黑洞抗拒绝服务攻击系统产品培训教材
第一章基础知识5
1.1 OSI 参考模型....6
1.1.1 OSI 参考模型介绍......6
1.1.2 分层的优点...7
1.1.3 OSI 模型每层的功能..7
1.1.4 OSI 模型数据帧封装过程......11
1.2 TCP/IP 协议栈....13
1.2.1 TCP/IP 四层参考模型.....13
1.2.2 TCP/IP 参考模型每层实现的功能......13
1.3 网络互联设备.14
1.3.1 设备概述.....14
1.3.2 不同设备在TCP/IP 中的工作层级....14
1.4 Cisco 路由器基础......20
1.4.1 Cisco IOS 介绍..21
1.4.2 Cisco IOS 应用初步.23
第二章 拒绝服务攻击...26
2.1 拒绝服务攻击简介.26
2.1.1 什么是拒绝服务攻击26
2.1.2 什么是分布式拒绝服务攻击..27
2.1.3 拒绝服务攻击的分类......28
2.2 常见拒绝服务攻击工具29
2.2.1 Smurf ....29
2.2.2 Trinoo....31
2.2.3 TFN 和TFN 2K .33
2.3 重大拒绝服务攻击事件回顾.....34
2.3.1 案例1：域名系统遭受DDoS 攻击...34
2.3.2 案例2：商业网站遭受DDoS 攻击...35
2.3.3 案例3：河北唐山黑客发动DDoS 攻击的过程..35
2.4 抗拒绝服务攻击系统的发展趋势.....39
第三章 拒绝服务攻击的一般防御措施...41
3.1 一般的防护手段....42
3.1.1 手工防护......42
3.1.2 退让策略......43
3.1.3 路由器...43
3.1.4 防火墙...43
3.1.5 入侵检测......44
3．2 DoS/DDoS 防护的基本要求44
3．3 抗拒绝服务产品.45
3.3.1 抗拒绝服务攻击产品的发展.45
3.3.2 抗拒绝服务攻击产品－黑洞.46
第四章 认识黑洞抗拒绝服务攻击系统...49
4.1 黑洞抗拒绝服务攻击系统概述.49
4.1.1 组件产品.....49
4.1.2 产品型号......50
4.2 黑洞抗拒绝服务攻击系统的功能与特点......50
4.2.1 攻击检测和防护.50
4.2.2 海量DDoS 防护51
4.2.3 强大的部署能力.51
4.2.4 丰富的管理功能.51
4.3 黑洞抗拒绝服务攻击系统的核心原理...51
4.4 黑洞抗拒绝服务攻击系统实际部署的表现..53
4.4.1 案例一：某电信运营商..53
4.4.2 案例二：某ICP 网站.....53
4.4.3 案例三：IDC 用户...54
第五章 黑洞抗拒绝服务攻击系统的工作原理.....59
5.1 硬件平台..59
5.2 攻击识别和防护.....61
5.2.1 基于统计学习的正常流量建模.....61
5.2.2 针对特定攻击制定的特定防护模型....66
5.2.3 特定应用层DoS 攻击防护....72
5.3 黑洞抗拒绝服务攻击系统对已知攻击处理...74
5.3.1 SYN Flood 攻击75
5.3.2 ACK Flood 攻击.76
5.3.3 UDP Flood 攻击77
5.3.4 连接耗尽攻击....78
5.3.5 CC 攻击78
5.4 对未知攻击处理...80
第六章 黑洞的部署81
6.1 网络环境信息收集81
6.2 攻击行为判断和处理....81
6.2.1 攻击行为概述.....82
6.2.2 常见攻击监控.....82
6.2.3 攻击事件分析.....83
6.3 黑洞部署以及常见的问题..85
6.4 系统风险分析及规避措施...87
6.4.1 串联部署的风险及规避措施..88
6.4.2 并联部署的风险及规避措施..89
6.4.3 网络结构改变的风险及规避..90
6.4.4 其他风险及规避措施91
第7 章 黑洞的旁路模式.....92
7.1 黑洞集群defender 模式思路...92
7.1.1 运行模式配置.....93
7.1.2 攻击检测......94
7.1.3 什么是流量牵引和注入...94
7.2 动态路由协议.95
7.2.1 RIP 路由信息协议.95
7.2.2 RIP 路由信息协议版本2 ....97
7.2.3 OSPF 开放最短路径优先...98
7.2.4 BGP 边界网关协议......99
7.3 攻击检测相关技术以及集群Probe 的配置100
7.3.1 集群Probe 的配置.....100
7.3.2 SPAN 交换端口分析器....103
7.3.2 Netflow 协议..105
7.4 流量注入相关技术.....108
7.4.1 PBR 策略路由.....108
7.4.2 802.1q 协议...108
7.4.3 GRE 通用路由封装...109
7.5 流量（路由）牵引配置.....110
7.5.1 本机参数设置...110
7.5.2 BGP 路由参数设置 111
7.5.3 OSPF 路由参数设置.....112
7.5.4 RIP 路由参数设置..112
7.6 流量注入配置112
7.6.1 本机参数配置...112
7.6.2 二层流量注入参数配置.113
7.6.3 三层流量注入参数配置.114
7.6.4 指定牵引规则与牵引过滤规则配置..114
7.7 黑洞旁路部署典型配置实例....116
7.7.1 双路由器EBGP 三层注入配置..117
7.7.2 单路由器EBGP 三层注入配置..120
7.7.3 单路由器EBGP 二层注入配置..123
第八章 黑洞的安装与初始化...127
8.1 黑洞抗拒绝服务攻击系统硬件概览.....127
8.1.2 前面板127
8.1.3 后面板128
8.2 安装方法.129
8.2.1 准备工作...129
8.2.2 网络接入...130
8.2.3 上架操作...131
8.3 初始化配置...132
8.3.1 控制台登录......132
8.3.2 控制台网络配置......135
8.3.3 Web 控制台登录.....135
8.3.4 Web 控制台网络配置....137
8.3.5 Web 界面布局..138
第九章 黑洞的配置.....140
9.1 控制台管理介绍..140
9.1.1 显示当前设置信息.140
9.1.2 设置系统默认参数.141
9.1.3 设置网络参数..141
9.1.4 设置DNS 服务器...142
9.1.5 启动httpd 服务142
9.1.6 系统升级及恢复......143
9.1.7 修改控制台密码......144
9.2 策略管理.144
9.2.1 DDOS 策略......144
9.2.2 牵引策略...146
9.2.3 Vlan 策略...146
9.2.4 信任规则...147
9.2.5 连接耗尽...148
9.2.6 UDP 防护..150
第十章 黑洞的管理与维护152
10.1 黑洞的系统管理152
10.1.1 本机设置.152
10.1.2 端口设置.153
10.1.3 运行模式.154
10.1.4 用户管理.154
10.2 黑洞的实时监控155
10.2.1 实时流量分析155
10.2.2 系统状态.156
10.2.3 事件统计和通知...156
10.3 日志管理.....157
10.3.1 黑洞的日志分类...157
10.3.2 日志分析.160
10.3.3 日志服务.160
10.4 黑洞的升级..163
10.5 例行维护.....164
10.5.1 日维护项目操作...164
10.5.2 月维护项目操作...166
10.5.3 季维护项目操作...166
10.6 应急处理团队的建设.....167
10.6.1 团队组成和要求....167
10.6.2 团队处理目标.169
附录 A 抗拒绝服务攻击系统测试方案172
1． 测试目的...172
2． 测试环境...172
2.1 网络设备和应用服务器...172
2.2 流量发生工具.....173
2.3 监控工具......173
2.4 测试拓扑图..174
2.5 设备用途......175
3. 测试内容..176
3.1 测试一...176
3.2 测试二...176
3.3 测试三...176
3.4 测试四...177
3.5 测试五...177
3.6 测试六...177
3.7 测试七...177