1. VNH nên cấu hình Switch port chế độ static MAC cho từng cổng với từng MAC của server để tránh tình trạng khi 1 server đích bị tấn công trong VLAN vì 1 lí do nào đó lại rút jack mạng thì lúc này các request sẽ ko được chuyển đến port bị disconnected đó mà sẽ broadcast tất cả các port khác ( nếu các port khác để Dynamic MAC). khiến các máy chủ trên port đó cũng vạ lây nhận BW mạng đúng = BW được gửi đến Port bị DDOS tuy nhiên theo cơ chế bảo vệ thì sau n phút hệ thống SW sẽ ko broadcast các dữ liệu frame có địa chỉ MAC ko tồn tại này nữa thì các server ở port khác sẽ trở lại bình thường nhưng đường uplink/trunking tới VDC vẫn phải nhận bw ddos này forward tới nó sẽ nghẽn cổ chai nếu bw cổng này không đủ.
2. Khi bị tấn công làm nghẽn các đường trunking giữa SW kết nối của VNH và VDC quá mức cho phép thì biện pháp giải quyết là nối thêm đường trunk nữa ( x1Gbps) để đảm bảo băng thông vào hệ thống máy chủ, ngoài ra nhờ phía VDC drop thẳng packet ddos từ border router đến địa chỉ máy chủ bị tấn công là ổn.
Nếu có điều kiện tốt nhất phân cấp lớp 1 access SW ra riêng, 1 lớp distribution dùng SW layer 3 trunking lên SW của VDC và dùng TCP/IP policy chặn packet từ lớp này sẽ chống bị ngập lụt cổng mạng ở lớp chuyển mạch frame.
Bookmarks