如何從體系結構上避免DoS攻擊

    在遇到DoS攻擊的時候，黑客往往可以通過讓網管員無法訪問控制模塊的CPU來達到攻擊交換路由器的目的。DoS攻擊往往會導致傳統(tǒng)交換路由器的控制模塊的CPU負載過大，以致于網管員無法通過Telnet或者串口訪問設備。Force10 的交換路由器獨特的體系結構設計，可以從根本上解決這一問題。

    DoS攻擊會將設備“鎖住”

    傳統(tǒng)的交換路由器產品通過單一的CPU處理所有的控制和管理功能。DoS攻擊發(fā)送大量需要單一CPU 處理的數據包，從而導致該CPU 癱瘓。這樣的攻擊會導致CPU沒有能力去處理一些更重要的管理請求，如Telnet等。由于網管員無法登錄到設備上去，因此也就無法采用正確措施阻止DoS攻擊。

    Force10能將設備“解鎖”

    在Force10的E系列交換路由器產品體系結構中，控制模塊分別有獨立的CPU處理IP路由、二層交換和管理功能。這一獨特的三CPU結構設計，充分保證了在系統(tǒng)中任何一個CPU受到攻擊的情況下，不會影響另外兩個CPU的性能。黑客可以向管理CPU發(fā)送大量的ICMP數據包，從而試圖去“鎖住”管理CPU。在這種情況下，一種基于試探性的智能資源預留機制會發(fā)生作用。這一試探性機制可以確保去往所有CPU的控制信息包被限制在一個正常的范圍內（這其中考慮到了突發(fā)數據的情況）。這一模式可以充分保證為進程通信和正常的設備管理預留一定的CPU處理能力。

    立即阻止DoS造成破壞

    在傳統(tǒng)的交換路由器產品設計中，由于網管員需要和黑客競爭CPU資源才能登錄到設備上，因此一旦發(fā)生DoS攻擊，阻止DoS攻擊的能力是受限制的。相反，Force10 的多CPU體系結構和試探性智能資源預留機制可以確保在受到DoS攻擊的情況下，網管員總是可以去實施正確的措施對DoS攻擊進行阻止。

    基于硬件的ACL: 網管員可以通過修改ACL的方式，對DoS數據包加以過濾。E系列交換路由器完全通過硬件實現ACL，單臺設備可支持一百多萬條ACL，而且ACL不會影響設備的線速轉發(fā)性能。另外，Force10的Hot-Lock ACL技術可以保證實時的ACL增加和修改，從而避免安全漏洞和數據包的無謂丟失。

    基于硬件的速率監(jiān)管：網管員可以根據策略在任意端口上對流量進行速率監(jiān)管。E系列產品可以讓網管員靈活地根據自己的策略進行流量管理。