过滤器
在严重的DoS或者DDoS攻击导致线卡超出CRS-1的插槽容量时,控制机制会以特定用途集成电路(ASIC)的速度执行,将超出线卡容量的分组导入第三层模块化服务卡(MSC)上的硅分组处理器,从而确保控制面板分组得到优先处理。在网络管理员利用其他安全工具安装缓解方案以解决问题时,这种功能可以保持拓扑的完整性。
控制面板TTL完整性检查(RFC 3682,GTSM)
大部分控制协议对等进程都建立在相邻或者直连的路由器之间。在GTSM(过去被称为BGP TTL安全破解[BTSH])出现之前,从非定向对等节点发往路由器的BGP分组必须由路由器CPU进行处理。在生成大量这类分组时,它会导致一个严重的DDoS攻击,从而耗尽CPU资源。现在,管理员可以利用GTSM对BGP对等分组进行TTL检查,从而在MSC SPP中有效地阻止所有非定向BGP伪装分组。
这些技术还可用于很多其他的应用,例如标签分发协议(LDP)和资源预留协议(RSVP)。RSVP可以利用通用GTSM的功能。由于CRS-1采用了完全可编程的MSC架构,GTSM对于其他应用协议的支持可以被方便地添加到MSC。
BGP路由协议过滤和RPL
BGP是互联网上最基础的路由协议之一。不幸的是,如果BGP在没有采用适当的页码:[1] [2] [3] [4] [5] [6] [7] [8] 第5页、共8页 |
