Anti-DDoS >


Analisi di un attacco DDoS




Analisi del traffico e rilevamento di attacchi



Individuare l'attacco



Per individuare l'attacco, utilizziamo il netflow che viene inviato dai router e analizzato dai dispositivi Arbor PeakFlow. Ogni router trasmette un estratto di 1/2000 del traffico che lo attraversa realmente. I dispositivi Arbor PeakFlow analizzano questi report e li confrontano con le signature degli attacchi. In caso di esito negativo, la mitigazione si avvia in pochi secondi.

Le "signature" analizzate si basano su soglie di traffico in "pacchetti al secondo" (pps, Kpps, Mpps, Gpps) o "ottetti al secondo" (bps, Kbps, Mbps, Gbps) su un certo tipo di pacchetti, come:


  • DNS;
  • ICMP;
  • IP Fragment;
  • IP NULL;
  • IP Privato;
  • TCP NULL;
  • TCP RST;
  • TCP SYN;
  • UDP;
  • Total Traffic

L'attivazione della mitigazione può richiedere da 15 a 120 secondi, a causa dell'attivazione di alcune soglie e del fatto che solo 1/2000 del traffico viene analizzato.