nScrub

DDoS缓解系统

nScrub是基于PF_RING ZC的DDoS缓解系统,能够使用低端系统以10 Gigabit / s的线速运行,并可以扩展到构建模块化架构的Terabit / s。

nScrub以线缆中的块(透明网桥)或路由器(与BGP转移技术一起使用)方式实现,可以是非对称模式(即,仅缓解从互联网到受保护网络的一个流量方向)或对称模式(即,从互联网到受保护网络的缓解,但也可以转发出站流量)。

nScrub被设计为一个可扩展的平台,这意味着除了nScrub的那些部分之外,还可以对其进行扩展,以定义新的流量缓解附加算法。

nScrub提供了用于配置引擎的REST API,并结合了具有自动补全功能的Shell-like CLI工具。

主要特点

多层流量执法

  • 活动会话验证协议,包括TCP和DNS
  • 灵活的子网黑名单和白名单
  • DNS检查:强制TCP等
  • 基于UDP / TCP / ICMP字段的ACL-like策略
  • 基于签名的过滤,HTTP请求过滤
  • 基于流行为的异常检测
  • 基于源,目的地,协议的速率限制
  • 流量检查器以插件的形式实现,因此第三方可以为特定协议定义自己的检查器。

多租户

  • 入口流量会根据目标IP地址分为几个虚拟缓解器,这样就可以为每个目标子网指定流量实施策略
  • 每个虚拟缓解器都绑定到流量执行配置文件:默认,白色,黑色,灰色。每个配置文件都包含一个流量强制配置(例如,SYN检查=是,ICMP丢弃=否),并根据列表(白色/黑色/灰色)应用于源IP。
  • 全局或每目标旁路模式

透明网桥模式

在透明网桥(Bump-In-The-Wire)模式下运行nScrub需要零配置

路由方式

在路由模式下运行nScrub可让您使用BGP转移缓解对按需和远程位置的攻击。

硬件和软件旁路

在基础硬件的支持下,硬件旁路可确保在系统故障的情况下nScrub对基础架构没有影响。通过软件旁路,您可以以所需的粒度临时禁用任何保护策略。

流量可见性和历史数据

基于Web的RRD样式历史图表,以及由事件驱动的可脚本化引擎触发的根据请求进行的PCAP转储,可确保对DDoS攻击具有完全的可见性。nScrub能够将采样的/全部好/坏/所有流量导出到外部虚拟设备进行分析。

性能

使用基于PF_RING ZC的流量生成器对nScrub进行了基准测试,该生成器模拟了来自SYN泛洪和基于UDP的放大攻击的实际流量。在所有测试中,已使用最小的数据包大小(60字节)来评估最坏情况下的系统性能(14.88 Mpps的10Gigabit线速)。
基准测试 流量 进入速率 处理 输出速率 损失
全部转发 64字节的UDP 14.88 Mpps(10 Gbit / s) 14.88每秒 14.88每秒 0%
TCP会话检查 78字节的SYN Flood 12.25 Mpps(10 Gbit / s) 12.25每秒 0每秒 0%
UDP端口删除 64字节的UDP 14.88 Mpps(10 Gbit / s) 14.88每秒 0每秒 0%
UDP等级(1 Mpps) 64字节的UDP 14.88 Mpps(10 Gbit / s) 14.88每秒 0.9每秒 0%
黑名单(8K CIDR) 64字节的UDP 14.88 Mpps(10 Gbit / s) 14.88每秒 0每秒 0%
上表显示了使用以下配置的最坏情况性能测试的结果:
  • nScrub 10G(本机PF_RING ZC支持)
  • Ubuntu Linux 16.04
  • PF_RING 6.6.X
  • CPU Intel E5-1660 v4 DDR4 2400(仅使用4个CPU内核)
  • 英特尔X520双10千兆网络适配器

操作系统

许可license

nScrub是根据EULA分发的,每个系统需要一个许可证。根据nScrub可以处理的目标服务器的速度和数量,可以使用各种版本的许可证。

 smLXLXXL
链接速度1个千兆位1个千兆位10千兆位10千兆位10千兆位
受保护的服务器高达10无限高达10高达100无限

得到它

nScrub可以从这里下载安装和联系我们购买许可证。

如果你是一个非营利性机构或大学,你可以免费使用nScrub :请用您的组织邮件账户给我们发邮件,解释一下为什么符合免费资格。