DDOS防禦

對於企業來講，這個系統工程往往要投入大量的網路設備、購買大的網路頻寬，而且還需要把網站做相應的修改，還要配備相關人員去維護，這個工程過完成後，能不能夠抵擋住外部攻擊可能還是未知數。防禦DDOS攻擊應綜合考慮到基於BGP的流量清洗技術的多層面、多角度、多結構的多元立體系安全防護體系的構建和從主動防禦、安全應急、安全管理、物理安全、數據容災幾大體系入手，從而整合“高防伺服器”“高防智慧型DNS”“高防伺服器集群”“集群式防火牆架構”“網路監控系統”“高防智慧型路由體系”從而實現智慧型的、完善的、快速回響機制的“一線式”安全防護架構。DDOS防禦不是靠廣告來 的，請不要發廣告。

這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網路服務，主要是通過向受害主機傳送大量偽造源IP和源連線埠的SYN或ACK 包，導致主機的快取資源被耗盡或忙於傳送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高頻寬的殭屍主機支 持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不回響鍵 盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。

這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆 大多具備過濾TearDrop、Land等DOS攻擊的能 力，但對於正常的TCP連線是放過的，殊不知很多網路服務程式（如：IIS、Apache等Web伺服器）能接受的TCP連線數是有限的，一旦有大量的 TCP連線，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連線攻擊就是通過許多殭屍主機不斷地與受害伺服器建立大量的TCP連線，直到 伺服器的記憶體等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍 主機的IP是暴露的，因此容易被追蹤。

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程式，並 調用MSSQLServer、 MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連線，並不斷的向腳本程式提交查詢、列表等大量耗費數 據庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和頻寬的占用是幾乎可以忽略的，而伺服器為處理此請求 卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻 是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鐘就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢 如蝸牛、ASP程式失效、PHP連線資料庫失敗、資料庫主程式占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕鬆找一些Proxy代理 就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP位址。

異常流量的清洗過濾：

通過DDOS硬體防火牆對異常流量的清洗過濾，通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單台負載每秒可防禦800-927萬個syn攻擊包。

分散式集群防禦：

這是目前網路安全界防禦大規模DDOS攻擊的最有效辦法。分散式集群防禦的特點是在每個節點伺服器配置多個IP位址，並且每個節點能承受不低於10G的DDOS攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先權設定自動切換另一個節點，並將攻擊者的數據包全部返回傳送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

高防智慧型DNS解析：

高智慧型DNS解析系統與DDOS防禦系統的完美結合，為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法，智慧型根據用戶的上網路線將DNS解析請求解析到用戶所屬網路的伺服器。同時智慧型DNS解析系統還有宕機檢測功能，隨時可將癱瘓的伺服器IP智慧型更換成正常伺服器IP，為企業的網路保持一個永不宕機的服務狀態。