中联绿盟信息公司拒绝服务攻击解决方案

2006-9-15　发布方：绿盟科技　网友评论 0 条　点击进入论坛

产品介绍　　
2001年5月：“黑洞”开发项目组成正式成立。
　　2002年4月：“黑洞”产品突破技术瓶颈，并申请国家发明专利。
　　2002年8月：“黑洞”取得销售许可证，随即申请著作权登记和软件产品登记。
　　2002年9月：“黑洞”千兆级产品隆重推出。

一:DoS攻击简述
　　DoS攻击（拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。由于一些网络通讯协议本身固有的缺陷，拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机很大的资源开销，因此往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击（分布式拒绝服务攻击），通过控制多台傀儡主机策划进攻，更加强了攻击的破坏性，甚至可以造成一些包括防火墙、路由器在内的网络设备的瘫痪。可以假想一个公用电话呼叫服务系统(如119报警台)，如果有人恶意不间断拨打骚扰电话，就可能造成电话系统繁忙，从而阻塞正常的电话请求，造成呼叫中心无法为正常的用户请求服务。

DoS攻击特点
种类繁多：绿盟科技网站(www.nsfocus.com)收录备案就达800多种，其中相当部分攻击类型是基于协议层缺陷，无法用升级系统和打补丁的方式预防。

破坏力强：全球诸多大型网络服务商都曾饱受其害，包括Yahoo(雅虎)、Amazon(亚马逊)、Microsoft(微软)、Ebay、美国白宫等等，国内受害单位也不在少数。

具有普遍性：攻击门槛低，攻击工具已经泛滥，一些具有初级安全知识的人也可以很容易策动和实施一次危害很大的攻击。

追查困难：高水平的DoS攻击几乎很难追查。

　　危害面广：除了导致主机宕机外，还可能导致整个网络瘫痪。

二:目前的防护手段及局限性

COLLAPSAR-1000黑洞千兆产品

三:黑洞所带来的防护

可操作性
　　即插即用：无需配置即可实现全面防护（也可通过配置实现特殊防护策略）。
　　自身安全：无IP地址，网络隐身。

防护种类
　　能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。
　　可以防止连接耗尽，对典型“以小搏大”的资源比拚型攻击(如大规模的多线程下载)也具有良好的防护能力。
　　可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到保护作用。

防护性能
　　黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。

　　核心算法基于Intel内核汇编实现，对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　使用多种算法识别攻击和正常流量，能保证在高攻击流量环境下95%以上的连接保持率和95%以上的新连接发起成功率。

黑洞核心架构

图一、黑洞的核心技术架构示意图