在研究這個(gè)問(wèn)題之前����,我們先來(lái)談?wù)勈裁词荄DOS:
什么是DDOS:
DDoS(分布式拒絕服務(wù))攻擊是利用TCP/IP協(xié)議漏洞進(jìn)行的一種簡(jiǎn)單而致命的網(wǎng)絡(luò)攻擊,由于TCP/IP協(xié)議的這種會(huì)話機(jī)制漏洞無(wú)法修改�,因此缺少直接有效的防御手段。大量實(shí)例證明利用傳統(tǒng)設(shè)備被動(dòng)防御基本是徒勞的,而且現(xiàn)有防火墻設(shè)備還會(huì)因?yàn)橛邢薜奶幚砟芰ο萑氚c瘓����,成為網(wǎng)絡(luò)運(yùn)行瓶頸;另外�,攻擊過(guò)程中目標(biāo)主機(jī)也必然陷入癱瘓。
DDOS主要采用的是SYN FLOOD及其變種的攻擊����,現(xiàn)在新的比如CC的攻擊也屬于這個(gè)范疇但是CC更智能一些,它用的是多次讀取同一個(gè)服務(wù)器存在的文件的方式�,現(xiàn)有的DDOS防火墻和防火墻軟件都是采用的防止SYN以及FLOOD的攻擊沒(méi)有做重復(fù)包的檢測(cè),所以導(dǎo)致了大多數(shù)防火墻對(duì)CC造成的DDOS攻擊沒(méi)效果���;防火墻是基于內(nèi)核的網(wǎng)橋式重復(fù)包檢測(cè)���、SYN FLOOD過(guò)濾、ARP過(guò)濾�,這樣即便你是偽造的包,但是因?yàn)榉阑饓](méi)這個(gè)存在的ARP地址而導(dǎo)致這個(gè)是一個(gè)不合法的包從而被防火墻過(guò)濾掉�,如果一個(gè)數(shù)據(jù)包想通過(guò)這個(gè)防火墻就必須符合以下的特點(diǎn),一是已經(jīng)存在的ARP這個(gè)可以被驗(yàn)證是正確的ARP��,二是這個(gè)數(shù)據(jù)包不是重復(fù)的包(200NS以?xún)?nèi))�����,三是這個(gè)連接地址是存在的,四這個(gè)數(shù)據(jù)包的狀態(tài)是持續(xù)的連接�,如果不是持續(xù)的連接一樣被過(guò)濾掉。
DDOS現(xiàn)在比較流行的一種方式是CC攻擊及CC變種攻擊�����,攻擊7000.7100端口�,這往往發(fā)生在網(wǎng)絡(luò)游戲服務(wù)器上,導(dǎo)致玩家進(jìn)入游戲界面選擇和建立不了人物�����。其基本原理是:攻擊發(fā)起主機(jī)(attacker host) 多次通過(guò)網(wǎng)絡(luò)中的HTTP代理服務(wù)器(HTTP proxy) 向目標(biāo)主機(jī)(target host) 上開(kāi)銷(xiāo)比較大的CGI頁(yè)面發(fā)起HTTP請(qǐng)求造成目標(biāo)主機(jī)拒絕服務(wù)( Denial of Service ) �����。這是一種很聰明的分布式拒絕服務(wù)攻擊( Distributed Denial of Service ) 與典型的分布式拒絕服務(wù)攻擊不同���,攻擊者不需要去尋找大量的傀儡機(jī),代理服務(wù)器充當(dāng)了這個(gè)角色�����。
那么,機(jī)房采用的硬件防火墻能不能很好的防御DDOS攻擊呢��?
要研究這個(gè)問(wèn)題�,還是先來(lái)看看國(guó)內(nèi)的機(jī)房都采用哪些硬件防火墻:其實(shí)目前國(guó)內(nèi)抗DDOS防火墻比較知名的,同時(shí)信譽(yù)度和使用效果也比較好的應(yīng)該是黑洞���、金盾和Dosnipe的產(chǎn)品���。一些其他的所謂“XX盾DDoS防火墻”多半是抄襲篡改或者完全就是沒(méi)有實(shí)際效果只是用來(lái)騙錢(qián)的東西。
Dosnipe防火墻:
Dosnipe防火墻硬件架構(gòu)部分主體采取工業(yè)計(jì)算機(jī)(工控機(jī))�����,可以承受惡劣的運(yùn)行環(huán)境��,保障設(shè)備穩(wěn)定運(yùn)行����;軟件平臺(tái)是FreeBSD,核心部分算法是自主研發(fā)的單向一次性非法數(shù)據(jù)包識(shí)別方法�,所有的Filter機(jī)制都是在掛在驅(qū)動(dòng)級(jí)�����?梢詮氐捉鉀Q所有dos/ddos攻擊(synflood、ackflood����、udpflood、icmpflood���、igmpflood����、arpflood�、全連接等),針對(duì)CC攻擊����,已推出DosNipe V8.0版本,此核心極其高效安全����,在以往抵御一切拒絕服務(wù)攻擊的基礎(chǔ)上,新增加了抵擋CC攻擊�,新算法可以高效的抵御所有CC攻擊及其變種,識(shí)別準(zhǔn)確率為100%�����,沒(méi)有任何誤判的可能性�����。
Dosnipe防火墻去年升級(jí)之后����,具備更多的新特性:
·徹底解決最新的M2攻擊。
·支持多線路�,多路由接入功能。
·支持流量控制功能���。
·更強(qiáng)大的過(guò)濾功能���。
·最新升級(jí),徹底高效的解決所有DDOS攻擊��,cc攻擊的識(shí)別率為100%
黑洞抗DDoS防火墻
黑洞抗DDoS防火墻是國(guó)內(nèi)IDC中應(yīng)用比較廣泛的一款抗DoS���、DDoS攻擊產(chǎn)品�����,其技術(shù)比較成熟��,而且防護(hù)效果顯著��,已經(jīng)得到各大IDC機(jī)構(gòu)的共同認(rèn)可��。黑洞目前分百兆�、千兆兩款產(chǎn)品,分別可以在相應(yīng)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)對(duì)高強(qiáng)度攻擊的有效防護(hù)�,性能遠(yuǎn)遠(yuǎn)超過(guò)同類(lèi)防護(hù)產(chǎn)品。千兆黑洞主要用于保護(hù)骨干線路上的網(wǎng)絡(luò)設(shè)備如防火墻���、路由器����,百兆黑洞主要用于保護(hù)子網(wǎng)和服務(wù)器����,使用多種算法識(shí)別攻擊和正常流量,能在高攻擊流量環(huán)境下保證95%以上的連接保持率和95%以上的新連接發(fā)起成功率��,核心算法由匯編實(shí)現(xiàn)�,針對(duì)Intel IA32體系結(jié)構(gòu)進(jìn)行了指令集優(yōu)化。對(duì)標(biāo)準(zhǔn)TCP狀態(tài)進(jìn)行了精簡(jiǎn)和優(yōu)化�,效率遠(yuǎn)高于目前流行的SYN Cookie和Random Drop等算法。
黑洞所帶來(lái)的防護(hù):
·自身安全:無(wú)IP地址,網(wǎng)絡(luò)隱身�����。
·能夠?qū)YN Flood�、UDP Flood�、ICMP Flood和(M)Stream Flood等各類(lèi)DoS攻擊進(jìn)行防護(hù)。
·可以有效防止連接耗盡���,主動(dòng)清除服務(wù)器上的殘余連接����,提高網(wǎng)絡(luò)服務(wù)的品質(zhì)���、抑制網(wǎng)絡(luò)蠕蟲(chóng)擴(kuò)散���。
·可以防護(hù)DNS Query Flood,保護(hù)DNS服務(wù)器正常運(yùn)行��。
·可以給各種端口掃描軟件反饋迷惑性信息����,因此也可以對(duì)其它類(lèi)型的攻擊起到防護(hù)作用。
金盾抗DDOS防火墻
金盾抗DDOS防火墻由合肥中新軟件有限公司開(kāi)發(fā),是一款針對(duì)ISP接入商�、IDC服務(wù)商開(kāi)發(fā)的專(zhuān)業(yè)性比較強(qiáng)的專(zhuān)業(yè)防火墻。適用于Internet平臺(tái)所有企業(yè)與個(gè)人用戶(hù)����,尤其對(duì)一些大型的娛樂(lè)站點(diǎn)和重要企業(yè)站點(diǎn)的網(wǎng)絡(luò)流暢起到了重要的安全保護(hù)作用。
產(chǎn)品目前采用了最底層驅(qū)動(dòng)技術(shù)�����,提供完善的面向連接操作�。公司在長(zhǎng)期ISP運(yùn)營(yíng)和致力于網(wǎng)絡(luò)安全的研究過(guò)程中,研究和發(fā)明了一種防御和抵抗拒絕服務(wù)攻擊的解決辦法�����。測(cè)試的效果表明����,目前的防御算法對(duì)所有已知的拒絕服務(wù)攻擊是免疫的,也就是說(shuō)���,是完全可以抵抗已知DoS/DDoS攻擊的���。
金盾抗DDOS防火墻可以抵御多種拒絕服務(wù)攻擊及其變種,可防各類(lèi) DoS/DDoS攻擊,如 SYN Flood���、TCP Flood����,UDP Flood�,ICMP Flood及其各種變種如Land����,Teardrop,Smurf����,Ping of Death等。
據(jù)說(shuō)全國(guó)有近半的電信和網(wǎng)通機(jī)房都有其產(chǎn)品�,金盾防火墻是專(zhuān)門(mén)針對(duì)DDOS攻擊和黑客入侵而設(shè)計(jì)的專(zhuān)業(yè)級(jí)防火墻,該設(shè)備采用自主研發(fā)的新一代抗拒絕攻擊算法����,可達(dá)到10萬(wàn)-100萬(wàn)個(gè)并發(fā)攻擊的防御能力,同時(shí)對(duì)正常用戶(hù)的連接和使用沒(méi)有影響���。專(zhuān)用得體系結(jié)構(gòu)可改變TCP/IP的內(nèi)核�����,在系統(tǒng)核心實(shí)現(xiàn)防御拒絕攻擊的算法�����,并創(chuàng)造性的將算法實(shí)現(xiàn)在網(wǎng)絡(luò)驅(qū)動(dòng)層�����,效率沒(méi)有受到限制�。同時(shí)可防御多種拒絕服務(wù)攻擊及其變種,如:SYN Flood���。TCP Flood���、UDP Flood、ICMP Flood及其變種Land���、Teardrop�����、Smurf��、Ping of Death等等�。
分析:
當(dāng)然也有一些技術(shù)人員提出觀點(diǎn),認(rèn)為從原則上說(shuō)���,上面類(lèi)似產(chǎn)品不能說(shuō)是防火墻�����,應(yīng)該說(shuō)一種異常流量清洗系統(tǒng)�;現(xiàn)在的DDoS防御技術(shù)在防火墻也有���,但防火墻的能力有限,不能很深入的針對(duì)每一個(gè)閥值參數(shù)進(jìn)行分析和執(zhí)行�,而只有一個(gè)執(zhí)行,而且執(zhí)行的度量是定死了���;沒(méi)有一個(gè)學(xué)習(xí)后再細(xì)化���,這就是防火墻的弱點(diǎn),但這種產(chǎn)品一般是在高帶寬流量的環(huán)境應(yīng)用����,說(shuō)白一點(diǎn)����,是放到運(yùn)營(yíng)商上面應(yīng)用�����,所以產(chǎn)品的性能要求十分嚴(yán)苛���,要經(jīng)得起考驗(yàn)�,這不是鬧著玩����;因?yàn)檫@套東西,運(yùn)營(yíng)商拿去也是給增值服務(wù)客戶(hù)應(yīng)用的�,要收錢(qián)的,如果不能抵御一定流量的攻擊客戶(hù)肯定會(huì)翻臉�。
那么,大家最關(guān)心的問(wèn)題:這些硬件防火墻到底能不能防DDOS呢��?
這些硬件防火墻到底能不能防DDOS:
大體上說(shuō)是可以的�,根據(jù)我們的了解,國(guó)內(nèi)大部分機(jī)房都是表示金盾效果還過(guò)得去����,黑洞效果則更好一些����,而Dosnipe由于合作的機(jī)房相對(duì)要少一些����,所以收到的反饋意見(jiàn)不多,不過(guò)西南地區(qū)的一個(gè)電信機(jī)房代理商告訴我機(jī)房加裝Dosnipe防火墻之后確實(shí)杜絕了不少普通流量的攻擊���。
但是����,如果DDOS攻擊者加大攻擊的流量����,大量消耗機(jī)房的出口總帶寬時(shí)��,任何一款防火墻都相當(dāng)于擺設(shè)�����,因?yàn)椴还芊阑饓μ幚砟芰τ卸鄰?qiáng)�����,出去的帶寬已經(jīng)被耗盡了,整個(gè)機(jī)房在外面看來(lái)就都是處于掉線狀態(tài)����,就像一個(gè)大門(mén)已經(jīng)擠滿(mǎn)了人,不管你在門(mén)里安排多少個(gè)警衛(wèi)檢查都沒(méi)用��,外面的人還是進(jìn)不來(lái)����,而現(xiàn)在的攻擊者的行為大部分是出于商業(yè)目的,動(dòng)輒G級(jí)別的攻擊���,一些機(jī)房本來(lái)帶寬就不是很足夠�����,一遭到大流量的攻擊肯定是整個(gè)機(jī)房大面積掉線�����,防火墻雖然檢測(cè)到攻擊�����,也只能是過(guò)濾掉那些非法數(shù)據(jù)包�,保護(hù)內(nèi)部的網(wǎng)絡(luò)設(shè)備和服務(wù)器不受重創(chuàng),但掉線是機(jī)房總帶寬不足所導(dǎo)致��,用再好的防火墻都無(wú)濟(jì)于事�����。
因此���,即使很多機(jī)房都號(hào)稱(chēng)采用多好的硬件防火墻���,可以防御多大流量的攻擊,但如果你的服務(wù)器真的遭到大流量攻擊����,機(jī)房還是不敢放你進(jìn)去,因?yàn)闀?huì)影響到其他服務(wù)器的正常訪問(wèn)�,而且托管一臺(tái)服務(wù)器收取的費(fèi)用本來(lái)就不多,為了做成這么一筆小生意而招惹大麻煩���,運(yùn)營(yíng)商肯定覺(jué)得不劃算,最可憐的還是那些機(jī)房的網(wǎng)管人員��,得手忙腳亂的封IP���。
總結(jié):
對(duì)付DDOS是一個(gè)比較復(fù)雜而龐大的系統(tǒng)工程���,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的�,可以肯定的是�,完全杜絕DDOS目前是不可能的,但通過(guò)適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的�����,基于攻擊和防御都有成本開(kāi)銷(xiāo)的緣故�����,若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力����,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)下去而放棄�,也就相當(dāng)于成功的抵御了DDOS攻擊。
所以����,硬件防火墻是否能夠防DDOS這個(gè)問(wèn)題的答案其實(shí)是非常令人心酸的,從理論上說(shuō),確實(shí)有效果���,但是有效果又怎么樣����,遭到攻擊的網(wǎng)站和服務(wù)器會(huì)被各個(gè)機(jī)房和運(yùn)營(yíng)商當(dāng)作瘟疫一樣防著�,除了個(gè)別帶寬充足、比較有實(shí)力的運(yùn)營(yíng)商�����,基本上沒(méi)人敢接這樣的客戶(hù)���。 |
