如何从体系结构上避免DoS攻击

    在遇到DoS攻击的时候，黑客往往可以通过让网管员无法访问控制模块的CPU来达到攻击交换路由器的目的。DoS攻击往往会导致传统交换路由器的控制模块的CPU负载过大，以致于网管员无法通过Telnet或者串口访问设备。Force10 的交换路由器独特的体系结构设计，可以从根本上解决这一问题。

    DoS攻击会将设备“锁住”

    传统的交换路由器产品通过单一的CPU处理所有的控制和管理功能。DoS攻击发送大量需要单一CPU 处理的数据包，从而导致该CPU 瘫痪。这样的攻击会导致CPU没有能力去处理一些更重要的管理请求，如Telnet等。由于网管员无法登录到设备上去，因此也就无法采用正确措施阻止DoS攻击。

    Force10能将设备“解锁”

    在Force10的E系列交换路由器产品体系结构中，控制模块分别有独立的CPU处理IP路由、二层交换和管理功能。这一独特的三CPU结构设计，充分保证了在系统中任何一个CPU受到攻击的情况下，不会影响另外两个CPU的性能。黑客可以向管理CPU发送大量的ICMP数据包，从而试图去“锁住”管理CPU。在这种情况下，一种基于试探性的智能资源预留机制会发生作用。这一试探性机制可以确保去往所有CPU的控制信息包被限制在一个正常的范围内（这其中考虑到了突发数据的情况）。这一模式可以充分保证为进程通信和正常的设备管理预留一定的CPU处理能力。

    立即阻止DoS造成破坏

    在传统的交换路由器产品设计中，由于网管员需要和黑客竞争CPU资源才能登录到设备上，因此一旦发生DoS攻击，阻止DoS攻击的能力是受限制的。相反，Force10 的多CPU体系结构和试探性智能资源预留机制可以确保在受到DoS攻击的情况下，网管员总是可以去实施正确的措施对DoS攻击进行阻止。

    基于硬件的ACL: 网管员可以通过修改ACL的方式，对DoS数据包加以过滤。E系列交换路由器完全通过硬件实现ACL，单台设备可支持一百多万条ACL，而且ACL不会影响设备的线速转发性能。另外，Force10的Hot-Lock ACL技术可以保证实时的ACL增加和修改，从而避免安全漏洞和数据包的无谓丢失。

    基于硬件的速率监管：网管员可以根据策略在任意端口上对流量进行速率监管。E系列产品可以让网管员灵活地根据自己的策略进行流量管理。