产品介绍
2001年5月:“黑洞”开发项目组成正式成立。
2002年4月:“黑洞”产品突破技术瓶颈,并申请国家发明专利。
2002年8月:“黑洞”取得销售许可证,随即申请著作权登记和软件产品登记。
2002年9月:“黑洞”千兆级产品隆重推出。
2002年12月:“黑洞”自发布后,成功地为数十个用户抵御了DOS攻击。
2003年5月:“黑洞”千兆级产品成功应用于A级骨干ICP服务商和ISP运营商。
2004年3月:“黑洞”在政府、电信、金融、ICP等行业项目中得到广泛认同。
一、简介
绿盟科技从2001年5月开始进行针对DoS攻击的产品研发,次年,公司完成了抗拒绝服务攻击的克星—“黑洞Collapasar”的全部研发工作,并申请了国家发明专利。
2002年9月黑洞正式推向市场,面世后屡建奇功:国内虚拟主机提供商的网络环境曾每天遭受几如暴风骤雨的DoS/DDoS攻击,是黑洞助其风雨无阻;某省高考查询站点曾被人用DoS攻击造成瘫痪,直接影响高考查分,是黑洞帮助抵御攻击并协助抓住黑手;某游戏网站受到竞争对手的DoS暗算,是绿盟科技用黑洞助其迅速恢复营业......两年来黑洞已经多次在客户面临困境时挺身而出,每每化解攻击于无形,成为名副其实消融DoS/DDoS的“黑洞”。黑洞的特性功能已经达到国际一流水平,备受用户的欢迎和推崇。
二、DoS攻击简述
DoS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。
由于一些网络通讯协议本身固有的缺陷,拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机付出很大的资源开销,因此攻击方往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击(分布式拒绝服务攻击),通过控制多台傀儡主机策划进攻,更加强了攻击的破坏性,甚至可以造成一些包括防火墙、路由器在内的网络设备瘫痪。可以假想一个公用电话呼叫服务系统(如119报警台),如果遭遇恶意地不间断拨打骚扰电话,就可能造成电话系统繁忙,从而阻塞正常的电话请求,造成呼叫中心无法为正常的用户请求服务。DoS攻击就是类似形式的恶意网络行为。
DoS攻击特点
难于防范:最严重的拒绝服务攻击大都基于协议层缺陷,无法用系统升级和打补丁的方式预防。
破坏力强:全球诸多大型网络服务商都曾饱受其害,包括Yahoo(雅虎)、Amazon(亚马逊)、Microsoft(微软)、Ebay、美国白宫等等,国内受害单位也不在少数。
易于发动:攻击门槛低,攻击工具已经泛滥,具有初级安全知识的人就可以很容易策动和实施危害很大的攻击。
追查困难:多数DoS攻击很难追查。
危害面广:除了导致主机宕机外,还可能导致整个网络瘫痪。
三、目前的防护手段及局限性
防护手段
|
要求
|
局限性
|
系统优化
|
高水平的技术专家,能够根据攻击迅速确定攻击类型和通路,并对各种操作系统核心的配置了如指掌,同时能够根据己方所提供的服务类型和侧重点选择防护和退让策略。
|
只能抵抗一些小规模的攻击。大部分保护主机的防护算法,如Random Drop是以牺牲部分甚至全部正常访问为代价的,对高可靠性商业网络而言是不能采纳的。
|
路由器优化
|
需要得到攻击路径中上级的网络设备服务商支持。
|
一些路由器自身的保护策略是以牺牲正常访问为代价的,并不能智能识别攻击和正常访问 。
|
退让策略
|
采用DNS轮循,或者通过负载均衡、Cluster等技术增加响应主机数量,增加系统资源,从而提升抗打击能力。
|
需要相当大的资金投入和资源投入 。
|
有抗DoS能
力的防火墙
|
能够防护一些低规模的拒绝服务攻击,配置和操作相当简单 。
|
防火墙作为通用网络安全产品,在防DoS方面不可能达到产品的性能和效率,对大规模的DoS攻击是无能为力的,甚至会成为攻击目标。
|
COLLAPSAR-1000黑洞千兆产品
四、黑洞所带来的防护
即插即用:无需配置即可实现全面防护(也可通过配置实现特殊防护策略)。
自身安全:无IP地址,网络隐身。
能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。
可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。
可以防护DNS Query Flood,保护DNS服务器正常运行。
可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。
黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器。
核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN
Cookie和Random Drop等算法。
使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
图一、黑洞的核心技术架构示意图
能够保护网络主机、路由器、防火墙等网络设备,以及整个子网。
能够通过主机识别技术保护指定的主机和子网。
基于Web的纯中文操作界面,方便操作。
强大的日志审计功能(图二),可以清晰查询攻击类型和攻击来源,可以监控到整个网络的流量动态(图三),并进行分析。
图二、日志审计功能
图三、实时流量显示
自动提醒机制:在对攻击行为进行防御的同时,也可以通过电子邮件的方式向网络管理员进行报警。
五、性能指标
以下测试环境为:局域网、100M交换环境、黑洞百兆产品,测试所用报文皆为64字节大小的SYN报文。
测试网络拓扑图如图2所示。
第一次测试
|
Syn报文发送量
|
连接丢失率
|
发起连接成功率
|
响应时间
|
Collapsar-200 |
2万pps |
0% |
100% |
小于1秒 |
Collapsar-600 |
2万pps |
0% |
100% |
小于1秒 |
第二次测试
|
Syn报文发送量
|
连接丢失率
|
发起连接成功率
|
响应时间
|
Collapsar-200 |
6万pps |
0% |
100% |
2-3秒 |
Collapsar-600 |
6万pps |
0% |
100% |
2-3秒 |
第三次测试
|
Syn报文发送量
|
连接丢失率
|
发起连接成功率
|
响应时间
|
Collapsar-200 |
12万pps |
0% |
100% |
3-5秒 |
Collapsar-600 |
14万pps |
0% |
100% |
3-5秒 |
第三次测试为发包器直接连接到黑洞。
六、典型实施方法
下图1是没有接入黑洞的网络拓扑,图2是接入黑洞的网络拓扑。
图1 接入Collapsar之前
图2 接入Collapsar之后
可以把黑洞想象成一段网线,放在第三方Firewall的前面,便可提供Anti-DDoS功能,保护防火墙和服务器,如图3所示。
图3 与第三方Firewall组合
七、应用
中国银河证券 海通证券 华泰证券 安联大众 中国联通 上海电信 湖北电信 重庆网通 中外运 万网科技
新网 光通通信
|