主流硬件DDOS防火墻防御功能對比完整版
此文章主要向大家講述的是主流硬件DDOS防火墻防御功能對比,近年來,隨著木馬、病毒的肆意橫生,互聯(lián)網(wǎng)拒絕服務(wù)攻擊的頻度和攻擊流量也隨之急速增加,在攻擊方式、攻擊技術(shù)和攻擊資源不斷成熟的同時,抗拒絕服務(wù)的相關(guān)軟硬件產(chǎn)品也獲得了長足的發(fā)展。
現(xiàn)今的IDC市場基本上已經(jīng)到了缺乏有效的拒絕服務(wù)攻擊防御手段將無法進(jìn)行穩(wěn)定的IDC業(yè)務(wù)運(yùn)營的境地。
近年來,隨著木馬、病毒的日益泛濫,互聯(lián)網(wǎng)拒絕服務(wù)攻擊的頻度和攻擊流量也隨之急速增加,在攻擊方式、攻擊技術(shù)和攻擊資源不斷成熟的同時,抗拒絕服務(wù)的相關(guān)軟硬件產(chǎn)品也獲得了長足的發(fā)展。現(xiàn)今的IDC市場基本上已經(jīng)到了缺乏有效的拒絕服務(wù)攻擊防御手段將無法進(jìn)行穩(wěn)定的IDC業(yè)務(wù)運(yùn)營的境地。
但拒絕服務(wù)防御產(chǎn)品種類繁多,價格差異也非常大,從幾百元安裝在目標(biāo)服務(wù)器上對單臺服務(wù)器進(jìn)行保護(hù)的軟件防火墻到幾萬甚至十幾萬元的百兆、千兆硬件防火墻,包括新出現(xiàn)的提供硬件防火墻方案并協(xié)助客戶DIY硬件防火墻的實(shí)惠的替代方案等,客戶往往無所適從,尤其對DIY硬件防火墻所使用的相關(guān)技術(shù)、防御能力等不了解,使其在選擇時往往無所適從。
在使用過各種拒絕服務(wù)攻擊DDOS防火墻防御產(chǎn)品和方案后,本文筆者將就現(xiàn)今主流的拒絕服務(wù)攻擊方式、相應(yīng)防御手段及對應(yīng)的防御策略來剖析現(xiàn)今各種主流攻擊防御手段的優(yōu)劣因?yàn)榫芙^服務(wù)攻擊,IDC行業(yè)進(jìn)入門檻無形被提升了許多。對IDC市場了解的投資者在進(jìn)行IDC機(jī)房投資時時不得不考慮相應(yīng)的拒絕服務(wù)攻擊防御策略。目前可供選擇的拒絕服務(wù)攻擊(DDoS)解決方案大概分為:
1、 軟件防火墻解決方案
2、 硬件防火墻解決方案
3、 DIY硬件防火墻解決方案
第一節(jié) 成本比較
對于IDC運(yùn)營而言,從成本和防御特點(diǎn)上分線,其優(yōu)缺點(diǎn)如下:
1、 軟件防火墻解決方案因?yàn)槭前惭b在被保護(hù)的服務(wù)器上,其防御能力和防御區(qū)域有限,在攻擊流量稍大的情況下,對目標(biāo)服務(wù)器硬件資源占用嚴(yán)重,且如果機(jī)房服務(wù)器數(shù)量較多,整體成本也很高。但軟件防火墻安裝方便,不用動硬件設(shè)備,部署很靈活。
2、 硬件防火墻是目前IDC廣泛采用且能起到實(shí)際效果的防御方案,其缺點(diǎn)是投資成本過高,中小IDC很難接受,購買成本一般在百兆產(chǎn)品在2-4萬元,千兆在6-8萬元左右。如果需要對高帶寬進(jìn)行防御,群集成本更高。
3、 新出現(xiàn)的DIY硬件防火墻方案。和軟件防火墻不同,DIY硬件防火墻方案是通過安裝在客戶自行準(zhǔn)備的硬件平臺上的內(nèi)核軟件實(shí)現(xiàn)和一般硬件防火墻相同的防御能力和防御功能。由于硬件平臺有用戶自行準(zhǔn)備,所以可以利用現(xiàn)有設(shè)備,將整體擁有成本降至最低。一般而言,百兆防御成本大概為1000元每機(jī)房每月,千兆防御為1500元每月。
對于防御能力而言,軟件防火墻因?yàn)槠淠J缴系娜毕荩瑹o法對整個機(jī)柜或機(jī)房建立保護(hù),過濾攻擊數(shù)據(jù)包時消耗的系統(tǒng)資源也會影響目標(biāo)系統(tǒng)的正常應(yīng)用,所以在這里不予評價。
現(xiàn)在硬件防火墻全部是X86架構(gòu),通俗來說,防火墻硬件就是一臺電腦,并不是專門用于網(wǎng)絡(luò)處理的專用處理芯片,和DIY硬件防火墻防御模式相同,均能對整個機(jī)柜和機(jī)房進(jìn)行保護(hù),并能群集防御高流量攻擊,所以我們將視線集中在硬件防火墻和DIY硬件防火墻上。
防御能力及整體擁有成本對比:
從擁有成本對表表格來看,硬件防火墻作為主流防御手段,其整體擁有成本也很高,作為折中方案的DIY硬件防火墻,其提供的按月收取服務(wù)費(fèi)的方式倒是很好的解決了IDC面臨的資金壓力和投資風(fēng)險等問題。
第二節(jié) 防御功能對比(攻擊方式篇)
談到防御功能,我們就不能不分析一下目前國內(nèi)互聯(lián)網(wǎng)上主要的拒絕服務(wù)攻擊手段,現(xiàn)今互聯(lián)網(wǎng)上主要使用的攻擊手段有:SYN-FLOOD:老牌DDOS攻擊方式,利用TCP協(xié)議三次握手的弱點(diǎn)發(fā)起的攻擊,特點(diǎn)是攻擊源地址是虛假地址,不容易跟蹤到攻擊源。攻擊者在單位時間內(nèi)構(gòu)造的TCP-SYN數(shù)據(jù)包數(shù)量越多,其攻擊效果就越顯著。
單一原址SYN攻擊:針對目前群集DDOS防火墻防御利用三層交換設(shè)備(如Cisco三層交換機(jī))進(jìn)行端口聚合和負(fù)載均衡時均衡算法的漏洞,使用真實(shí)的或者虛擬成單一源地址和相同的源端口進(jìn)行攻擊。此種攻擊方式在大部分三層交換設(shè)備上會通過單一線路進(jìn)行交換,從而削弱群集防御的效果。
真實(shí)原址SYN攻擊:針對某些軟件防火墻和硬件防火墻的防御原理,專門針對防火墻的反向?qū)ぶ贩烙绞桨l(fā)起的攻擊方式。最近兩年網(wǎng)絡(luò)傀儡機(jī)價值鏈的建立,使得真實(shí)原址SYN攻擊成為現(xiàn)在互聯(lián)網(wǎng)上較多的一種攻擊方式,攻擊者通過控制的眾多的傀儡機(jī)進(jìn)行攻擊數(shù)據(jù)包的發(fā)送。
SYN大包攻擊:和一般SYN攻擊不同,SYN大包攻擊是通過構(gòu)造超大的TCP數(shù)據(jù)包,造成被攻擊目標(biāo)網(wǎng)絡(luò)堵塞的方式達(dá)到攻擊效果,和普通SYN不同,發(fā)起同樣流量的攻擊,發(fā)送超大數(shù)據(jù)包占用發(fā)送端的系統(tǒng)資源更少。
UDP大包攻擊:相對于TCP協(xié)議數(shù)據(jù)包而言,攻擊端僅需要更少的系統(tǒng)資源就能構(gòu)建出UDP數(shù)據(jù)包,這也為攻擊者大肆發(fā)送UDP攻擊包提供了條件,UDP攻擊一般是通過超大數(shù)據(jù)包堵塞網(wǎng)絡(luò)帶寬來實(shí)現(xiàn)。
代理CC攻擊:最初由中華攻客的攻擊軟件引發(fā)的互聯(lián)網(wǎng)大量代理CC攻擊。通過收集互聯(lián)網(wǎng)上出現(xiàn)的大量免費(fèi)開放代理服務(wù)器,通過對這些服務(wù)器提交大量針對攻擊目的地址的訪問請求,由代理服務(wù)器中轉(zhuǎn)進(jìn)行的攻擊。代理CC攻擊因其發(fā)起端僅需要一條普通寬帶線路,其攻擊地址又是真實(shí)地址(代理服務(wù)器地址),曾一度使得眾多網(wǎng)絡(luò)運(yùn)營者深受其害。
SYN-ACK、PSH-ACK等:針對TCP連接的各種弱點(diǎn)發(fā)起的攻擊方式。
傳奇DB攻擊:專門針對傳奇數(shù)據(jù)庫的攻擊方式,也是由中華攻客最先寫的攻擊程序,其攻擊方式是模擬傳奇客戶段賬號創(chuàng)建動作,使得傳奇服務(wù)器癱瘓。
傳奇刷小人攻擊:通過不停的上下線和模擬登陸,使得傳奇服務(wù)器癱瘓。
以上的相關(guān)內(nèi)容就是對主流硬件DDOS防火墻防御功能對比的介紹,望你能有所收獲。
【編輯推薦】
