黑洞抗DoS/DDoS防火墻所帶來的防護
本文向大家介紹黑洞抗DoS/DDoS防火墻,可能好多人還不了解黑洞抗DoS/DDoS防火墻,沒有關系,看完本文你肯定有不少收獲,希望本文能教會你更多東西
什么是DDOS:
DDoS(分布式拒絕服務)攻擊是利用TCP/IP協議漏洞進行的一種簡單而致命的網絡攻擊,由于TCP/IP協議的這種會話機制漏洞無法修改,因此缺少直接有效的防御手段。大量實例證明利用傳統設備被動防御基本是徒勞的,而且現有防火墻設備還會因為有限的處理能力陷入癱瘓,成為網絡運行瓶頸;另外,攻擊過程中目標主機也必然陷入癱瘓。
DoS/DDoS主要采用的是SYN FLOOD及其變種的攻擊,現在新的比如CC的攻擊也屬于這個范疇但是CC更智能一些,它用的是多次讀取同一個服務器存在的文件的方式,現有的DoS/DDoS防火墻和防火墻軟件都是采用的防止SYN以及FLOOD的攻擊沒有做重復包的檢測,所以導致了大多數防火墻對CC造成的DoS/DDoS攻擊沒效果;防火墻是基于內核的網橋式重復包檢測、SYN FLOOD過濾、ARP過濾,這樣即便你是偽造的包,但是因為防火墻沒這個存在的ARP地址而導致這個是一個不合法的包從而被防火墻過濾掉,如果一個數據包想通過這個防火墻就必須符合以下的特點,一是已經存在的ARP這個可以被驗證是正確的ARP,二是這個數據包不是重復的包(200NS以內),三是這個連接地址是存在的,四這個數據包的狀態是持續的連接,如果不是持續的連接一樣被過濾掉。
DoS/DDoS現在比較流行的一種方式是CC攻擊及CC變種攻擊,攻擊7000.7100端口,這往往發生在網絡游戲服務器上,導致玩家進入游戲界面選擇和建立不了人物。其基本原理是:攻擊發起主機(attacker host) 多次通過網絡中的HTTP代理服務器(HTTP proxy) 向目標主機(target host) 上開銷比較大的CGI頁面發起HTTP請求造成目標主機拒絕服務( Denial of Service ) 。這是一種很聰明的分布式拒絕服務攻擊( Distributed Denial of Service ) 與典型的分布式拒絕服務攻擊不同,攻擊者不需要去尋找大量的傀儡機,代理服務器充當了這個角色。
那么,機房采用的硬件防火墻能不能很好的防御DoS/DDoS攻擊呢?
要研究這個問題,還是先來看看國內的機房都采用哪些硬件防火墻:其實目前國內抗DoS/DDoS防火墻比較知名的,同時信譽度和使用效果也比較好的應該是黑洞、金盾和Dosnipe的產品。一些其他的所謂“XX盾DoS/DDoS防火墻”多半是抄襲篡改或者完全就是沒有實際效果只是用來騙錢的東西。
黑洞抗DoS/DDoS防火墻
黑洞抗DoS/DDoS防火墻是國內IDC中應用比較廣泛的一款抗DoS/DDoS攻擊產品,其技術比較成熟,而且防護效果顯著,黑洞抗DoS/DDoS防火墻已經得到各大IDC機構的共同認可。黑洞目前分百兆、千兆兩款產品,分別可以在相應網絡環境下實現對高強度攻擊的有效防護,黑洞性能遠遠超過同類防護產品。千兆黑洞主要用于保護骨干線路上的網絡設備如防火墻、路由器,百兆黑洞主要用于保護子網和服務器,使用多種算法識別攻擊和正常流量,能在高攻擊流量環境下保證95%以上的連接保持率和95%以上的新連接發起成功率,核心算法由匯編實現,針對Intel IA32體系結構進行了指令集優化。對標準TCP狀態進行了精簡和優化,效率遠高于目前流行的SYN Cookie和Random Drop等算法。
黑洞所帶來的防護:
◆自身安全:無IP地址,網絡隱身。
◆能夠對SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS/DDoS攻擊進行防護。
◆可以有效防止連接耗盡,主動清除服務器上的殘余連接,提高網絡服務的品質、抑制網絡蠕蟲擴散。
◆可以防護DNS Query Flood,保護DNS服務器正常運行。
◆可以給各種端口掃描軟件反饋迷惑性信息,因此也可以對其它類型的攻擊起到防護作用。
【編輯推薦】
