Cisco Cisco Catalyst 6500 Cisco 7600 Router Anomaly Guard Module 디자인 가이드

 

 

© 2005 Cisco Systems, Inc. All rights reserved. 

Important notices, privacy statements, and trademarks of Cisco Systems, Inc. can be found on cisco.com. 

Page 3 of 12 

 
 

The Cisco Anomaly Guard Module is an active DDoS attack mitigation device that diverts and processes suspect traffic to drop attack packets 

and forward legitimate transactions. When a possible attack is detected by the Traffic Anomaly Detector, it notifies the Anomaly Guard to divert 

all traffic destined to the zone under attack for cleaning. This process is called traffic diversion. 

The Anomaly Guard subjects this diverted traffic to analysis and countermeasures to distinguish between attack traffic and legitimate traffic. 

Attack traffic is dropped by the Anomaly Guard, and legitimate traffic is forwarded to its intended zone. When the Anomaly Guard Module 

determines that an attack is over, it stops diverting the zone traffic. 

The Anomaly Guard is not normally deployed as an inline device; it uses traffic diversion to insert itself into the traffic path when necessary to 

mitigate an attack. Deploying the Anomaly Guard “inline-on-demand” allows for more efficient provisioning—you only deploy enough Anomaly 

Guard capacity to process suspect traffic, rather than all traffic. This also allows a more resilient network topology by not having all traffic run 

through another possible point of failure. 

In general, the Anomaly Guard Module should be placed as far upstream from the protected zones —and as close to the source of the attack traffic—

as possible. This allows the Anomaly Guard to protect all downstream resources from DDoS attack traffic. These downstream resources can consist 

of servers, routers, switches, firewalls, and intrusion detection systems (IDSs). 

The Anomaly Guard Module must also be placed upstream of a firewall, to process traffic before any Network Address Translation (NAT) 

processing occurs, and to protect the firewall itself from becoming a victim of a DDoS attack 

In the traffic diversion process, zone traffic is diverted to the Anomaly Guard Module for cleaning during a possible attack against that zone, 

and is reverted back to its normal path when the Anomaly Guard determines that the attack is over. Traffic diversion allows the Anomaly Guard 

to operate in an “inline-on-demand” fashion. There are two parts to traffic diversion: 

•

 

Traffic hijacking—Diverting affected traffic from the normal path to the Anomaly Guard for cleaning 

•

 

Traffic injection—Forwarding cleaned (legitimate) traffic from the Anomaly Guard back into the normal path 

 

Integrated or Dedicated Configuration 

There are two network topology choices for traffic diversion—integrated and dedicated. 

•

 

Integrated—Zone traffic normally flows through the Cisco Catalyst 6500 Series switch that also contains the Anomaly Guard Module. 

In the integrated configuration, the Anomaly Guard Module uses Route Health Injection (RHI) to add a static route to the switch’s routing 
table (supervisor engine) to hijack traffic (Figure 2). Zone traffic is then diverted “internally” from the supervisor engine to the Anomaly 
Guard Module; traffic injection also occurs internally, from the Anomaly Guard Module back to the supervisor engine.