|
|
|
|
 |
DDoS 攻撃の本質を考えれば、非常に大量のパケットをうまく処理する極めて拡張性に優れたソリューションが必要になってくる。
Cisco Traffic Anomaly Detector XT は、300万pps で同時に最大 90 ゾーンまで、2Gbps の監視を行うために 2ギガビットイーサネットインタフェースを持っている。Cisco Guard XT にも 2ギガビットイーサネットインタフェースがあり、最大 100万pps まで 1Gbps の緩和を行うことができる。Guard は最大 150万のコネクションを同時に処理することができ、サーバのタイプやゾーンの大きさによって異なるが、平均して同時に攻撃された 15ヵ所のゾーンを保護する。これは最大で 10万台のゾンビに対する防御が可能だということであり、 1ミリ秒以下のレイテンシで合法的なトラフィックをターゲットに送ることができる。
両デバイスとも即日展開が可能で、コマンドラインインタフェースまたは Web ベースのユーザーコンソールを通じた管理ができる。
通常、中規模のサービスプロバイダや企業の非武装地帯 (DMZ:demilitarized zone) のネットワークなら、1対の Guard で十分守ることができる (DMZ は外部のインターネットユーザーに Web および FTP サーバを含む公共のサーバへのアクセスを許す一方、企業の私的な LAN に対するセキュリティを維持している)。
さらに大きなキャパシティが必要な場合には 1 台の Cisco Catalyst 6500 シリーズ・スイッチの背後で Guard を最大 8 つまでクラスター化し、非常に大量の攻撃や複数のターゲットに対する攻撃で数ギガバイトの保護が可能である。
DDoS 攻撃の攻略に関するホワイトペーパーは、cisco.com/packet/163_5b1.で見ることができる。
