Principe
Une attaque DoS vise à occuper les ressources d'un appareil en envoyant de nombreuses demandes de connexion. Par conséquent, l'appareil ne peut pas fournir de fonctions correctement ni même planter. Les attaques DoS ciblent un serveur, ce qui oblige le serveur à refuser les demandes des utilisateurs autorisés.
L'attaque par déni de service distribué (DDoS) est une mise à niveau de l'attaque DoS. L'attaquant lance des attaques DoS à partir de plusieurs hôtes, affectant une plus grande portée et causant plus de dommages.
Symptôme
Les attaques DDoS ciblent les serveurs en aval connectés aux périphériques réseau. Lorsqu'une attaque DDoS se produit, les interfaces amont et aval sur le périphérique réseau reçoivent un grand nombre de paquets IP, qui peuvent atteindre la bande passante maximale de l'interface amont ou aval. Si le trafic d'attaque atteint la bande passante maximale de l'interface en aval, les utilisateurs connectés à cette interface accèdent lentement au réseau ou ne peuvent même pas accéder au réseau. Si le trafic d'attaque atteint la bande passante maximale de l'interface en amont, tous les utilisateurs connectés au périphérique réseau sont affectés.
Scénario
Comme le montre la figure, les utilisateurs connectés au S7700 ne peuvent pas accéder au réseau. Le S7700 échoue fréquemment à être géré.
Attaque DDoS
Cause: le trafic sur l'interface S7700 connectée à l'A7450 atteint la bande passante maximale, ce qui indique une attaque DDoS. La bande passante pour les utilisateurs autorisés ne peut pas être garantie, les services sont interrompus et le S7700 est fréquemment déconnecté du NMS.
Solution: capturez des paquets sur l'interface S7700 connectée à l'A7450 et analysez les caractéristiques des paquets d'attaque. Bloquez la source d'attaque. Fournissez une ACL pour filtrer les paquets de la source d'attaque.