《計算機網路攻擊與防範》是一本從實戰出發,以套用為目的,以防範手段為重點,集理論性、實戰性、套用性和操作性為一體,緊密跟蹤計算機網路安全領域的熱點問題、難點問題和最新防範技術運用的教材。教材從套用的角度,系統介紹了計算機網路攻擊與防範所涉及的基礎理論、攻擊手段和防範技術。通過理論學習、實戰演練,讀者能夠綜合運用書中所講授的技術進行網路攻擊與防範方面的實踐。
基本介紹
- 書名:計算機網路攻擊與防範
- ISBN:9787562032373
- 出版社:中國政法大學出版社
- 出版時間:1970-1-1
序言,3.1攻擊影響,3.2攻擊分析,3.3 DDOS攻擊的發展趨勢,4.1 行業內的安全分析,5.1 現狀分析,5.2 受到攻擊的現象,5.3 DDOS防護的必要性,5.4 當前防護手段的不足,5.4.1手工防護,5.4.2退讓策略,5.4.3路由器,5.4.4防火牆,5.4.5入侵檢測,6.1 DDOS防護的基本要求及解決目標,6.2方案描述,6.3產品部署,6.4方案特點,6.5 方案產品介紹,7.1產品功能,7.2防護原理,7.3精確的DDoS攻擊識別與清洗,7.4方便的域名管理功能,7.6自定義規則方便對未知攻擊的防範,7.7靈活多樣的管理與維護功能,7.8黑白名單管理,7.9靈活的部署方式,
序言
隨著計算機網路技術的迅速發展,網路在經濟、軍事、文教、金融、商業等諸多領域得到廣泛套用,可以說網路無處不在,它正在改變我們的工作方式和生活方式。計算機網路在給人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。如何保護個人、企業、國家的機密信息不受黑客和間諜的入侵,如何保證計算機網路安全並不間斷地工作,是國家和單位信息化建設必須考慮的重要問題。然而,計算機網路的安全是一個錯綜複雜的問題,涉及面非常廣,既有技術因素,又有管理因素;既有自然因素,又有人為因素;既有外部的安全威脅,又有內部的安全隱患。
本教材作為計算機網路安全的專門教材,結合高職高專學生的實際情況,著重從實踐角度講解了網路安全概念、網路安全威脅、常見網路攻擊手段、網路安全標準、網路安全防範策略及最新的網路安全防範技術。全書共分13章:第1章為計算機網路安全概述,對網路安全所涉及的相關問題進行了概要性描述;第2章主要介紹了計算機病毒與防治;第3章介紹了Windows 2000系統的安全防範;第4章介紹了Web套用服務安全防護手段;第5章介紹了資料庫安全防範措施;第6章介紹了常見網路攻擊的手段與防範方法;第7章-第11章分別介紹了“信息加密與PKI”、“訪問控制技術”、“防火牆技術”、“入侵檢測技術”、“VPN技術”等網路安全防範技術;第12章重點介紹了作為保證數據有效性、提高系統可靠性的重要手段——各份技術與災難恢復策略。
一、公司簡介 3
二、 DDOS概述 4
三、DDoS的形勢及趨勢 5
3.1 攻擊影響 5
3.2攻擊分析 6
3.3 DDOS攻擊的發展趨勢 7
四、網際網路安全現狀 7
4.1 行業內的安全分析 8
5.1 現狀分析 9
DDOS模擬攻擊圖 9
5.2 受到攻擊的現象 10
5.3 DDOS防護的必要性 10
5.4 當前防護手段的不足 11
5.4.1手工防護 11
5.4.2退讓策略 11
5.4.3 路由器 11
5.4.4防火牆 12
5.4.5入侵檢測 13
六、金盾抗拒絕服務系統解決方案 14
6.1 DDOS防護的基本要求及解決目標 17
6.2方案描述 17
6.3產品部署 18
6.4方案特點 18
6.5 方案產品介紹 19
七、金盾抗拒絕服務系統產品介紹 25
7.1產品功能 25
7.2防護原理 26
7.3精確的DDoS攻擊識別與清洗 26
7.4方便的域名管理功能 27
7.6自定義規則方便對未知攻擊的防範 27
7.7靈活多樣的管理與維護功能 28
7.8黑白名單管理 28
7.9靈活的部署方式 28
八、金盾資質與成功案例 30
九、售後服務 35
十、價格表.......................................................................................................................................36
一、公司簡介 安徽中新軟體有限公司(簡稱“中新軟體”)是集網路安全產品、軟硬體開發的高科技公司。作為在國內最早具有自主研發實力的企業,中新軟體在解決國內抗拒絕服務攻擊技術層面一直處於領先地位。同時,為全國各地的客戶提供完善的網路安全設備、解決方案和升級服務,持續為客戶創造長期價值。
中新軟體科技研發中心位於合肥市高新技術開發區機電產業園內,大廈建築結構為主附樓各六層,總面積6000平方。中新軟體大廈內部擁有一整套的員工福利設施,更加完善了公司的管理體制,為員工提供了更便捷、更優質的工作環境。同時,為公司日後深入開展自主研發科學技術創新事業,築造了更優越的平台。
隨著公司事業的不斷擴展,中新軟體在北京、上海、天津、南京、廣州、成都、寧波、廈門已有多家直屬分公司,並已成功進入韓國市場。各地分公司均為當地以及周邊地區提供了一整套的服務設施,其良好的經營業績和售後服務得到客戶肯定的口碑。中新產品在電信、網通移動機房、中小型IDC企業和個人用戶中獲得一致好評,同時,也與諸多省市公安局網監支隊建立長期穩定的合作業務關係。
中新軟體的事業就像一艘乘風破浪的帆船,永遠向著更高的目標不斷奮進,造福社會,它既是一個充滿活力,又是具有發展前景的持續成長性公司。面對未來,中新軟體以組織創新為保障、以技術創新為手段、以市場創新為目標,提高企業核心競爭力,努力實現新跨越,確保企業全面和諧的持續發展。
中新軟體的事業就像一艘破浪的帆船永遠向著更高的目標不斷奮進,造福社會。 中新軟體既是一個充滿活力,又是具有發展前景的持續成長性公司。公司各個部門盡職盡能,精益求精,發揮團隊合作,致力於達到客戶滿意的目標。面對未來,中新軟體以組織創新為保障、以技術創新為手段、以市場創新為目標,提高企業核心競爭力,努力實現新跨越,確保企業全面協調持續發展。
發展理念 --自強不息、堅韌不拔、勇於創新、講究實效
把創新作為企業發展的基礎,把至善至美、精益求精作為追求目標,立足於過去、邁向未來,追求卓越永遠奮進。
管理理念 --文化的薰陶 制度的約束
把企業文化看作管理的最高境界,通過公司企業文化的薰陶來求得員工在價值觀、事業觀等方面的共識,培養員工敬業愛崗的精神,促進公司與員工的共同進步
服務理念 --客戶是永遠的上帝,客戶的滿意是我們永遠的追求
一切圍繞客戶的需求,把服務跟隨產品貫穿前後,以"客戶的滿意是我們永遠的追求"作為工作的準則。
我們的服務定義是:
專心、專注、專業
惟其以唯一性,並與用戶做到最充分的融合,
我們才能一起打造出最完美的品牌
我們的服務宗旨-承諾:
客戶至上,服務第一
只要您一個電話,剩下的事由金盾來做
我們一直希望告訴您:
除了專業的工作、高效的服務和真誠的溝通外,還有我們火一樣的熱情和一顆與您一起在網路安全行業舞台上演繹輝煌的心。
二、DDOS概述
什麼是DDoS?DDoS是英文Distributed Denial of Service的縮寫,意即"分散式拒絕服務",DDoS的中文名叫分散式拒絕服務攻擊,俗稱洪水攻擊。攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DOS攻擊,從而成倍地提高拒絕服務攻擊的威力。
拒絕服務攻擊(DOS/DDOS)是近年來愈演愈烈的一種攻擊手段,其主要目的是造成目標主機的TCP/IP協定層擁塞、或者導致套用層異常終止而形成拒絕服務現象。已知的DOS/DDOS攻擊方式主要有以下幾種:
Ø 利用TCP/IP協定的漏洞,消耗目標主機的系統資源,使其過度負載。此種攻擊也是最普遍存在的一種攻擊形式,攻擊者動輒發起幾十M甚至上百M上G的攻擊流量,造成目標的徹底癱瘓。常見的有SYN Flood,UDP Flood,ICMP Flood等等;
Ø 利用某些基於TCP/IP協定的軟體漏洞,造成套用異常。此種攻擊比較單一,通常是針對某個軟體的特定版本的攻擊,影響範圍較小,且具有時限性。但通常此種攻擊較難防治,漏洞查找較困難;
Ø 不斷嘗試,頻繁連線的野蠻型攻擊。此種攻擊早期危害有限,但隨著代理型攻擊的加入,已漸有成為主流之勢。常見的有web stress,CC Proxy Flood等。
隨著網路上各種業務的普遍展開,DOS/DDOS攻擊所帶來的損失也愈益嚴重。當前運營商、企業及政府機構的各種用戶時刻都面臨著攻擊的威脅,而可預期的更加強大的攻擊工具也會成批出現,此種攻擊只會數量更多、破壞力更強大,更加難以防禦。
正是DOS/DDOS攻擊難於防禦,危害嚴重,所以如何有效的應對DOS攻擊就成為對網路安全工作者的嚴峻挑戰。傳統網路設備或者邊界安全設備,諸如防火牆、入侵檢測系統,作為整體安全策略中不可缺少的重要模組,都不能有效的提供針對DOS攻擊完善的防禦能力。因此必須採用專門的機制,對攻擊進行檢測、防護、進而遏制這類不斷增長的、複雜的且極具隱蔽性的攻擊形為。
三、DDoS的形勢及趨勢DDoS攻擊一般通過Internet上那些“殭屍”系統完成,由於大量個人電腦聯入Internet,且防護措施非常少,所以極易被黑客利用,通過植入某些代碼,這些機器就成為DDoS攻擊者的武器。當黑客發動大規模的DDoS時,只需要同時向這些將殭屍機傳送某些命令,就可以由這些“殭屍”機器完成攻擊。隨著Botnet的發展,DDoS造成的攻擊流量的規模可以非常驚人,會給套用系統或是網路本身帶來非常大的負載消耗。
3.1攻擊影響
成功的DDoS攻擊所帶來的損失是巨大的。DDoS攻擊之下的入口網站性能急劇下降,無法正常處理用戶的正常訪問請求,造成客戶訪問失敗;服務質量協定(SLA)也會受到破壞,帶來高額的服務賠償。同時,公司的信譽也會蒙受損失,而這種危害又常常是長期性的。利潤下降、生產效率降低、IT開支增高以及相應問題訴諸法律而帶來的費用增加等等,這些損失都是由於DDoS攻擊造成的。
3.2攻擊分析
那么DDoS攻擊究竟如何工作呢?通常而言,網路數據包利用TCP/IP協定在Internet傳輸,這些數據包本身是無害的,但是如果數據包異常過多,就會造成網路設備或者伺服器過載;或者數據包利用了某些協定的缺陷,人為的不完整或畸形,就會造成網路設備或伺服器服務正常處理,迅速消耗了系統資源,造成服務拒絕,這就是DDoS攻擊的工作原理。DDoS攻擊之所以難於防護,其關鍵之處就在於非法流量和合法流量相互混雜,防護過程中無法有效的檢測到DDoS攻擊,比如利用基於模式匹配的IDS系統,就很難從合法包中區分出非法包。加之許多DDoS攻擊都採用了偽造源地址IP的技術,從而成功的躲避了基於異常模式監控的工具的識別。
一般而言,DDoS攻擊主要分為以下三種類型:
頻寬型攻擊——這類DDoS攻擊通過發出海量數據包,造成設備負載過高,最終導致網路頻寬或是設備資源耗盡。通常,被攻擊的路由器、伺服器和防火牆的處理資源都是有限的,攻擊負載之下它們就無法處理正常的合法訪問,導致服務拒絕。
流量型攻擊最通常的形式是FLOODING方式,這種攻擊把大量看似合法的TCP、UDP、ICPM包傳送至目標主機,甚至,有些攻擊還利用源地址偽造技術來繞過檢測系統的監控。
套用型攻擊——這類DDoS攻擊利用了諸如TCP或是HTTP協定的某些特徵,通過持續占用有限的資源,從而達到阻止目標設備無法處理處理正常訪問請求的目的,比如HTTP Half Open攻擊和HTTP Error攻擊就是該類型的攻擊。
漏洞型攻擊——利用系統缺陷,傳送針對性的攻擊報文,使得目標系統癱瘓,最終拒絕服務。
3.3 DDOS攻擊的發展趨勢
DDoS攻擊有兩個發展趨勢:其一是黑客不斷採用更加複雜的欺騙技術,用於躲避各類防護設備檢測;其二是DDoS攻擊更多地採用了合法協定構造攻擊,比如利用某些遊戲服務的驗證協定等。這些技術的使用造成DDoS攻擊更加隱蔽,也更具有破壞性。尤其是那些利用了合法套用協定和服務的DDoS攻擊,非常難於識別和防護,而採用傳統包過濾或限流量機制的防護設備只能更好的幫助攻擊者完成DDoS攻擊。
四.網際網路安全現狀,我國網路安全勢態嚴峻。據工信部日前透露,1月4日至10日,我國境內被篡改的政府網站數量為178個,與前一周相比大幅增長409%。此訊息的依據來自於國家網際網路應急中心的監測結果。緊接著,全球最大的中文搜尋引擎百度也遭遇攻擊,從而導致用戶不能正常訪問。眾多網站最近頻遭網路攻擊的訊息,不禁引起業界及廣大網民的深刻反思:“我們的網際網路真的安全嗎?”
據中國網際網路信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國網際網路呈現出前所未有的發展與繁榮。
然而,在高速發展的背後,我們不能忽視的是網際網路安全存在的極大漏洞,期盼網際網路增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視網際網路安全刻不容緩!”
顯然,網際網路以其網路的開放性、技術的滲透性、信息傳播的互動性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網路信息安全問題日益突出,如不及時採取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網路安全工作,創建一個健康、和諧的網路環境,需要我們深入研究,落實措施。
4.1 行業內的安全分析
入口網站— — 作為大型企業入口網站,首要目的是要展示企業的形象,宣傳企業文化擴大行業內的影響力。網站注重企業的穩定性和豐富的信息量網站主要是為瀏覽者提供信息服務的,作為大型企業信息入口網站,必須首先提供種類繁多內容豐富的資訊,使不同的訪問者都能夠訪問到自己想要的信息。此行業如果遭受DDOS攻擊,嚴重影響企業網站形象,部分客戶流失。
電子商務網站——電子商務網站是黑客經常實施DDoS攻擊的對象,其在DDoS防護方面的投資非常有必要。如果一個電子商務網站遭受了DDoS攻擊,則在系統無法提供正常服務的時間內,由此引起的交易量下降、廣告損失、品牌損失、網站恢復的代價等等,都應該作為其經濟損失計算在內,甚至有些黑客還利用DDoS攻擊對網站進行敲詐勒索,這些都給網站的正常運營帶來極大的影響,而DDoS防護措施就可以在很大程度上減小這些損失;另一方面,這些防護措施又避免了遭受攻擊的網站購買額外的頻寬或是設備,節省了大量重複投資,為客戶帶來了更好的投資回報率。
企業/政府網路——對於企業或政府的網路系統,一般提供內部業務系統或網站的Internet出口,雖然不會涉及大量的Internet用戶的訪問,但是如果遭到DDoS攻擊,仍然會帶來巨大的損失。對於企業而言,DDoS攻擊意味著業務系統不能正常對外提供服務,勢必影響企業正常的生產;政府網路的出口如果遭到攻擊,將會帶來重大的政治影響,這些損失都是可以通過部署DDoS防護系統進行規避的。
遊戲行業---- 特點是,頻寬大、流量大、伺服器分布廣、人群集中。 網路遊戲運營公司的遊戲伺服器遭到黑客的DDOS攻擊後,將造成伺服器癱瘓和網路中斷等事故,使遊戲伺服器無法對外提供正常服務,眾多玩家無法登入官網,無法進入遊戲,直接造成遊戲運營公司的經濟損失,同樣造成遊戲玩家的大量流失。
五.安全威脅分析
5.1 現狀分析
DDOS模擬攻擊圖 客戶拓撲如上圖所示:核心交換機與上層核心路由器直連,針對現在網路上的DDOS攻擊沒有任何的保護。當今的DDoS攻擊更具破壞性,目的性也更加明確。這些攻擊可以輕易的躲避過常見防護技術或者設備的檢查,甚至直接打擊通用的防護設備本身。使用看似合法的連結請求、利用大量的殭屍主機、傳送攜帶偽造標識的數據報文等手段使得對攻擊的辨別和阻斷愈來愈困難。而常見的也容易實施的SYN攻擊是利用TCP協定缺陷,通過傳送大量的半連線請求,耗費CPU和記憶體資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火牆等網路系統,事實上SYN攻擊並不管目標是什麼系統,只要這些系統打開TCP服務就可以實施。還有的半連線攻擊如udp,icmp、碎片等攻擊實施起來也很方便,從而達到頻寬堵死、伺服器資源耗盡造成拒絕服務。所以當今網路出現的DDOS大規模攻擊會嚴重影響到整條線路及下面伺服器的正常工作,甚至於整個機房的斷網。另外網路上經常出現的CC攻擊也是威脅伺服器安全的重要因素,CC攻擊是利用對交換機下伺服器某連線埠進行的連線攻擊,出現的現象是沒受攻擊之前連線到服務上的連線可以正常訪問,但遭受攻擊以後造成正常連線無法訪問,頻寬表現並無異常,在其它設備上可以看到連線數非常大。人工無法判斷正常和異常的非法連線。所以CC攻擊也是威脅網路安全的重要隱患。
5.2 受到攻擊的現象
當伺服器主機被DOS/DDOS攻擊時,主要有如下現象:
Ø 被攻擊主機上有大量等待的TCP連線
Ø CPU占用率達到100%,嚴重時會當機
Ø 網路中充斥著大量的無用的數據包,源地址為偽造
Ø 高流量無用數據,網路擁塞,受害主機無法正常和外界通訊
成功的DDOS攻擊將造成網路服務商的巨大損失,客戶訪問失敗,服務質量受損。同時,公司的信譽也會受到影響。而這種危害又常常是長期性的,形成惡性循環。
5.3 DDOS防護的必要性
任何需要通過網路提供服務的業務系統,不論是處於經濟原因還是其他方面,都應該對DDoS攻擊防護的投資進行考慮。大型企業、政府組織以及服務提供商都需要保護其基礎業務系統(包括Web、DNS、Mail、交換機、路由器或是防火牆)免受DDoS攻擊的侵害,保證其業務系統運行的連續性。雖然DDoS防護需要增加運營成本,但是從投資回報率上進行分析,可以發現這部分的投資是值得的。
5.4 當前防護手段的不足
雖然網路安全產品的種類非常多,但是對於DDOS攻擊卻一籌莫展。常見的防火牆、入侵檢測、路由器等,由於設計之初就沒有考慮相應的DDOS防護,所以無法針對複雜的DDOS攻擊進行有效的檢測和防護。而至於退讓策略或是系統調優等方法只能應付小規模DDOS攻擊,對大規模DDOS攻擊還是無法提供有效的防護。
5.4.1手工防護
一般而言手工方式防護DDoS主要通過兩種形式:
系統最佳化——主要通過最佳化被攻擊系統的核心參數,提高系統本身對DDoS攻擊的回響能力。但是這種做法只能針對小規模的DDoS進行防護,當黑客提高攻擊的流量時,這種防護方法就無計可施了。
網路追查——遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網路運營商,這有可能是ISP、IDC等,目的就是為了弄清楚攻擊源頭。但是如果DDoS攻擊流量的地址是偽造的,那么尋找其攻擊源頭的過程往往涉及很多運營商以及司法機關。再者,即使已經確定了攻擊源頭,進而對其流量進行阻斷,也會造成相應正常流量的丟失。加之Botnet以及新型DrDoS攻擊的存在,所以通過網路追查來防護DDoS攻擊的方法沒有任何實際意義。
5.4.2退讓策略
為了抵抗DDoS 攻擊,客戶可能會通過購買冗餘硬體的方式來提高系統抗DDoS的能力。但是這種退讓策略的效果並不好,一方面由於這種方式的性價比過低,另一方面,黑客提高供給流量之後,這種方法往往失效,所以不能從根本意義上防護DDoS攻擊。
5.4.3路由器
通過路由器,我們確實可以實施某些安全措施,比如ACL等,這些措施從某種程度上確實可以過濾掉非法流量。一般來說,ACL可以基於協定或源地址進行設定,但是眾多的DDoS攻擊採用的是常用的一些合法協定,比如http協定,這種情況下,路由器就無法對這樣的流量進行過濾。同時,如果DDoS攻擊如果採用地址欺騙的技術偽造數據包,那么路由器也無法對這種攻擊進行有效防範。
另一種基於路由器的防護策略是採用Unicast Reverse Path Forwarding (uRPF)在網路邊界來阻斷偽造源地址IP的攻擊,但是對於今天的DDoS攻擊而言,這種方法也不能奏效,其根本原因就在於uRPF的基本原理是路由器通過判斷出口流量的源地址,如果不屬於內部子網的則給予阻斷。而攻擊者完全可以偽造其所在子網的IP位址進行DDoS攻擊,這樣就完全可以繞過uRPF防護策略。除此之外,如果希望uRPF策略能夠真正的發揮作用,還需要在每個潛在攻擊源的前端路由器上配置uRPF,但是要實現這種情況,現實中幾乎不可能做到。
5.4.4防火牆
防火牆幾乎是最常用的安全產品,但是防火牆設計原理中並沒有考慮針對DDoS攻擊的防護,在某些情況下,防火牆甚至成為DDoS攻擊的目標而導致整個網路的拒絕服務。
首先是防火牆缺乏DDoS攻擊檢測的能力。通常,防火牆作為三層包轉發設備部署在網路中,一方面在保護內部網路的同時,它也為內部需要提供外部Internet服務的設備提供了通路,如果DDoS攻擊採用了這些伺服器允許的合法協定對內部系統進行攻擊,防火牆對此就無能為力,無法精確的從背景流量中區分出攻擊流量。雖然有些防火牆內置了某些模組能夠對攻擊進行檢測,但是這些檢測機制一般都是基於特徵規則,DDoS攻擊者只要對攻擊數據包稍加變化,防火牆就無法應對,對DDoS攻擊的檢測必須依賴於行為模式的算法。
第二個原因就是傳統防火牆計算能力的限制,傳統的防火牆是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。而DDoS攻擊中的海量流量會造成防火牆性能急劇下降,不能有效地完成包轉發的任務。
最好防火牆的部署位置也影響了其防護DDoS攻擊的能力。傳統防火牆一般都是部署在網路入口位置,雖然某種意義上保護了網路內部的所有資源,但是其往往也成為DDoS攻擊的目標,攻擊者一旦發起DDoS攻擊,往往造成網路性能的整體下降,導致用戶正常請求被拒絕。
5.4.5入侵檢測
IDS系統是最廣泛的攻擊檢測工具,但是在面臨DDoS攻擊時,IDS系統往往不能滿足要求。
原因其一在於入侵檢測系統雖然能夠檢測套用層的攻擊,但是基本機制都是基於規則,需要對協定會話進行還原,但是DDoS攻擊大部分都是採用基於合法數據包的攻擊流量,所以IDS系統很難對這些攻擊有效檢測。雖然某些IDS系統本身也具備某些協定異常檢測的能力,但這都需要安全專家手工配置才能真正生效,其實施成本和易用性極低。
原因之二就在於IDS系統一般對攻擊只進行檢測,但是無法提供阻斷的功能。IDS系統需要的是特定攻擊流檢測之後實時的阻斷能力,這樣才能真正意義上減緩DDoS對於網路服務的影響。
IDS系統設計之初就是作為一種基於特徵的套用層攻擊檢測設備。而DDoS攻擊主要以三層或是四層的協定異常為其特點,這就注定了IDS技術不太可能作為DDoS的檢測或是防護手段。
六.金盾抗拒絕服務系統解決方案 解決方案1:基於金盾JDFW500+ 抗DDOS拒絕服務系統的串聯部署
方案說明:
◆ 在數據中心與外部Internet 連線處(核心交換機上層)安裝金盾抗DDOS拒絕服務系統,切斷與外網的直接相連,使所有流入/流出的數據流先經過抗拒絕服務系統過濾,確認正常的數據包放行,異常的丟棄。
◆ 上游流入核心交換機的流量不大於100M,因此我們選擇金盾JDFW500+抗DDOS拒絕服務系統。經測試,500M網路環境下,該產品在平均490MBPS的DOS/DDOS流量攻擊下認可保證100%的連線成功率。
◆ 金盾抗拒絕服務防火牆採用透明模式接入,如一根導線接入網路,對DOS/DDOS攻擊進行檢測、分析和阻斷。該部署對原有的網路環境不做任何的調整。
◆ 將上層路由器/交換機的引出線接入防火牆的入口,將下層路由器/交換機的引出線接入防火牆的出口 。JDFW500+ 提供2個千兆電口(進出口)。
◆ 備註:
可選擇的部署方式:單機串聯、雙機熱備、串聯集群及旁路部署。
解決方案2:基於金盾JDFW1000+ 抗DDOS拒絕服務系統的串聯部署
方案說明:
◆ 在數據中心與外部Internet 連線處(核心交換機上層)安裝金盾抗DDOS拒絕服務系統,切斷與外網的直接相連,使所有流入/流出的數據流先經過抗拒絕服務系統過濾,確認正常的數據包放行,異常的丟棄。
◆ 上游流入核心交換機的流量不大於100M,因此我們選擇金盾JDFW1000+ 抗DDOS防火牆。經測試,1000M網路環境下,該產品在平均900MBPS的DOS/DDOS流量攻擊下認可保證100%的連線成功率。
◆ 金盾抗DDOS防火牆採用透明模式接入,如一根導線接入網路,對DOS/DDOS攻擊進行檢測、分析和阻斷。該部署對原有的網路環境不做任何的調整。
◆ 將上層路由器/交換機的引出線接入抗拒絕服務系統的入口,將下層路由器/交換機的引出線接入抗拒絕服務系統的出口 。JDFW1000+ 提供2個千兆SPF插槽(進出口)。
◆ 備註:
可選擇的部署方式:單機串聯、雙機熱備、串聯集群及旁路部署。
解決方案3:基於金盾JDFW8000+ 抗DDOS拒絕服務系統的串聯部署(可選)
方案說明:
◆ 在數據中心與外部Internet 連線處(核心交換機上層)安裝金盾抗DDOS抗拒絕服務系統,切斷與外網的直接相連,使所有流入/流出的數據流先經過抗拒絕服務系統過濾,確認正常的數據包放行,異常的丟棄。
◆ 上游流入核心交換機的流量不大於100M,因此我們選擇金盾JDFW8000+ 抗DDOS抗拒絕服務系統。經測試,1000M網路環境下,該產品在平均900MBPS的DOS/DDOS流量攻擊下認可保證100%的連線成功率。
◆ 金盾抗DDOS抗拒絕服務系統採用透明模式接入,如一根導線接入網路,對DOS/DDOS攻擊進行檢測、分析和阻斷。該部署對原有的網路環境不做任何的調整。
◆ 將上層路由器/交換機的引出線接入防火牆的入口,將下層路由器/交換機的引出線接入防火牆的出口 。JDFW8000+ 提供2個千兆SPF插槽(進出口)。
◆ 備註:
可選擇的部署方式:單機串聯、雙機熱備、串聯集群及旁路部署。
可選配件:單/多模光纖模組、光電轉換器、冗餘電源、BYPASS交換機等。
關於金盾抗拒絕服務系統JDFW8000+ 簡介:
金盾抗拒絕服務系統JDFW8000+ 型號是一款比JDFW1000+ 性能更優,更穩定,全冗餘的千兆接入環境的抗拒絕服務系統。通過對自身效率的算法對數據包的多層深層次的攻擊檢測進行數據異常流量分析、套用層分析、主機識別、協定分析、指紋檢測、連線跟蹤、連線埠保護、流量控制及時迅速的檢測出已知ddos攻擊和潛在的ddos攻擊流量。具備千兆線速的高效率轉發以及超強攻擊防護能力。適合套用部署於千兆環境的電信運營商、大型企業、IDC機房、各類網際網路公司以及網路遊戲運營商的網路環境。
解決方案4:基於金盾JDFW1000+ 抗DDOS拒絕服務系統的串聯集群部署
方案說明:
單台金盾抗拒絕服務系統在無法處理更大流量的情況下,可使用金盾的集群方案,如上圖所示拓撲,科技網(或其他網等)和電信網(或其他網等)與金盾抗拒絕服務系統相連,接入到金盾抗拒絕服務系統的進口,每個出口集中連線到核心路由上,與金盾抗拒絕服務系統相連的路由分別做連線埠匯聚,實現流量負載均衡,讓流量平均分配到每台金盾抗拒絕服務系統來處理,數據回應時所走的路線可能和進來時不一樣,為了實現金盾抗拒絕服務系統對此連線信息的共享,及更為高效的處理流量,每台金盾抗拒絕服務系統之間還需要同步信息,通過心跳線連線。關於交換機的連線埠匯聚,由用戶自行設定,支持PAGP,LACP,負載均衡要求使用SRC_DST_IP模式。
金盾防火牆集群部署方案,採用多台1000+ 產品,基於嵌入式系統設計,在系統核心實現了防禦拒絕服務攻擊的算法,創造性地將算法實現在協定棧的最底層,避開了IP/TCP/UDP等高層系統網路堆疊的處理,使整個運算代價大大降低。並採用自主研發的高效的防護算法,效率極高。基於多台1000+ 形成的防禦集群,具有如下優勢:
1、 倍增的處理能力。由金盾1000+ 獨特的集群負載技術所形成的多台防禦系統,隨著防火牆數量的增加,處理能力隨之線性增強;
2、 避免單點故障。金盾防火牆1000+ 集群方案,基於802.3ad鏈路聚合實現流量分擔。基於此種聚合模式的系統具有動態聚合特性,可以有效避免單點故障;
3、 性能更高。金盾防火牆1000+ 集群方案在處理攻擊的時候採用內部自動分流多點模式,單台1000+ 在64位元組報文下達到0.8bps的處理能力;128位元組報文下達到0.9Gbps的處理能力;256以上位元組報文下達到0.99Gbps的處理能力;
解決方案5:基於金盾JDFW2000+抗DDOS拒絕服務系統的串聯部署
方案說明:
根據上面的拓撲圖,從科技網和電信網線到金盾抗拒絕服務系統進口, 金盾抗拒絕服務系統出口接入到下層核心路由器;由於金盾抗拒絕服務系統以透明網橋模式接入現有網路,所以不需更改用戶網路的任何設定。外網進來的流量直接到達到金盾抗拒絕服務系統的進口,由金盾抗拒絕服務系統對流量進行深層的檢測,預先對入侵活動和攻擊性網路流量進行攔截,執行過濾後,將流量由出口轉發到下層網路中。
6.1 DDOS防護的基本要求及解決目標
DDoS防護一般包含兩個方面:其一是針對不斷發展的攻擊形式,尤其是採用多種欺騙技術的技術,能夠有效地進行檢測;其二,也是最為重要的,就是如何降低對業務系統或者是網路的影響,從而保證業務系統的連續性和可用性。
完善的DDoS攻擊防護應該從四個方面考慮:
l 能夠從背景流量中精確的區分攻擊流量;
l 降低攻擊對服務的影響,而不僅僅是檢測;
l 能夠支持在各類網路入口點進行部署,包括性能和體系架構等方面;
l 系統具備很強的擴展性和良好的可靠性;
基於以上四點,金盾抗拒絕服務攻擊的設備應具有如下特性:
l 通過集成的檢測和阻斷機制對DDoS攻擊實時回響;
l 採用基於行為模式的異常檢測,從背景流量中識別攻擊流量;
l 提供針對海量DDoS攻擊的防護能力;
l 提供靈活的部署方式保護現有投資,避免單點故障或者增加額外投資;
l 對攻擊流量進行智慧型處理,保證最大程度的可靠性和最低限度的投資;
l 降低對網路設備的依賴及對設備配置的修改;
採用標準協定進行通訊,保證最大程度的互操作性和可靠性;
6.2方案描述
如圖所示,把金盾JDFW500+\1000+ 等產品透明接入到外網交換機的上層。對我們原有的網路環境不做任何的調整,金盾JDFW500+\1000+ 等產品具有高性能的處理能力,針對目前市場上的頻寬攻擊或是連線性攻擊都有很強的防護效果。在網路中心與外部Internet連線處安裝金盾抗拒絕服務系統,切斷與外網的直接相連,使所有流入/流出的數據流先經過抗拒絕服務系統過濾,確認正常的數據包放行,異常的丟棄。避免因不加過濾而導致來自內、外部的針對信息中心的非法訪問,把好網路第一關,確保服務平台的無限暢通。針對來自INTERNET訪問web、資料庫,及所有伺服器的數據進行監測、過濾和防護。這樣我們就彌補了所有伺服器完全未對DDOS攻擊進行防範的空洞.可以滿足當前實際的網路訪問流量的需求。在配置規則得當的情況下基本上可以對網路上常見的攻擊進行更好的防禦。
6.3產品部署
金盾抗拒絕服務系統JDFW1000+等,在系統核心實現了防禦拒絕服務攻擊的算法,創造性地將算法實現在協定棧的最底層,避開了IP/TCP/UDP 等高層系統網路堆疊的處理,使整個運算代價大大降低,並採用自主研發的高效防護算法對數據包的多層深層次的攻擊檢測進行數據異常流量分析、套用層分析、主機識別、協定分析、指紋檢測、連線跟蹤、連線埠保護、流量控制等,能及時迅速的檢測出已知DDoS攻擊和潛在的DDoS攻擊流量,防禦效率極高。基於802.3ad 鏈路聚合實現流量分擔,基於此種聚合模式的系統具有動態聚合特性,可有效避免單點故障。該產品在處理攻擊時採用內部自動分流多點模式。
金盾抗拒絕服務攻擊設備作為一個透明的安全設備,安裝、設定都很簡便,非常適合其內部管理人員的管理水平,同時又能確保防護效果。
金盾抗拒絕服務系統JDFW8000+等產品,在提升高效處理能力的情況下,更多的考慮到關鍵性業務的不可中斷性,增加了雙電源和BYPASS功能,充分保障無人職守的情況下的全自動錯誤轉移功能,滿足運營商核心業務對於高可用性,高可靠性,高穩定性的全面要求。可有效的避免了意外故障引起的斷網,同時硬體本身具備了旁路開關,實現了在軟體系統崩潰,硬體災難性故障,意外斷電等設備故障的狀態下也不會導致網路中斷,充分利用現有的頻寬實現更強的防禦效果。
6.4方案特點
l 安裝的簡易性。金盾抗拒絕服務系統安裝、設定簡易,無需對其原有網路拓撲結構進行大的改動。
l 防護的有效性。金盾抗拒絕服務系統採用了技術領先的高效率攻擊檢測&防護模組,確保了在第一時間啟動攻擊防禦機制,可有效保證了其客戶的套用無憂。
l 監控的時效性。 金盾抗拒絕服務系統狀態監控服務端的設定,縮短了攻擊發現的時間,避免了機房工程師在套用伺服器遭受攻擊癱瘓後才發現、進行處置的被動局面。
l 方案的可擴展性。金盾抗拒絕服務系統屬於透明接入設備,可方便地根據用戶需求與其他網路設備進行連線,有效保護了客戶資源。
6.5 方案產品介紹
JDFW500+
詳細參數
外形 | 1U機架式 |
級別 | 百兆級 |
網路接口 | 2個千兆電口(進出口),2個千兆電口(管理口) |
攻擊防禦量 | 700M |
說明 | 適合百兆、千兆電口環境,小中型企業,網咖,IDC服務商及系統集成工程 |
特性 | 防止連線耗盡/即插即用,網路隱身,透明接入/分級管理模式/支持多網段防護/跨路由模式,跨網段模式/跨VLAN等模式的防護/連線埠設定/規則設定等/小型企業的首選 |
防禦種類 | SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防護/以及各種漏洞型拒決服務攻擊等 |
電源 | 交流電源輸入220V,47~63MHZ,300W |
工作溫度 | -20℃--60℃ |
MTBF | >10000小時 |
JDFW1000+
詳細參數:
外形 | 2U機架式 |
級別 | 千兆級 |
網路接口 | 2個SFP光纖接口(進出口,可選配SFP模組),5個千M電口(管理口), 集群接口可選 |
攻擊防禦量 | 千兆光纖環境下900-1000M, 支持集群環境部署,集群可防禦超過16G以上攻擊 |
說明 | 適合千兆環境(單多模環境、光電口環境可選)適合中型企業, 骨幹網路及大型IDC |
特性 | 防止連線耗盡/即插即用,網路隱身,透明接入/分級管理模式/支持多網段防護/跨路由模式,跨網段模式/跨VLAN等模式的防護/支持集群防護/連線埠設定/規則設定等 |
防禦種類 | SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防護/以及各種漏洞型拒決服務攻擊等 |
並發連線數 | 100萬 |
電源 | 交流電源輸入220V,47~63MHZ,510W(冗餘電源可選配) |
工作溫度 | -20℃--60℃ |
MTBF | >10000小時 |
JDFW8000+
JDFW8000+ 產品詳細規格參數(電信級) | |
外型 | 2U機架式 |
級別 | 千兆級 |
網路接口 | 兩個LC-SC多模光纖接口(進出口),二個千M電口(管理口),集群接口可選 |
攻擊防禦量 | 千兆光纖環境下900-1200M,支持集群,旁路環境部署,可防禦超過32G以上攻擊 |
並發連線數 | 100萬 |
延遲 | ≤38um |
說明 | 適合多路接入環境(單模環境可選),主要是針對電信與網通運營商而設計 |
特性 | 防止連線耗盡/即插即用,網路隱身,透明接入/分級管理模式/支持多網段防護/跨路由模式,跨網段模式/跨VLAN等模式的防護/支持集群防護/支持光BYPASS功能(設備在停止使用的狀態下也不會中斷網路) |
防禦種類 | SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD /Fragments Flood/Fatboy/DNS QUERY FLOOD/針對web,遊戲的CC攻擊防護/以及各種漏洞型拒決服務攻擊等,特有的套用的防護模組,可通過各種協定連線埠設定,規則設定等防護各類新型攻擊 |
電源 | 交流電源輸入220V,47~63MHZ,510W(冗餘電源可選配) |
工作溫度 | -20°C--60℃ |
MTBF | >1000000小時 |
JDFW2000+
詳細參數
外形 | 2U機架式 |
級別 | 雙千兆級 |
網路接口 | 4個SFP接口(進出口,可選配模組),4個千M電口(管理口) 集群接口可選 |
攻擊防禦量 | 雙千兆光纖環境下1.6-1.99GB 支持集群環境部署,集群可防超32G攻擊 |
說明 | 適合多路接入環境 (單多模環境可選)主要是針對電信與網通運營商而設計 |
特性 | 防止連線耗盡/即插即用,網路隱身,透明接入/分級管理模式/支持多網段防護/跨路由模式,跨網段模式/跨VLAN等模式的防護/支持集群防護連線埠設定/規則設定等 |
防禦種類 | SYNFLOOD/ACKFLOOD/ICMPFLOOD/UDPFLOOD/DRDOS/LANDFLOOD/Fragments Flood/Fatboy/DNS QUERY FLOOD/CC防護/以及各種漏洞型拒決服務攻擊等 |
並發連線數 | 10萬 |
最大連線數 | 100萬 |
電源 | 交流電源輸入220V,47~63MHZ,510W(冗餘電源可選配) |
工作溫度 | -20℃--60℃ |
MTBF | >10000小時 |
方案產品對比
產品 基本 參數 介紹 | JDFW500+ | JDFW1000+ | JDFW2000+ |
硬體設備:JDFW500+ 接入環境:千百兆接入線路 管理方式:WEB,SSH,UART 性能參數: 百兆環境下防禦DDOS攻擊80—120M 千兆環境下防禦DDOS攻擊300—500M | 硬體設備:JDFW1000+ 接入環境:千兆接入線路 管理方式:WEB,SSH,UART 性能參數:64位元組報文下達到 0.8Gbps的處理能力; 128 位元組報文下達到 0.9Gbps 的處理能力; 256 以上位元組報文下達到 0.99Gbps 的處理能力 | 硬體設備:JDFW2000+ 接入環境:雙線千兆接入線路 管理方式:WEB,SSH,UART 性能參數:64位元組報文下達到 1.8Gbps的處理能力; 128 位元組報文下達到 1.9Gbps 的處理能力; 256 以上位元組報文下達到 1.95Gbps 的處理能力 | |
部署說明 | 僅需投入一台百兆設備便可滿足目前網路現狀的需求。但對於以後頻寬擴展到千兆的話金盾百兆抗DDOS設備可能有瓶頸。滿足不了千兆防護效果。 | 對於未來網路頻寬擴展和安全性考慮,僅需投入一台設備即可滿足千兆環境下的DDOS防護,另外GFW-7180可特殊定製冗餘電源和bypass功能,可以滿足設備本身安全性的考慮又可以優於GFW-1000+ 的防護性能。 | 金盾抗拒絕服務系統JDFW2000+型號是中新軟體經過多年的努力,針對目前市場上近年來愈演愈烈已知的和未知的DDOS攻擊自主研發的抗拒絕服務攻擊算法完成的新一代安全產品。JDFW2000+抗拒絕服務系統支持雙路接入,單台2G攻擊防護能力可達到1800M以上。金盾抗拒絕服務系統JDFW2000+型號在原有的技術基礎上,推出新的可擴展的集群模式——Extensible Firewall Cluster Mode領先的數據分流技術,使得若干金盾抗拒絕服務系統可組合形成更大的防護主體,提供海量攻擊的解決方案。支持多網段防護,跨路由模式,跨網段模式,跨VLAN等模式的防護,防護主機的數量不限。金盾抗拒絕服務系統通過自身高效率的算法對數據包的多層深層次的攻擊檢測進行數據異常流量分析、套用層分析、主機識別、協定分析、指紋檢測、連線跟蹤、連線埠保護、流量控制、及時迅速的檢測出已知ddos攻擊和潛在的ddos攻擊流量。尤其適合套用部署於千兆環境的電信運營商、大型企業、IDC機房、各類網際網路公司以及網路遊戲運營商的網路環境。 |
特性 | 防止連線耗盡/即插即用,網路隱身,透明接入/分級管理模式/支持多網段防護/跨路由模式,跨網段模式/跨VLAN等模式的防護/支持集群防護/連線埠設定/規則設定等 § 分時流量圖,日誌輸出,連線跟蹤,流量分析,事件分析,性能分析等強大的審計功能讓管理員對任一時段的流量和設備性能情況了如指掌。 § 遠程IP與防護主機間的連線跟蹤,可清楚的了解任一主機的連線情況 § 獨特的域名管理功能,對牆下任一主機可進行域名查詢,禁止,放行。 § 針對WEB,DNS,遊戲,聊天室等不同套用的防護模組化設計,方便管理員為主機套用定製專有防護 § 分級管理許可權,符合企業對設備管理的許可權設定,提高了自身的安全性 § SNMP的管理接口,實時監測防火牆的工作狀態與網路狀況 § 基於windows的監測軟體,能夠實時監測防火牆與網路情況,並能按需設定告警,以簡訊、郵件、鈴聲等多種方式及時通知管理員 | ||
七.金盾抗拒絕服務系統產品介紹針對當前的DOS/DDOS攻擊現狀,安徽中新軟體自主研發的抗拒絕服務產品——金盾抗拒絕服務系統,具有很強的DOS/DDOS攻擊的防護能力。並可在多種網路環境下輕鬆部署,保證網路的整體性能和可靠性。
7.1產品功能
Ø DOS/DDOS攻擊檢測及防護
金盾抗拒絕服務系列產品,套用了自主研發的抗拒絕服務攻擊算法,對SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各種常見的攻擊行為均可有效識別,並通過集成的機制實時對這些攻擊流量進行處理及阻斷,保護服務主機免於攻擊所造成的損失。內建的WEB保護模式及遊戲保護模式,徹底解決針對此兩種套用的DOS攻擊方式。
Ø 通用方便的報文規則過濾
金盾抗拒絕服務系列產品,除了提供專業的DOS/DDOS攻擊檢測及防護外,還提供了面向報文的通用規則匹配功能,可設定的域包括地址、連線埠、標誌位,關鍵字等,極大的提高了通用性及防護力度。同時,內置了若干預定義規則,涉及區域網路防護、漏洞檢測等多項功能,易於使用。
Ø 專業的連線跟蹤機制
金盾抗拒絕服務系列產品,內部實現了完整的TCP/IP協定棧,具有強大的連線跟蹤能力。每個進出的連線,防火牆都會根據其源地址進行分類,並顯示給用戶,方便用戶對受保護主機狀態的監控。同時還提供連線逾時,重置連線等輔助功能,彌補了TCP協定本身的不足,使您的伺服器在攻擊中遊刃有餘。
Ø 簡潔豐富的管理
金盾抗拒絕服務系列產品具有豐富的設備管理功能,基於簡潔的WEB的管理方式,支持本地或遠程的升級。同時,豐富的日誌和審計功能也極大地增強了設備的可用性,不僅能夠針對攻擊進行實時監測,還能對攻擊的歷史日誌進行方便的查詢和統計分析,便於對攻擊事件進行有效的跟蹤和追查。
Ø 廣泛的部署能力
針對不同的客戶,抗拒絕服務所面臨的網路環境也不同,企業網、IDC、ICP或是城域網等多種網路協定並存,給抗拒絕服務系統的部署帶來了不同的挑戰。金盾抗拒絕服務系統具備了多種環境下的部署能力。
7.2防護原理
金盾抗拒絕服務產品基於嵌入式系統設計,在系統核心實現了防禦拒絕服務攻擊的算法,創造性地將算法實現在協定棧的最底層,避開了IP/TCP/UDP等高層系統網路堆疊的處理,使整個運算代價大大降低。並採用自主研發的高效的防護算法,效率極高。方案的核心技術架構如下圖所示:
金盾抗拒絕服務系統防護原理圖
Ø 攻擊檢測
金盾抗拒絕服務系統利用了多種技術手段對DOS/DDOS攻擊進行有效的檢測,在不同的流量觸發不同的保護機制,在提高效率的同時確保準確度;
Ø 協定分析
金盾抗拒絕服務系統採用了協定獨立的處理方法,對於TCP協定報文,通過連線跟蹤模組來防護攻擊;而對於UDP及ICMP協定報文,主要採用流量控制模組來防護攻擊。
Ø 主機識別
金盾抗拒絕服務系統可自動識別其保護的各個主機及其地址。某些主機受到攻擊不會影響其它主機的正常服務。
Ø 連線跟蹤
金盾抗拒絕服務系統針對進出的連線均進行連線跟蹤,並在跟蹤的同時進行防護,徹底解決針對TCP協定的各種攻擊。
Ø 連線埠防護
建立在連線跟蹤模組上的連線埠防護體制,針對不同的連線埠套用,提供不同的防護手段,使得運行在同一伺服器上的不同服務,都可以受到完善的DOS/DDOS攻擊保護。
7.3精確的DDoS攻擊識別與清洗
金盾 DDoS識別與清洗功能是金盾產品的核心,主要功能是對過往流量進行異常甄別和過濾淨化。金盾網路流量淨化網關係列產品,採用協定分析技術,對帶有明顯攻擊特徵的違反RFC標準的畸形數據包、攻擊數據包直接進行丟棄,採用了自主研發的新一代基於統計和閾值、專有反向探測等防拒絕服務攻擊算法,可以對SYN FLOOD、ACK FLOOD、TCP CONNECTION FLOOD、UDP FLOOD、ICMP FLOOD、FRAG FLOOD等各種常見的危害很大而又易於發起的攻擊方法進行快速有效的識別,在對網路數據報文進行統計的基礎上,對於不同類型的DDoS攻擊採取了相應的防禦算法,從而可以準確而實時地在大流量背景下識別出惡意的DDoS流量,與其它同類產品相比,也減少了反向探測的數據流。內建的WEB保護模式及遊戲保護模式,採用了專有的防護算法,使金盾對套用層的攻擊如HTTP GET FLOOD(CC攻擊)、HTTP POST FLOOD、DNS QUERY FLOOD、網路遊戲等攻擊都能進行有效的防範。
7.4方便的域名管理功能
手機網際網路傳播色情信息事件,嚴重影響了網際網路產業的健康發展,根據國家嚴查、清理非法色情網站等相關規定,金盾抗拒絕服務系統推出最新域名管理方案,實施域名黑、白名單管理模式,為各大運營商、數據中心管理WAP網站提供了有效的管理措施。
域名管理功能說明:
1、金盾抗拒絕服務系統域名審計功能可同時設定黑、白名單,放行已備案域名,禁止所有未備案域名;
2、金盾抗拒絕服務系統域名審計功能可匹配多級域名;
3、金盾抗拒絕服務系統域名設定及管理簡單化,通過設定.txt檔案導入管理即可完成操作4、金盾抗拒絕服務系統可顯示已設定域名的狀態、地址及域名訪問次數;
5、取消原域名管理中的外掛程式設定,設定web連線埠的域名審計功能不影響該web連線埠的防禦
7.5抓包取證功能
金盾抗拒絕服務系統提供了報文捕捉功能,管理員可以對全局數據包進行捕捉,也可以指定IP進行捕捉,有利於管理員在發生攻擊時調查取證,也有利於在發生未知攻擊時抓取數據包,進行數據分析。
7.6自定義規則方便對未知攻擊的防範
金盾抗拒絕服務系統除了提供專業的DOS/DDOS攻擊檢測及防護外,還提供了面向報文的通用規則匹配功能,可設定的域包括地址、連線埠、標誌位,關鍵字等,極大的提高了通用性及防護力度。金盾抗拒絕服務系統基於算法與統計原理對攻擊進行防護,能夠有效的防範大部分的未知攻擊,而對於一些金盾抗拒絕服務系統不能進行防護的未知攻擊,系統管理員抓包分析後,提取攻擊特徵,自定義防護規則,從而對未知攻擊進行有效的防範。同時,內置了若干預定義規則,涉及區域網路防護、漏洞檢測等多項功能,易於使用。
7.7靈活多樣的管理與維護功能
金盾抗拒絕服務系統提供靈活多樣的管理與維護功能,系統提供多種管理方式,支持HTTP/HTTPS等多種管理方式,同時也支持命令行的管理方式。為了保證安全性,金盾抗拒絕服務系統產品採用了用戶的分權管理。登錄用戶分為四種:網路觀察員:僅可以查看當前系統狀態,無權更改;網路管理員:擁有網路觀察員許可權,並可變更參數設定;系統管理員:擁有網路管理員許可權,並可創建子帳戶;授權客戶服務:用於遠程服務的授權帳戶。
金盾抗拒絕服務系統提供完善的條件查詢和報表審計功能,日誌列表可清晰查看設備各項操作記錄,並記錄設備每分鐘流量、CPU和記憶體使用情況,並可將日誌下載或保存到日誌伺服器。分析報告查詢某個主機的相關記錄,並對其流量進行分析,生成報告,也可分析全局記錄,並生成相關的報告。
7.8黑白名單管理
黑白名單模組採用了簡潔而高效的數據結構和算法,可以保存大量的黑白名單。用戶可以根據業務需要設定白名單用於實現重要業務流量的快速通過,也可以設定黑名單以阻斷已知的異常流量。系統在進行攻擊防護時,防護算法會臨時生成分級別的黑白名單,以提高防護效率,同時減少反向探測數據流。
7.9靈活的部署方式
金盾抗拒絕服務系統的客戶涉及各個行業,面臨的網路環境也複雜多樣,無論是運營商骨幹網、城域網、IDC,還是大型企業網路、政府網路、小型企業網,金盾均能提供多種部署方式。金盾在部署時支持透明串聯接入,雙機熱備,集群部署,並支持旁路部署,在串聯部署時,金盾不僅能夠實現對攻擊檢測,還能夠進行有效的防護,在旁路部署時,金盾抗DDOS系統與Jdfw-Analyzer分析器聯動形成一個完整的解決方案,既支持JDFW-Analyzer與金盾抗DDOS設備的聯動,也支持金盾與路由交換設備的聯動,從而滿足不同的客戶需求。
