment

              • #8
                Hi. Em cảm ơn thầy nhiều. Để em nghiên cứu 1 số hướng phát triển dùng ACL như cách thầy chỉ. Có gì không rõ nữa mong thầy chỉ bảo em thêm nhé.

                Comment

                Previous template Next
                Working...
                X