【51CTO.com 綜合消息】黑洞是綠盟科技抗拒絕服務攻擊（DDoS）的產(chǎn)品名字，也稱為ADS（Anti-DDoS System），是專門用于清洗網(wǎng)絡上DDoS攻擊的一款硬件設備，也有朋友叫它DDoS防火墻。網(wǎng)絡上大量泛濫的拒絕服務攻擊，可以輕易地讓Web、DNS等應用的服務器、路由器甚至網(wǎng)絡鏈路阻塞和癱瘓，因此，架設在網(wǎng)絡出口的黑洞，將那些惡意流量精確的除掉，只讓正常的訪問流量進入，成了黑洞的主要功能。

黑洞的生日是2002年10月25日，比綠盟科技公司小了將近2歲，不過要是把前面將近兩年的對DDoS攻擊算法的研究和產(chǎn)品開發(fā)的時間算上，黑洞今天倒也有理由慶祝一下自己的十周年紀念日了。2002年在中國，大部分人都還是用電話線模擬撥號上網(wǎng)，大家對于網(wǎng)絡安全，最多停留在安裝殺毒軟件的級別上，今天已經(jīng)耳熟能詳?shù)木W(wǎng)絡硬件防火墻在當時也是個新東西，至于黑洞這種專業(yè)抗DDoS的硬件設備，則更是只有安全專家才能搞清楚了。

事實上，在那個時候，在國內(nèi)市面上，綠盟科技的黑洞是沒有同類產(chǎn)品的，很多時候，遭遇拒絕服務攻擊的用戶會直接電話找到綠盟科技，希望借一臺設備臨時頂一下。綠盟科技黑洞產(chǎn)品線經(jīng)理葉曉虎博士，經(jīng)常會回憶起當時的情況，那時綠盟科技的開發(fā)人員同時也做著技術支持的工作，葉博士就經(jīng)常親自扛著一臺非常笨重的黑洞設備，跑到用戶的機房，將設備安裝上線，調(diào)試好。“很多服務器被拒絕服務攻擊纏上，非常麻煩，一天24小時，沒完沒了的打，服務器要么就是關機，要么就是在那里半死不活，那些維護工程師非常頭痛”，“我們設備一上線，服務器就活了，效果非常明顯”，“就因為我們幫忙解決攻擊，以前都是用戶請我吃飯的”，葉博士經(jīng)常會回憶那段令人激動的時刻。

可惜的是，黑洞組沒有留下最早的產(chǎn)品照片，也沒有留下樣機，不過，在綠盟科技的生產(chǎn)中心，在備件庫里，筆者找到了2003年左右的黑洞。

圖1 早期的綠盟科技黑洞產(chǎn)品圖片

設備給人一種很滄桑、很古老的感覺，重量很重，一個人搬起來非常吃力，仔細看一下，上面竟然還有個3.5寸軟盤驅(qū)動器。據(jù)說這臺早期的黑洞相當原始，就有幾種防攻擊算法，處理性能在現(xiàn)在看來也是小得可憐——是10Mbps流量級別的。但就是這臺古董級設備，當年不知擋住了多少次拒絕服務攻擊，讓那些黑客們摸不著頭腦，不知道為什么百試百靈的攻擊手段，突然失靈了。

黑洞上市后，很長一段時期，在網(wǎng)絡安全的論壇上，黑洞經(jīng)常就等同于抗DDoS產(chǎn)品，黑洞經(jīng)常也等同于抗DDoS技術，很多網(wǎng)友會在網(wǎng)站上發(fā)表自己對黑洞、對抗DDoS算法的理解，例如有人很嚴肅地討論黑洞的反向探測技術，并且寫到（原文大意如此）：“黑洞不斷向流量的來向發(fā)送大量的反向數(shù)據(jù)，將來向數(shù)據(jù)報文消滅掉……”。文中描述的黑洞，給人的感覺不像是一臺網(wǎng)絡安全設備，倒是更像是一臺天文物理學的正負粒子對撞機，正在制造正負質(zhì)子的對撞和湮滅。事實上，綠盟科技的黑洞是有反向探測技術的，但是無法像帖中所述消滅已經(jīng)發(fā)送過來的DDoS報文，只是經(jīng)過反向探測，可以明確區(qū)分正常報文和惡意報文，從而在后續(xù)的處理中，才能非常高效而準確地丟棄惡意報文，放行正常報文，只是，這絕不是正負質(zhì)子的關系。

當然，除去這些軼聞趣事，還有很多對黑洞的惡意研究。黑客論壇上，不斷有人公布自己的發(fā)現(xiàn)，宣稱他們發(fā)現(xiàn)了黑洞的弱點，反向推測黑洞的抗DDoS算法，并且研討在黑洞防護下的攻擊改進方法。面對這些，有時黑洞研發(fā)人員一笑而過，但也有些時候，綠盟科技的黑洞也面臨非常棘手的一個又一個挑戰(zhàn)。

這些挑戰(zhàn)里面，最著名的就是CC攻擊了，事實上，CC攻擊最直觀的名字應該叫做Http Get Flood攻擊，它是專門針對Web服務器，由大量的代理服務器或者僵尸主機對Web服務器發(fā)起，不斷對某個頁面進行Http Get請求，消耗Web服務器的資源，最終導致Web服務器無法響應正常用戶的請求。

圖2 CC攻擊原理示意圖

但是這類攻擊卻被稱為CC攻擊——Challenge Collapsar，挑戰(zhàn)黑洞，在DDoS攻擊領域，Collapsar黑洞就是綠盟科技的抗拒絕服務產(chǎn)品。事實上，CC也是黑客在利用新的攻擊向抗DDoS廠商發(fā)起挑戰(zhàn)：你能戰(zhàn)勝我們嗎？

早期綠盟科技黑洞的防護算法大多集中在抗四層攻擊上，如著名的SYN Flood攻擊，以及其他一些類型如UDP Flood、ICMP Flood等，對于應用層攻擊，特別是不再偽造IP地址的真實主機訪問，很難區(qū)分每個報文的真?zhèn)危译S著CC攻擊工具的發(fā)展，報文的特征字段幾乎不再存在，傳統(tǒng)的特征庫的作用也越來越小。直到今天，對于防火墻、IPS等一般安全產(chǎn)品，CC等應用級別的DDoS依舊是一個很難解決的難題，因此 CC以及其變形攻擊也至今是黑客的重要DDoS攻擊手段。

還好，經(jīng)歷過前期一段艱苦的研究后，黑洞很快找到了應對CC攻擊的算法，而且隨著CC攻擊手法的變化，黑洞自身的防護算法不斷改進，到今天為止，綠盟科技黑洞的抗CC防護算法已經(jīng)有6種，用戶可以根據(jù)自己實際的情況，選擇任何一種方便的方式進行防護，CC對于黑洞來說，已經(jīng)不再是挑戰(zhàn)了，只有CC的名字，依舊記錄了那段攻防雙方的博弈經(jīng)歷。

當然，挑戰(zhàn)也不都全是來自黑客攻擊者，也有來自同行業(yè)產(chǎn)品的競爭、技術對比測試。最讓黑洞產(chǎn)品難忘的一次是在2006年，東南某省電信的產(chǎn)品對比測試，除了綠盟科技的黑洞，競爭對手全部來自美國，都是著名的抗DDoS公司：IPS廠商R公司、IPS廠商T公司、網(wǎng)絡廠商C公司、以及病毒廠商M公司。特別是R公司，更是由亞太區(qū)技術總監(jiān)親自從香港趕來壓陣，但最終看到的卻是黑洞的完勝。當然，那位技術總監(jiān)也沒有白來，在黑洞測試ICMP Flooding等幾個防護的過程中，他用手機悄悄地拍下了黑洞的測試界面，因為對于這些攻擊的防護，R公司只頂住了其標稱值的20%流量。黑洞的開發(fā)人員也終于發(fā)現(xiàn)，原來，在網(wǎng)絡高科技領域，也有很多美國公司需要努力趕超中國廠商的時候，只是，那些是內(nèi)置的防護算法的功效，如何能用手機照片獲取到？

時間一天天過去，綠盟科技的黑洞也繼續(xù)用自己的防護效果去贏得用戶的信任，并且在業(yè)內(nèi)傳遞著黑洞的口碑。黑洞在電信運營商、銀行、證券、互聯(lián)網(wǎng)、政務辦公網(wǎng)，都有著國內(nèi)最廣泛的應用，在北京奧運會、六十周年國慶、在國家級領導人同網(wǎng)友對話等重大事件中，都有綠盟科技的黑洞產(chǎn)品在默默看護著網(wǎng)絡的安全。很多用戶，在黑洞防護住攻擊后，給綠盟科技技術人員致以感謝和贊賞。其實，依我看來，黑洞產(chǎn)品的防護效果應該首先感謝這些使用黑洞的用戶，正是由于這些分布全國、遍布各個行業(yè)的廣泛的應用和復雜的網(wǎng)絡環(huán)境，使得黑洞每天都在面對各種各樣的新型DDoS攻擊，遍布全國的黑洞部署也成了綠盟科技發(fā)現(xiàn)、收集新型DDoS攻擊的巨大平臺，幾乎任何一種新出現(xiàn)的DDoS攻擊，都會很快反映到全國的某些黑洞上，為黑洞研發(fā)人員提供算法研究的素材，并督促黑洞研發(fā)人員快速改進算法，提高防護效果。

抗DDoS防護算法成了綠盟科技黑洞的最寶貴的資本，這不同于做路由器和應用服務，可以根據(jù)RFC規(guī)定做路由協(xié)議，或者根據(jù)用戶的需求分析可完成應用的開發(fā)。對于黑客攻防產(chǎn)品、特別是DDoS攻防的算法，有時候，防護算法的小小一個字節(jié)的不同，對于整個防護效果則是差之千里，而對攻防的算法的效果提升，是沒有什么文檔可以依賴的，只能立足于廣泛的攻防積累，沒有時間、沒有大量的客戶群，黑洞無法達到其現(xiàn)在的防護能力，從這點來說，黑洞是應該真心感謝那些使用黑洞的客戶的。

有了DDoS防護算法的核心技術，綠盟科技的黑洞產(chǎn)品線也在不斷的壯大，在抗DDoS領域，黑洞傳統(tǒng)的抗DDoS清洗設備擁有了最全的產(chǎn)品系列——從最低端百兆級別的企業(yè)級清洗設備，到電信級數(shù)十G清洗能力的高端集群設備；流量檢測分析領域，推出了專業(yè)的NTA流量分析產(chǎn)品；在僵尸網(wǎng)絡發(fā)現(xiàn)領域，推出了蜜罐系統(tǒng)，自動捕獲那些惡意攻擊者和被感染的僵尸主機。全面的產(chǎn)品能力，讓綠盟科技可以進一步為行業(yè)客戶提供完善的抗DDoS流量清洗解決方案，在運營商，借助旁路算法技術、借助流量牽引技術、借助流量回注技術，形成了安全島解決方案在骨干網(wǎng)絡中，建立一個以黑洞為核心的安全島嶼，任何的異常流量都要進入這個安全島內(nèi)部去審核一遍，清除異常，讓正常訪問暢通無阻……

綠盟科技始終相信，過硬的技術、良好的服務才應該是最終極、最好的營銷宣傳手段，而綠盟科技黑洞團隊也在持續(xù)不斷地進行著攻防研究，憑借這些抗DDoS技術及經(jīng)驗積累，未來的一段時間里，黑洞將繼續(xù)做中國最好的抗DDoS產(chǎn)品，讓綠盟科技再多幾件黑洞那些事兒。