绿盟抗拒绝服务系统产品白皮书

绿 盟 抗 拒 绝 服 务 系 统 产 品 白 皮 书 2012 绿 盟 科 技 版 权 声 明 本 文 中 出 现 的 任 何 文 字 叙 述 文 档 格 式 插 图 照 片 方 法 过 程 等 内 容, 除 另 有 特 别 注 明, 版 权 均 属 绿 盟 科 技 所 有, 受 到 有 关 产 权 及 版 权 法 保 护 任 何 个 人 机 构 未 经 绿 盟 科 技 的 书 面 授 权 许 可, 不 得 以 任 何 方 式 复 制 或 引 用 本 文 的 任 何 片 断 - 1 -

目 录 一. 前 言... 4 二. DDOS 的 威 胁 愈 演 愈 烈... 5 2.1 攻 击 影 响... 5 2.2 攻 击 分 析... 5 2.2.1 攻 击 手 段... 5 2.2.2 攻 击 时 机... 6 2.2.3 攻 击 动 机... 6 2.3 发 展 趋 势... 7 2.4 小 结... 7 三. DDOS 防 护 的 必 要 性... 7 四. 当 前 防 护 手 段 的 不 足... 8 4.1 手 工 防 护... 8 4.2 退 让 策 略... 9 4.3 路 由 器... 9 4.4 防 火 墙... 9 4.5 IPS/IDS... 10 五. DDOS 防 护 的 基 本 要 求... 10 5.1 优 秀 的 DDOS 防 御 能 力 必 要 条 件... 10 5.2 防 护 设 计 思 想 的 演 进... 11 六. 绿 盟 抗 拒 绝 服 务 系 统... 12 6.1 三 位 一 体 的 解 决 方 案... 12 6.2 部 署 方 式... 13 6.2.1 串 行 部 署 方 式... 13 6.2.2 旁 路 部 署 方 式... 14 6.3 核 心 原 理... 15 6.4 系 统 特 性... 16 6.4.1 精 准 的 攻 击 流 量 识 别... 16 6.4.2 强 大 的 攻 击 防 护 能 力... 16 6.4.3 海 量 的 攻 击 防 护 性 能... 17 6.4.4 灵 活 的 应 用 部 署 方 式... 17 6.4.5 友 好 的 系 统 / 报 表 管 理... 18 6.4.6 独 特 的 增 值 业 务 管 理... 18 6.5 专 业 的 攻 击 支 持 经 验... 19 七. 结 论... 19-2 -

插 图 索 引 图 6.1 ADS 的 串 行 部 署 方 式... 13 图 6.2 ADS 产 品 的 旁 路 部 署 方 式... 14 图 6.3 运 营 商 级 三 位 一 体 分 层 部 署 方 式... 15 图 6.4 绿 盟 抗 拒 绝 服 务 系 统 核 心 架 构... 15-3 -

一. 前 言 DoS(Denial of Service 拒 绝 服 务 ) 攻 击 由 于 攻 击 简 单 容 易 达 到 目 的 难 于 防 止 和 追 查 越 来 越 成 为 常 见 的 攻 击 方 式 拒 绝 服 务 攻 击 可 以 有 各 种 分 类 方 法, 如 果 按 照 攻 击 方 式 来 分 可 以 分 为 : 资 源 消 耗 服 务 中 止 和 物 理 破 坏 资 源 消 耗 指 攻 击 者 试 图 消 耗 目 标 的 合 法 资 源, 例 如 : 网 络 带 宽 内 存 和 磁 盘 空 间 CPU 使 用 率 等 等 通 常, 网 络 层 的 拒 绝 服 务 攻 击 利 用 了 网 络 协 议 的 漏 洞, 或 者 抢 占 网 络 或 者 设 备 有 限 的 处 理 能 力, 造 成 网 络 或 者 服 务 的 瘫 痪, 而 DDoS 攻 击 又 可 以 躲 过 目 前 常 见 的 网 络 安 全 设 备 的 防 护, 诸 如 防 火 墙 入 侵 监 测 系 统 等, 这 就 使 得 对 拒 绝 服 务 攻 击 的 防 治, 成 为 了 一 个 令 管 理 员 非 常 头 痛 的 问 题 传 统 的 攻 击 都 是 通 过 对 业 务 系 统 的 渗 透, 非 法 获 得 信 息 来 完 成, 而 DDoS 攻 击 则 是 一 种 可 以 造 成 大 规 模 破 坏 的 黑 客 武 器, 它 通 过 制 造 伪 造 的 流 量, 使 得 被 攻 击 的 服 务 器 网 络 链 路 或 是 网 络 设 备 ( 如 防 火 墙 路 由 器 等 ) 负 载 过 高, 从 而 最 终 导 致 系 统 崩 溃, 无 法 提 供 正 常 的 Internet 服 务 由 于 防 护 手 段 较 少 同 时 发 起 DDoS 攻 击 也 越 来 越 容 易, 所 以 DDoS 的 威 胁 也 在 逐 步 增 大, 它 们 的 攻 击 目 标 不 仅 仅 局 限 在 Web 服 务 器 或 是 网 络 边 界 设 备 等 单 一 的 目 标, 网 络 本 身 也 渐 渐 成 为 DDoS 攻 击 的 牺 牲 品 许 多 网 络 基 础 设 施, 诸 如 汇 聚 层 / 核 心 层 的 路 由 器 和 交 换 机 运 营 商 的 域 名 服 务 系 统 (DNS) 都 不 同 程 度 的 遭 受 到 了 DDoS 攻 击 的 侵 害 2002 年 10 月, 一 次 大 规 模 黑 客 攻 击 的 前 兆 就 是 十 三 台 根 域 名 服 务 器 中 的 八 台 遭 受 到 野 蛮 的 DDoS 攻 击, 从 而 影 响 了 整 个 Internet 的 通 讯 随 着 各 种 业 务 对 Internet 依 赖 程 度 的 日 益 加 强,DDoS 攻 击 所 带 来 的 损 失 也 愈 加 严 重 包 括 运 营 商 企 业 及 政 府 机 构 的 各 种 用 户 时 刻 都 受 到 了 DDoS 攻 击 的 威 胁, 而 未 来 更 加 强 大 的 攻 击 工 具 的 出 现, 为 日 后 发 动 数 量 更 多 破 坏 力 更 强 的 DDoS 攻 击 带 来 可 能 正 是 由 于 DDoS 攻 击 非 常 难 于 防 御, 以 及 其 危 害 严 重, 所 以 如 何 有 效 的 应 对 DDoS 攻 击 就 成 为 Internet 使 用 者 所 需 面 对 的 严 峻 挑 战 网 络 设 备 或 者 传 统 的 边 界 安 全 设 备, 诸 如 防 火 墙 入 侵 检 测 系 统, 作 为 整 体 安 全 策 略 中 不 可 缺 少 的 重 要 模 块, 都 不 能 有 效 的 提 供 针 对 DDoS 攻 击 完 善 的 防 御 能 力 面 对 这 类 给 Internet 可 用 性 带 来 极 大 损 害 的 攻 击, 必 须 采 用 专 门 的 机 制, 对 攻 击 进 行 有 效 检 测, 进 而 遏 制 这 类 不 断 增 长 的 复 杂 的 且 极 具 欺 骗 性 的 攻 击 形 式 - 4 -

二. DDoS 的 威 胁 愈 演 愈 烈 DDoS 攻 击 一 般 通 过 Internet 上 那 些 僵 尸 系 统 完 成, 由 于 大 量 个 人 电 脑 联 入 Internet, 且 防 护 措 施 非 常 少, 所 以 极 易 被 黑 客 利 用, 通 过 植 入 某 些 代 码, 这 些 机 器 就 成 为 DDoS 攻 击 者 的 武 器 当 黑 客 发 动 大 规 模 的 DDoS 时, 只 需 要 同 时 向 这 些 将 僵 尸 机 发 送 某 些 命 令, 就 可 以 由 这 些 僵 尸 机 器 完 成 攻 击 随 着 Botnet 的 发 展,DDoS 造 成 的 攻 击 流 量 的 规 模 可 以 非 常 惊 人, 会 给 应 用 系 统 或 是 网 络 本 身 带 来 非 常 大 的 负 载 消 耗 特 点 : 使 用 有 效 协 议 ; 采 用 源 IP 欺 骗 ; 大 量 分 布 ; 攻 击 类 型 多 元 化 2.1 攻 击 影 响 DDoS 攻 击 给 运 营 商 企 业 和 政 府 都 将 可 能 带 来 巨 大 的 损 失 带 宽 耗 尽 型 的 攻 击 可 能 极 大 浪 费 运 营 商 骨 干 网 络 宝 贵 的 带 宽 资 源, 严 重 增 加 核 心 设 备 的 工 作 负 荷, 造 成 关 键 业 务 的 中 断 或 网 络 服 务 质 量 的 大 幅 降 低 DDoS 攻 击 之 下 的 门 户 网 站 性 能 急 剧 下 降, 无 法 正 常 处 理 用 户 的 正 常 访 问 请 求, 造 成 客 户 访 问 失 败 ; 服 务 质 量 协 议 (SLA) 也 会 受 到 破 坏, 带 来 高 额 的 服 务 赔 偿 同 时, 公 司 的 信 誉 也 会 蒙 受 损 失, 而 这 种 危 害 又 常 常 是 长 期 性 的 利 润 下 降 生 产 效 率 降 低 IT 开 支 增 高 以 及 相 应 问 题 诉 诸 法 律 而 带 来 的 费 用 增 加 等 等, 这 些 损 失 都 是 由 于 DDoS 攻 击 造 成 的 此 外, 攻 击 的 波 及 面 之 广 也 是 当 前 不 得 不 面 对 的 问 题 CNCERT 在 2010 年 上 半 年 中 国 互 联 网 网 络 安 全 报 告 中 指 出,CNCERT 2010 年 上 半 年 抽 样 监 测 结 果 显 示 我 国 大 陆 约 有 近 124 万 个 IP 地 址 对 应 的 主 机 被 植 入 僵 尸 和 木 马 程 序 控 制, 同 时 监 测 发 现 境 外 有 127559 个 IP 地 址 作 为 木 马 控 制 服 务 器 参 与 控 制 中 国 大 陆 地 区 的 木 马 受 控 主 机 2.2 攻 击 分 析 那 么 DDoS 攻 击 究 竟 如 何 工 作 呢? 从 犯 罪 学 角 度, 任 何 攻 击 必 须 具 备 三 个 要 素, 即 攻 击 手 段 (Method) 时 机 (Opportunity) 以 及 攻 击 动 机 (Motive) 接 下 来, 我 们 将 从 这 三 方 面 对 DDoS 攻 击 进 行 分 析 2.2.1 攻 击 手 段 在 此, 先 简 单 回 顾 DDoS 攻 击 采 用 的 手 段 通 常 而 言, 网 络 数 据 包 利 用 TCP/IP 协 议 在 Internet 传 输, 这 些 数 据 包 本 身 是 无 害 的, 但 是 如 果 数 据 包 异 常 过 多, 就 会 造 成 网 络 设 备 或 者 - 5 -

服 务 器 过 载 ; 或 者 数 据 包 利 用 了 某 些 协 议 的 缺 陷, 人 为 的 不 完 整 或 畸 形, 就 会 造 成 网 络 设 备 或 服 务 器 服 务 正 常 处 理, 迅 速 消 耗 了 系 统 资 源, 造 成 服 务 拒 绝, 这 就 是 DDoS 攻 击 的 工 作 原 理 DDoS 攻 击 之 所 以 难 于 防 护, 其 关 键 之 处 就 在 于 非 法 流 量 和 合 法 流 量 相 互 混 杂, 防 护 过 程 中 无 法 有 效 的 检 测 到 DDoS 攻 击, 比 如 利 用 基 于 特 征 库 模 式 匹 配 的 IDS 系 统, 就 很 难 从 合 法 包 中 区 分 出 非 法 包 加 之 许 多 DDoS 攻 击 都 采 用 了 伪 造 源 地 址 IP 的 技 术, 从 而 成 功 的 躲 避 了 基 于 异 常 模 式 监 控 的 工 具 的 识 别 一 般 而 言,DDoS 攻 击 主 要 分 为 以 下 几 种 类 型 : 带 宽 型 攻 击 这 类 DDoS 攻 击 通 过 发 出 海 量 数 据 包, 造 成 设 备 负 载 过 高, 最 终 导 致 网 络 带 宽 或 是 设 备 资 源 耗 尽 通 常, 被 攻 击 的 路 由 器 服 务 器 和 防 火 墙 的 处 理 资 源 都 是 有 限 的, 攻 击 负 载 之 下 它 们 就 无 法 处 理 正 常 的 合 法 访 问, 导 致 服 务 拒 绝 流 量 型 攻 击 最 通 常 的 形 式 是 Flooding 方 式, 这 种 攻 击 把 大 量 看 似 合 法 的 TCP UDP ICPM 包 发 送 至 目 标 主 机, 甚 至, 有 些 攻 击 还 利 用 源 地 址 伪 造 技 术 来 绕 过 检 测 系 统 的 监 控 应 用 型 攻 击 这 类 DDoS 攻 击 利 用 了 诸 如 TCP 或 是 HTTP 协 议 的 某 些 特 征, 通 过 持 续 占 用 有 限 的 资 源, 从 而 达 到 阻 止 目 标 设 备 无 法 处 理 正 常 访 问 请 求 的 目 的, 比 如 HTTP Half Open 攻 击 和 HTTP Error 攻 击 就 是 该 类 型 的 攻 击 2.2.2 攻 击 时 机 目 前, 融 合 (Convergence) 的 趋 势 正 逐 渐 改 变 人 们 生 活 的 模 式 我 们 正 逐 渐 感 知 来 自 终 端 业 务 的 融 合, 应 用 服 务 提 供 商 (ASP) 与 网 络 服 务 提 供 商 (NSP) 的 融 合, 以 及 传 统 电 信 网 与 IP 网 的 融 合 融 合 带 来 了 新 的 商 业 模 式 和 业 务 增 长 点, 也 蕴 藏 了 多 元 化 的 安 全 威 胁 来 自 Symantec 的 数 据 表 明,Bots 通 常 会 感 染 通 过 大 型 的 ISP 高 速 连 接 到 Internet 的 主 机 带 宽 资 源 的 扩 容, 同 时 也 便 利 了 攻 击 者 2.2.3 攻 击 动 机 从 之 前 国 内 发 生 的 多 起 DDoS 攻 击 事 件 来 看, 值 得 关 注 的 是, 攻 击 者 的 动 机 从 个 人 爱 好 或 是 扬 名 到 追 求 经 济 获 利 的 重 大 转 变 黑 色 产 业 链 的 形 成 与 逐 渐 壮 大 已 经 成 为 网 络 安 全 必 须 面 对 的 问 题, 根 据 Symantec 最 新 互 联 网 安 全 威 胁 调 研 表 明, 其 趋 势 在 不 断 升 级 黑 色 产 业 链 主 要 特 点 为 : 1. 经 济 利 益 驱 使, 攻 击 可 产 生 最 终 价 值 ; 2. 攻 击 趋 于 专 业 化 ; 3. 攻 击 者 有 明 确 的 分 工, 并 形 成 新 型 的 业 务 模 式 ; - 6 -

4. 多 层 攻 击 应 用 : 采 用 多 种 恶 意 活 动 相 结 合 的 方 式 不 直 接 采 用 原 始 攻 击, 而 是 将 其 用 于 部 署 随 后 的 攻 击 2.3 发 展 趋 势 绿 盟 科 技 多 年 来 实 时 跟 踪 检 测 和 研 究 DDoS 攻 击 情 况, 并 将 研 究 成 果 产 品 化, 为 客 户 提 供 专 业 的 解 决 方 案 防 护 产 品 和 技 术 支 撑 根 据 最 近 的 研 究 表 明, DDoS 攻 击 有 以 下 发 展 趋 势 : 1. 大 量 可 轻 易 获 得 的 僵 尸 网 络 及 僵 尸 工 具 用 来 发 动 DDoS 攻 击, 攻 击 难 度 降 低,DDoS 攻 击 发 生 频 率 增 大 2. 攻 击 流 量 呈 海 量 趋 势, 可 达 N*Gbps, 攻 击 流 量 占 用 大 量 运 营 商 网 络 出 口 带 宽, 大 大 降 低 网 络 设 备 的 运 行 效 率 3. 针 对 应 用 服 务 的 攻 击 增 多,DDoS 攻 击 已 形 成 成 熟 的 产 业 链, 背 后 的 经 济 利 益 成 为 攻 击 的 原 始 驱 动 4. 攻 击 方 式 更 为 复 杂, 带 宽 型 攻 击 夹 杂 应 用 型 攻 击 的 混 合 攻 击 增 多, 且 极 难 防 御 2.4 小 结 分 析 了 DDoS 攻 击 的 犯 罪 三 要 素 了 解 了 其 发 展 趋 势 后, 可 以 看 出 DDoS 攻 击 的 特 点 为 经 济 利 益 驱 使 有 明 确 攻 击 目 标 手 段 专 业 化 影 响 面 大 如 何 应 对 来 自 DDoS 攻 击 的 严 峻 挑 战, 有 效 进 行 防 护, 保 护 关 键 业 务 和 重 要 资 源 呢? 是 不 是 单 一 一 个 层 面 的 防 护 就 能 解 决 问 题 呢? 三. DDoS 防 护 的 必 要 性 任 何 需 要 通 过 网 络 提 供 服 务 的 业 务 系 统, 不 论 是 处 于 经 济 原 因 还 是 其 他 方 面, 都 应 该 对 DDoS 攻 击 防 护 的 投 资 进 行 考 虑 大 型 企 业 政 府 组 织 以 及 服 务 提 供 商 都 需 要 保 护 其 基 础 业 务 系 统 ( 包 括 Web DNS Mail 交 换 机 路 由 器 或 是 防 火 墙 ) 免 受 DDoS 攻 击 的 侵 害, 保 证 其 业 务 系 统 运 行 的 连 续 性 虽 然 DDoS 防 护 需 要 增 加 运 营 成 本, 但 是 从 投 资 回 报 率 上 进 行 分 析, 可 以 发 现 这 部 分 的 投 资 是 值 得 的 - 7 -

企 业 / 政 府 网 络 对 于 企 业 或 政 府 的 网 络 系 统, 一 般 提 供 内 部 业 务 系 统 或 网 站 的 Internet 出 口, 虽 然 不 会 涉 及 大 量 的 Internet 用 户 的 访 问, 但 是 如 果 遭 到 DDoS 攻 击, 仍 然 会 带 来 巨 大 的 损 失 对 于 企 业 而 言,DDoS 攻 击 意 味 着 业 务 系 统 不 能 正 常 对 外 提 供 服 务, 势 必 影 响 企 业 正 常 的 生 产 ; 政 府 网 络 的 出 口 如 果 遭 到 攻 击, 将 会 带 来 重 大 的 政 治 影 响, 这 些 损 失 都 是 可 以 通 过 部 署 DDoS 防 护 系 统 进 行 规 避 的 电 子 商 务 网 站 在 线 游 戏 支 付 业 务 等 互 联 网 业 务 电 子 商 务 网 站 游 戏 业 务 网 上 支 付 等 互 联 网 业 务 经 常 是 黑 客 实 施 DDoS 攻 击 的 对 象, 其 在 DDoS 防 护 方 面 的 投 资 非 常 有 必 要 如 果 该 类 型 业 务 系 统 遭 受 了 DDoS 攻 击, 则 在 系 统 无 法 提 供 正 常 服 务 的 时 间 内, 由 此 引 起 的 业 务 无 法 访 问 支 付 错 误 交 易 量 下 降 广 告 损 失 品 牌 损 失 网 站 恢 复 的 代 价 等 等, 都 应 该 作 为 其 经 济 损 失 计 算 在 内, 甚 至 目 前 有 些 黑 客 还 利 用 DDoS 攻 击 对 网 站 进 行 敲 诈 勒 索, 这 些 都 给 网 站 的 正 常 运 营 带 来 极 大 的 影 响, 而 DDoS 防 护 措 施 就 可 以 在 很 大 程 度 上 减 小 这 些 损 失 ; 另 一 方 面, 这 些 防 护 措 施 又 避 免 了 遭 受 攻 击 的 网 站 购 买 额 外 的 带 宽 或 是 设 备, 节 省 了 大 量 重 复 投 资, 为 客 户 带 来 了 更 好 的 投 资 回 报 率 电 信 运 营 商 对 于 运 营 商 而 言, 保 证 其 网 络 可 用 性 是 影 响 ROI 的 决 定 因 素 如 果 运 营 商 的 基 础 网 络 遭 受 攻 击, 那 么 所 有 承 载 的 业 务 都 会 瘫 痪, 这 必 然 导 致 服 务 质 量 的 下 降 甚 至 失 效 同 时, 在 目 前 竞 争 激 烈 的 运 营 商 市 场, 服 务 质 量 的 下 降 意 味 着 客 户 资 源 的 流 失, 尤 其 是 那 些 高 ARPU 值 的 大 客 户, 会 转 投 其 他 的 运 营 商, 这 对 于 运 营 商 而 言 是 致 命 的 打 击 所 以, 有 效 的 DDoS 防 护 措 施 对 于 保 证 网 络 服 务 质 量 有 着 重 要 意 义 另 一 方 面, 对 运 营 商 或 是 IDC 而 言,DDoS 防 护 不 仅 仅 可 以 避 免 业 务 损 失, 还 能 够 作 为 一 种 增 值 服 务 提 供 给 最 终 用 户, 这 给 运 营 商 带 来 了 新 的 利 益 增 长 点, 也 增 强 了 其 行 业 竞 争 能 力 四. 当 前 防 护 手 段 的 不 足 虽 然 目 前 网 络 安 全 产 品 的 种 类 非 常 多, 但 是 对 于 DDoS 攻 击 却 一 筹 莫 展 常 见 的 防 火 墙 入 侵 检 测 路 由 器 等, 由 于 涉 及 之 初 就 没 有 考 虑 相 应 的 DDoS 防 护, 所 以 无 法 针 对 复 杂 的 DDoS 攻 击 进 行 有 效 的 检 测 和 防 护 而 至 于 退 让 策 略 或 是 系 统 调 优 等 方 法 只 能 应 付 小 规 模 DDoS 攻 击, 对 大 规 模 DDoS 攻 击 还 是 无 法 提 供 有 效 的 防 护 4.1 手 工 防 护 一 般 而 言 手 工 方 式 防 护 DDoS 主 要 通 过 两 种 形 式 : - 8 -

系 统 优 化 主 要 通 过 优 化 被 攻 击 系 统 的 核 心 参 数, 提 高 系 统 本 身 对 DDoS 攻 击 的 响 应 能 力 但 是 这 种 做 法 只 能 针 对 小 规 模 的 DDoS 进 行 防 护, 当 黑 客 提 高 攻 击 的 流 量 时, 这 种 防 护 方 法 就 无 计 可 施 了 网 络 追 查 遭 受 DDoS 攻 击 的 系 统 的 管 理 人 员 一 般 第 一 反 应 是 询 问 上 一 级 网 络 运 营 商, 这 有 可 能 是 ISP IDC 等, 目 的 就 是 为 了 弄 清 楚 攻 击 源 头 但 是 如 果 DDoS 攻 击 流 量 的 地 址 是 伪 造 的, 那 么 寻 找 其 攻 击 源 头 的 过 程 往 往 涉 及 很 多 运 营 商 以 及 司 法 机 关 再 者, 即 使 已 经 确 定 了 攻 击 源 头, 进 而 对 其 流 量 进 行 阻 断, 也 会 造 成 相 应 正 常 流 量 的 丢 失 加 之 目 前 Botnet 以 及 新 型 DrDoS 攻 击 的 存 在, 所 以 通 过 网 络 追 查 来 防 护 DDoS 攻 击 的 方 法 没 有 任 何 实 际 意 义 4.2 退 让 策 略 为 了 抵 抗 DDoS 攻 击, 客 户 可 能 会 通 过 购 买 冗 余 硬 件 的 方 式 来 提 高 系 统 抗 DDoS 的 能 力 但 是 这 种 退 让 策 略 的 效 果 并 不 好, 一 方 面 由 于 这 种 方 式 的 性 价 比 过 低, 另 一 方 面, 黑 客 提 高 攻 击 流 量 之 后, 这 种 方 法 往 往 失 效, 所 以 不 能 从 根 本 意 义 上 防 护 DDoS 攻 击 4.3 路 由 器 通 过 路 由 器, 我 们 确 实 可 以 实 施 某 些 安 全 措 施, 比 如 ACL 等, 这 些 措 施 从 某 种 程 度 上 确 实 可 以 过 滤 掉 非 法 流 量 一 般 来 说,ACL 可 以 基 于 协 议 或 源 地 址 进 行 设 置, 但 是 目 前 众 多 的 DDoS 攻 击 采 用 的 是 常 用 的 一 些 合 法 协 议, 比 如 HTTP 协 议, 这 种 情 况 下, 路 由 器 就 无 法 对 这 样 的 流 量 进 行 过 滤 同 时, 如 果 DDoS 攻 击 采 用 地 址 欺 骗 的 技 术 伪 造 数 据 包, 那 么 路 由 器 也 无 法 对 这 种 攻 击 进 行 有 效 防 范 另 一 种 基 于 路 由 器 的 防 护 策 略 是 采 用 Unicast Reverse Path Forwarding (urpf) 在 网 络 边 界 来 阻 断 伪 造 源 地 址 IP 的 攻 击, 但 是 对 于 今 天 的 DDoS 攻 击 而 言, 这 种 方 法 也 不 能 奏 效, 其 根 本 原 因 就 在 于 urpf 的 基 本 原 理 是 路 由 器 通 过 判 断 出 口 流 量 的 源 地 址, 如 果 不 属 于 内 部 子 网 的 则 给 予 阻 断 而 攻 击 者 完 全 可 以 伪 造 其 所 在 子 网 的 IP 地 址 进 行 DDoS 攻 击, 这 样 就 完 全 可 以 绕 过 urpf 防 护 策 略 除 此 之 外, 如 果 希 望 urpf 策 略 能 够 真 正 的 发 挥 作 用, 还 需 要 在 每 个 潜 在 攻 击 源 的 前 端 路 由 器 上 配 置 urpf, 但 是 要 实 现 这 种 情 况, 现 实 中 几 乎 不 可 能 做 到 4.4 防 火 墙 防 火 墙 几 乎 是 最 常 用 的 安 全 产 品, 但 是 防 火 墙 设 计 原 理 中 并 没 有 考 虑 针 对 DDoS 攻 击 的 防 护, 在 某 些 情 况 下, 防 火 墙 甚 至 成 为 DDoS 攻 击 的 目 标 而 导 致 整 个 网 络 的 拒 绝 服 务 - 9 -

首 先 是 防 火 墙 缺 乏 DDoS 攻 击 检 测 的 能 力 通 常, 防 火 墙 作 为 三 层 包 转 发 设 备 部 署 在 网 络 中, 一 方 面 在 保 护 内 部 网 络 的 同 时, 它 也 为 内 部 需 要 提 供 外 部 Internet 服 务 的 设 备 提 供 了 通 路, 如 果 DDoS 攻 击 采 用 了 这 些 服 务 器 允 许 的 合 法 协 议 对 内 部 系 统 进 行 攻 击, 防 火 墙 对 此 就 无 能 为 力, 无 法 精 确 的 从 背 景 流 量 中 区 分 出 攻 击 流 量 虽 然 有 些 防 火 墙 内 置 了 某 些 模 块 能 够 对 攻 击 进 行 检 测, 但 是 这 些 检 测 机 制 一 般 都 是 基 于 特 征 规 则,DDoS 攻 击 者 只 要 对 攻 击 数 据 包 稍 加 变 化, 防 火 墙 就 无 法 应 对, 对 DDoS 攻 击 的 检 测 必 须 依 赖 于 行 为 模 式 的 算 法 第 二 个 原 因 就 是 传 统 防 火 墙 计 算 能 力 的 限 制, 传 统 的 防 火 墙 是 以 高 强 度 的 检 查 为 代 价, 检 查 的 强 度 越 高, 计 算 的 代 价 越 大 而 DDoS 攻 击 中 的 海 量 流 量 会 造 成 防 火 墙 性 能 急 剧 下 降, 不 能 有 效 地 完 成 包 转 发 的 任 务 防 火 墙 的 部 署 位 置 也 影 响 了 其 防 护 DDoS 攻 击 的 能 力 传 统 防 火 墙 一 般 都 是 部 署 在 网 络 入 口 位 置, 虽 然 某 种 意 义 上 保 护 了 网 络 内 部 的 所 有 资 源, 但 是 其 往 往 也 成 为 DDoS 攻 击 的 目 标, 攻 击 者 一 旦 发 起 DDoS 攻 击, 往 往 造 成 网 络 性 能 的 整 体 下 降, 导 致 用 户 正 常 请 求 被 拒 绝 4.5 IPS/IDS 目 前 IPS/IDS 系 统 是 最 广 泛 的 攻 击 检 测 或 防 护 工 具, 但 是 在 面 临 DDoS 攻 击 时,IPS/IDS 系 统 往 往 不 能 满 足 要 求 原 因 在 于 入 侵 检 测 系 统 虽 然 能 够 检 测 应 用 层 的 攻 击, 但 是 基 本 机 制 都 是 基 于 规 则, 需 要 对 协 议 会 话 进 行 还 原, 但 是 目 前 DDoS 攻 击 大 部 分 都 是 采 用 基 于 合 法 数 据 包 的 攻 击 流 量, 所 以 IPS/IDS 系 统 很 难 对 这 些 攻 击 进 行 基 于 特 征 的 有 效 检 测 虽 然 某 些 IPS/IDS 系 统 本 身 也 具 备 某 些 协 议 异 常 检 测 的 能 力, 但 这 都 需 要 安 全 专 家 手 工 配 置 才 能 真 正 生 效, 其 实 施 成 本 和 易 用 性 极 低 IPS/IDS 系 统 设 计 之 初 就 是 作 为 一 种 基 于 特 征 的 应 用 层 攻 击 检 测 设 备 而 大 量 的 传 统 DDoS 攻 击 依 旧 主 要 以 三 层 或 是 四 层 的 协 议 异 常 为 特 点, 这 就 注 定 了 IPS/IDS 技 术 不 太 可 能 作 为 DDoS 的 主 要 检 测 防 护 手 段 五. DDoS 防 护 的 基 本 要 求 5.1 优 秀 的 DDoS 防 御 能 力 必 要 条 件 DDoS 防 护 一 般 包 含 两 个 方 面 : 其 一 是 针 对 不 断 发 展 的 攻 击 形 式, 尤 其 是 采 用 多 种 欺 骗 技 术 的 技 术, 能 够 有 效 地 进 行 检 测 ; 其 二, 也 是 最 为 重 要 的, 就 是 如 何 降 低 对 业 务 系 统 或 者 是 网 络 的 影 响, 从 而 保 证 业 务 系 统 的 连 续 性 和 可 用 性 - 10 -

完 善 的 DDoS 攻 击 防 护 应 该 从 四 个 方 面 考 虑 : 能 够 从 背 景 流 量 中 精 确 的 区 分 攻 击 流 量 ; 降 低 攻 击 对 服 务 的 影 响, 而 不 仅 仅 是 检 测 ; 能 够 支 持 在 各 类 网 络 入 口 点 进 行 部 署, 包 括 性 能 和 体 系 架 构 等 方 面 ; 系 统 具 备 很 强 的 扩 展 性 和 良 好 的 可 靠 性 ; 基 于 以 上 四 点, 抗 拒 绝 服 务 攻 击 的 设 备 应 具 有 如 下 特 性 : 通 过 集 成 的 检 测 和 阻 断 机 制 对 DDoS 攻 击 实 时 响 应 ; 采 用 基 于 行 为 模 式 的 异 常 检 测, 从 背 景 流 量 中 识 别 攻 击 流 量 ; 提 供 针 对 海 量 DDoS 攻 击 的 防 护 能 力 ; 提 供 灵 活 的 部 署 方 式 保 护 现 有 投 资, 避 免 单 点 故 障 或 者 增 加 额 外 投 资 ; 对 攻 击 流 量 进 行 智 能 处 理, 保 证 最 大 程 度 的 可 靠 性 和 最 低 限 度 的 投 资 ; 降 低 对 网 络 设 备 的 依 赖 及 对 设 备 配 置 的 修 改 ; 尽 量 采 用 标 准 协 议 进 行 通 讯, 保 证 最 大 程 度 的 互 操 作 性 和 可 靠 性 ; 5.2 防 护 设 计 思 想 的 演 进 DDoS 防 护 的 设 计 思 想 从 最 早 的 堵 塞 攻 击 流 量 发 展 到 现 在 的 疏 导 而 部 署 方 式 也 从 单 一 的 串 联 模 式, 发 展 为 旁 路 和 串 联 相 结 合 的 方 式, 针 对 不 同 的 用 户 不 同 的 环 境, 采 用 不 同 的 部 署 方 式 串 联 模 式 适 用 于 非 运 营 商 的 用 户, 在 出 口 带 宽 一 般 小 于 1-2G 的 情 况 下, 采 用 专 业 抗 DDoS 串 联 部 署, 提 供 精 细 化 的 小 流 量 检 测 能 力, 可 以 实 时 在 线 对 DDoS 进 行 清 洗 对 于 运 营 商 或 者 大 型 网 络, 利 用 旁 路 部 署 技 术, 抗 拒 绝 服 务 产 品 可 以 不 必 串 联 在 原 有 网 络 中, 除 了 减 少 故 障 点, 而 且 由 于 大 多 数 带 宽 不 必 实 时 通 过 抗 拒 绝 服 务 产 品, 因 此 一 个 较 小 的 抗 DDoS 清 洗 容 量 就 可 以 适 用 于 一 个 大 带 宽 的 网 络 中, 有 效 的 降 低 投 入 成 本 旁 路 工 作 原 理 如 下 : 1. 攻 击 检 测 : 通 过 流 量 镜 像 或 Netflow 方 式 检 测 到 异 常 流 量, 判 断 是 否 有 DDoS 攻 击 发 生 2. 流 量 牵 引 : 确 定 有 DDoS 攻 击 后, 通 过 路 由 技 术 的 应 用, 将 原 来 去 往 被 攻 击 目 标 IP 的 流 量 牵 引 至 旁 路 DDoS 防 护 设 备 被 牵 引 的 流 量 为 攻 击 流 量 与 正 常 流 量 的 混 合 流 量 ; 3. 攻 击 防 护 / 流 量 净 化 :DDoS 防 护 设 备 通 过 多 层 的 攻 击 流 量 识 别 与 净 化 功 能, 将 DDoS 攻 击 流 量 从 混 合 流 量 中 分 离 过 滤 ; 4. 流 量 注 入 : 经 过 防 护 设 备 净 化 之 后 的 合 法 流 量 被 重 新 注 入 回 网 络, 到 达 目 的 IP 此 时 从 服 务 器 看,DDoS 攻 击 已 经 被 抑 止, 服 务 恢 复 正 常 - 11 -

采 用 旁 路 部 署, 具 有 以 下 优 势 : 5. 提 供 按 需 防 护, 即 仅 对 可 疑 流 量 进 行 牵 引, 而 通 往 其 它 目 的 地 的 流 量 将 不 受 任 何 影 响 按 正 常 路 径 进 行 转 发 网 络 正 常 的 业 务 和 性 能 将 不 受 影 响 6. 可 实 现 全 网 范 围 的 防 护, 而 不 局 限 在 网 络 的 入 口 或 者 服 务 器 前 端 进 行 串 联 防 护 7. 可 避 免 网 络 单 点 故 障, 设 备 自 身 问 题 不 会 影 响 正 常 业 务 流 量 的 转 发 8. 提 供 海 量 清 洗, 以 应 对 带 宽 耗 尽 型 的 海 量 攻 击, 从 而 增 强 网 络 可 靠 性 9. 支 持 远 程 牵 引, 根 据 防 护 需 要 可 以 灵 活 转 移 远 程 流 量 10. 通 过 多 流 量 净 化 中 心 的 部 署, 提 供 异 地 / 不 同 区 域 的 冗 余 防 护 六. 绿 盟 抗 拒 绝 服 务 系 统 针 对 目 前 流 行 的 DDoS 攻 击, 包 括 未 知 的 攻 击 形 式, 绿 盟 科 技 提 供 了 自 主 研 发 的 抗 拒 绝 服 务 产 品 NSFOCUS Anti-DDoS System, 简 称 NSFOCUS ADS 通 过 及 时 发 现 背 景 流 量 中 各 种 类 型 的 攻 击 流 量,NSFOCUS ADS 可 以 迅 速 对 攻 击 流 量 进 行 过 滤 或 旁 路, 保 证 正 常 流 量 的 通 过 产 品 可 以 在 多 种 网 络 环 境 下 轻 松 部 署, 不 仅 能 够 避 免 单 点 故 障 的 发 生, 同 时 也 能 保 证 网 络 的 整 体 性 能 和 可 靠 性 6.1 三 位 一 体 的 解 决 方 案 绿 盟 科 技 推 出 了 三 位 一 体 的 异 常 流 量 清 洗 解 决 方 案, 可 满 足 电 信 运 营 商 对 大 型 Anti-DDoS 系 统 可 管 理 可 运 营 的 需 求 该 解 决 方 案 由 异 常 流 量 检 测 系 统 (NSFOCUS NTA) 异 常 流 量 净 化 系 统 (NSFOCUS ADS) 及 管 理 和 取 证 系 统 (NSFOCUS ADS-M) 组 成 解 决 方 案 由 三 类 组 件 产 品 构 成 : NSFOCUS ADS( 绿 盟 抗 拒 绝 服 务 攻 击 产 品 ) 作 为 绿 盟 流 量 清 洗 产 品 系 列 中 的 关 键 设 备, 其 中 NSFOCUS ADS 提 供 了 单 台 最 大 10G 的 DDoS 线 速 防 护 能 力, 通 过 部 署 NSFOCUS ADS 设 备, 可 以 对 网 络 中 的 DDoS 攻 击 流 量 进 行 清 除, 同 时 保 证 正 常 流 量 的 通 过 NSFOCUS ADS 设 备 可 以 通 过 旁 路 方 式 部 署 在 网 络 中, 同 时 利 用 万 兆 级 别 的 NSFOCUS ADS 组 成 的 多 台 设 备 的 集 群, 防 护 容 量 可 以 高 达 数 十 G, 提 高 整 个 系 统 抵 御 海 量 DDoS 攻 击 的 能 力 NSFOOCUS NTA( 绿 盟 网 络 流 量 分 析 产 品 ) 绿 盟 流 量 清 洗 产 品 系 列 中 第 二 类 设 备, 称 之 为 NSFOCUS NTA, 该 设 备 主 要 应 用 于 异 常 流 量 检 测, 需 要 和 NSFOCUS ADS 设 - 12 -

备 配 合 工 作 NSFOCUS NTA 设 备 可 以 应 用 Netflow 等 方 式 对 流 量 数 据 进 行 采 集, 并 对 采 集 到 的 数 据 进 行 深 入 分 析 一 旦 发 现 异 常 的 网 络 流 量,NSFOCUS NTA 会 根 据 预 先 由 系 统 管 理 员 定 义 的 方 式 触 发 NOC(Network Operation Center) 控 制 台 报 警 或 自 动 联 动 异 常 流 量 净 化 系 统 进 行 流 量 的 牵 引 和 净 化 NSFOCUS ADS-M( 绿 盟 抗 拒 绝 服 务 攻 击 综 合 管 理 产 品 ) 绿 盟 流 量 清 洗 产 品 系 列 中 第 三 类 设 备, 称 之 为 NSFOCUS ADS-M, 负 责 收 集 来 源 于 不 同 网 络 位 置 的 多 个 NSFOCUS ADS 设 备 的 状 态 数 据, 进 行 关 联 分 析 和 处 理 ; 基 于 防 护 群 组 流 量 群 组 等 逻 辑 对 象 进 行 高 效 的 业 务 用 户 分 组 防 护 管 理, 并 分 别 提 供 类 型 丰 富 的 报 表 ; 对 于 网 络 不 同 节 点 的 防 护 / 监 控 产 品 进 行 集 中 的 配 置 管 理 和 权 限 分 配 ; 为 攻 击 溯 源 提 供 抓 包 取 证 的 功 能 除 此 之 外,NSFOCUS ADS-M 更 提 供 用 户 自 服 务 系 统, 满 足 运 营 商 利 用 DDoS 做 增 值 服 务 的 需 要 6.2 部 署 方 式 绿 盟 科 技 的 抗 拒 绝 服 务 解 决 方 案 采 用 了 业 内 先 进 的 智 能 检 测 算 法, 对 DDoS 攻 击 进 行 专 业 的 判 断 和 识 别, 并 进 一 步 实 时 清 除 攻 击 流 量 无 论 中 小 企 业, 还 是 数 据 中 心, 或 是 电 信 运 营 商 网 络, 绿 盟 科 技 都 提 供 相 应 环 境 下 的 抗 拒 绝 服 务 的 应 用 方 式 6.2.1 串 行 部 署 方 式 针 对 少 量 服 务 器 或 出 口 带 宽 较 小 的 企 业 内 部 网, 绿 盟 抗 拒 绝 服 务 产 品 提 供 串 行 部 署 方 式, 通 过 ADS 设 备 透 明 地 串 联 在 网 络 入 口 端, 对 DDoS 攻 击 进 行 检 测 分 析 和 阻 断 部 署 拓 扑 图 如 下 所 示 : 图 6.1 ADS 的 串 行 部 署 方 式 - 13 -

6.2.2 旁 路 部 署 方 式 针 对 IDC ICP 或 运 营 商 关 键 业 务 系 统, 绿 盟 抗 拒 绝 服 务 系 统 提 供 了 基 于 流 量 牵 引 技 术 的 旁 路 部 署 方 式 通 常, 流 量 监 测 设 备 NTA 部 署 在 网 络 任 意 位 置,ADS 设 备 旁 路 部 署 在 网 络 入 口 NTA 设 备 主 要 对 网 络 入 口 的 流 量 提 供 监 控 功 能, 及 时 检 测 DDoS 攻 击 的 类 型 和 来 源 当 发 现 DDoS 攻 击 发 生 时,NTA 设 备 会 及 时 通 知 ADS 设 备, 随 后 由 ADS 设 备 启 动 流 量 牵 引 机 制, 从 路 由 器 或 交 换 机 处 分 流 可 疑 流 量 至 ADS 设 备, 在 完 成 DDoS 攻 击 的 过 滤 后,ADS 再 将 干 净 的 流 量 注 入 回 网 络 当 中 在 这 个 过 程 中 ADS-M 系 列 的 管 理 系 统 参 与 整 体 协 调 和 记 录 管 理 图 6.2 ADS 产 品 的 旁 路 部 署 方 式 针 对 大 型 IDC 城 域 网 或 骨 干 网, 当 发 生 海 量 DDoS 攻 击 时, 绿 盟 抗 拒 绝 服 务 产 品 还 能 够 提 供 集 群 部 署 的 方 式 在 旁 路 集 群 部 署 中, 若 干 台 ADS 设 备 并 联 在 网 络 中, 在 某 台 ADS 设 备 接 收 到 NTA 设 备 的 攻 击 告 警 后, 会 启 动 流 量 牵 引 机 制, 将 可 疑 流 量 均 衡 分 配 到 若 干 台 ADS 上 进 行 流 量 过 滤 - 14 -

图 6.3 运 营 商 级 三 位 一 体 分 层 部 署 方 式 6.3 核 心 原 理 绿 盟 抗 拒 绝 服 务 产 品 基 于 嵌 入 式 系 统 设 计, 在 系 统 核 心 实 现 了 防 御 拒 绝 服 务 攻 击 的 算 法, 创 造 性 地 将 算 法 实 现 在 协 议 栈 的 最 底 层, 避 免 了 TCP/UDP/IP 等 高 层 系 统 网 络 堆 栈 的 处 理, 使 整 个 运 算 代 价 大 大 降 低, 并 结 合 特 有 硬 件 加 速 运 算, 因 此 系 统 效 率 极 高 该 方 案 的 核 心 技 术 架 构 如 图 6.4 所 示 图 6.4 绿 盟 抗 拒 绝 服 务 系 统 核 心 架 构 - 15 -

反 欺 骗 绿 盟 Anti-DoS 技 术 将 会 对 数 据 包 源 地 址 和 端 口 的 正 确 性 进 行 验 证, 同 时 还 对 流 量 在 统 计 和 分 析 的 基 础 上 提 供 针 对 性 的 反 向 探 测 协 议 栈 行 为 模 式 分 析 根 据 协 议 包 类 型 判 断 其 是 否 符 合 RFC 规 定, 若 发 现 异 常, 则 立 即 启 动 统 计 分 析 机 制 ; 随 后 针 对 不 同 的 协 议, 采 用 绿 盟 专 有 的 协 议 栈 行 为 模 式 分 析 算 法 决 定 是 否 对 数 据 包 进 行 过 滤 限 制 或 放 行 特 定 应 用 防 护 ADS 产 品 还 会 根 据 某 些 特 殊 协 议 类 型, 诸 如 DNS HTTP VOIP SIP 等, 启 用 分 析 模 式 算 法 机 制, 进 一 步 对 不 同 协 议 类 型 的 DDoS 攻 击 进 行 防 护 用 户 行 为 模 式 分 析 网 络 上 的 真 实 业 务 流 量 往 往 含 有 大 量 的 背 景 噪 声, 这 体 现 了 网 络 流 量 的 随 机 性 ; 而 攻 击 者 或 攻 击 程 序, 为 了 提 高 攻 击 的 效 率, 往 往 采 用 较 为 固 定 的 负 载 进 行 攻 击 ADS 产 品 对 用 户 的 行 为 模 式 进 行 统 计 跟 踪 和 分 析, 分 辨 出 真 实 业 务 浏 览, 并 对 攻 击 流 量 进 行 带 宽 限 制 和 信 誉 惩 罚 动 态 指 纹 识 别 作 为 一 种 通 用 算 法, 指 纹 识 别 和 协 议 无 关, 绿 盟 Anti-DoS 技 术 采 用 滑 动 窗 口 对 数 据 包 负 载 的 特 定 字 节 范 围 进 行 统 计, 采 用 模 式 识 别 算 法 计 算 攻 击 包 的 特 征 对 匹 配 指 纹 特 征 的 攻 击 包 进 行 带 宽 限 制 和 信 誉 惩 罚 带 宽 控 制 对 经 过 系 统 净 化 的 流 量 进 行 整 形 输 出, 减 轻 对 下 游 网 络 系 统 的 压 力 6.4 系 统 特 性 6.4.1 精 准 的 攻 击 流 量 识 别 绿 盟 抗 拒 绝 服 务 系 统 应 用 了 自 主 研 发 的 抗 拒 绝 服 务 攻 击 算 法, 在 对 网 络 数 据 报 文 进 行 概 率 统 计 的 基 础 上, 针 对 不 同 种 类 的 DDoS 攻 击 采 用 不 同 的 算 法 ( 例 如 流 量 建 模 反 欺 骗 协 议 栈 行 为 模 式 分 析 特 定 应 用 防 护 用 户 行 为 模 式 分 析 动 态 指 纹 识 别 等 ) 进 行 识 别, 从 而 准 确 地 区 分 出 恶 意 的 DDoS 报 文 和 正 常 访 问 的 网 络 数 据 报 文 另 一 方 面, 产 品 采 用 的 攻 击 检 测 和 识 别 的 算 法 效 率 非 常 之 高, 可 以 承 受 各 类 大 流 量 DDoS 的 攻 击, 以 Syn Flood 防 护 为 例, 连 接 维 持 率 和 新 发 起 连 接 可 用 率 都 可 达 100% 其 效 率 远 远 超 过 了 Syn-cookie 和 Random-drop 等 算 法 6.4.2 强 大 的 攻 击 防 护 能 力 基 于 绿 盟 科 技 自 主 研 发 的 独 特 的 防 护 算 法, 绿 盟 抗 拒 绝 服 务 攻 击 系 统 可 高 效 防 护 各 类 基 于 网 络 层 混 合 型 连 接 耗 尽 型 等 的 拒 绝 服 务 攻 击, 如 SYN Flood UDP Flood UDP DNS - 16 -

Query Flood (M)Stream Flood ICMP Flood ACK Flood/ DrDoS 等, 系 统 还 可 针 对 HTTP Get Flood 攻 击 游 戏 服 务 攻 击 音 视 频 服 务 攻 击 等 危 害 更 大 的 应 用 层 拒 绝 服 务 攻 击 进 行 有 效 防 护 NSFOCUS ADS 系 统 提 供 了 流 量 限 制 特 性, 用 于 应 对 突 发 的 流 量 异 常 变 化 系 统 还 提 供 了 访 问 控 制 列 表 (ACL) 功 能, 可 以 让 管 理 员 直 接 设 置 黑 白 名 单, 简 化 对 一 些 特 定 应 用 的 控 制 难 度 另 外, 深 层 包 检 查 规 则 允 许 管 理 员 根 据 攻 击 包 的 源 / 目 的 IP, 源 / 目 的 协 议 端 口, 以 及 协 议 类 型 或 Tcp Flag/ICMP Type/ICMP Code 等 特 征 字 节 定 义 模 版, 进 行 快 速 防 护 针 对 运 营 商 网 络 中 客 户 众 多 且 对 DDoS 防 护 需 求 不 同 的 特 点,ADS 设 备 提 供 防 护 群 组 功 能, 对 用 户 加 以 区 分, 并 对 不 同 的 用 户 组 提 供 细 粒 度 的 防 护 策 略 由 于 当 前 黑 客 技 术 发 展 越 来 越 迅 速, 所 以 新 的 DDoS 攻 击 技 术 也 日 新 月 益 绿 盟 科 技 拥 有 一 支 强 大 的 安 全 技 术 研 究 队 伍, 专 职 于 安 全 攻 击 及 防 护 技 术 的 研 究, 能 够 及 时 跟 踪 并 发 现 互 联 网 上 新 出 现 的 DDoS 攻 击 类 型 基 于 绿 盟 Anti-DoS 系 统 本 身 很 强 的 扩 展 性, 当 新 的 攻 击 类 型 出 现 时, 绿 盟 抗 拒 绝 服 务 攻 击 系 统 能 够 在 一 周 之 内 迅 速 升 级, 以 保 证 客 户 网 络 在 新 的 攻 击 之 下 的 安 全 性 6.4.3 海 量 的 攻 击 防 护 性 能 根 据 型 号 不 同, 电 信 级 高 端 NSFOCUS ADS 系 统 分 别 采 用 先 进 的 多 核 处 理 器 及 NP+ASIC 硬 件 构 架 单 台 设 备 最 高 可 具 有 10G 流 量 的 线 速 分 析 和 DDoS 攻 击 防 护 能 力 以 最 具 代 表 性 的 64 字 节 SYN Flood 为 例,NSFOCUS ADS 6000 可 以 承 受 1,480 万 PPS 的 攻 击 流 量 多 台 ADS 集 群 后, 可 以 使 得 整 体 防 护 集 群 的 容 量 和 处 理 性 能 进 一 步 提 升 系 统 可 以 依 据 攻 击 的 目 的 流 量 类 型 等 多 种 因 素 进 行 流 量 牵 引, 拥 有 对 更 大 规 模 更 复 杂 的 DDoS 攻 击 防 御 的 能 力 即 使 电 信 运 营 商 或 者 大 型 企 业 在 面 临 最 严 重 的 DDoS 攻 击 威 胁 时 也 能 提 供 最 佳 的 防 护 实 践 另 一 方 面, 基 于 保 障 全 网 可 用 性 的 思 路, 系 统 采 用 了 主 机 识 别 和 流 量 牵 引 等 多 种 技 术, 在 过 滤 攻 击 流 量 的 同 时, 确 保 了 正 常 流 量 不 受 影 响, 从 而 保 证 了 网 络 服 务 的 品 质 6.4.4 灵 活 的 应 用 部 署 方 式 由 于 客 户 网 络 环 境 和 规 模 不 同, 绿 盟 抗 拒 绝 服 务 攻 击 系 统 也 包 含 了 多 种 产 品 形 态 和 部 署 方 式, 包 括 串 联 串 联 集 群 旁 路 以 及 旁 路 集 群 等 不 同 方 式, 不 同 的 部 署 方 式 和 对 各 类 网 络 协 议 的 支 持 使 得 NSFOCUS ADS 系 统 能 够 适 应 各 种 复 杂 的 网 络 环 境, 为 独 立 服 务 器 中 小 企 业 或 是 大 型 企 业, 以 及 电 信 运 营 商 网 络 提 供 代 价 最 小 的 应 用 方 案, 便 于 系 统 的 部 署 和 管 理 - 17 -

针 对 大 型 IDC ICP 及 运 营 商 骨 干 网 出 口 的 旁 路 部 署 模 型 可 实 现 针 对 防 护 对 象 的 按 需 防 护, 在 发 现 流 量 的 可 疑 特 征 后, 系 统 采 用 动 态 流 量 牵 引 技 术 将 去 往 受 保 护 区 域 或 主 机 的 流 量 的 下 一 跳 重 定 向 到 流 量 净 化 设 备 上, 而 不 影 响 去 往 其 它 区 域 或 主 机 的 流 量 转 发 路 径 当 可 疑 流 量 经 过 防 护 设 备 的 识 别 并 剥 离 出 有 害 数 据 流 后, 干 净 的 流 量 将 被 注 回 原 来 的 网 络 中 并 抵 达 原 来 的 目 的 地 为 了 适 应 复 杂 的 运 营 商 和 大 型 企 业 网 络 环 境, 并 满 足 便 于 部 署 对 现 网 环 境 影 响 小 等 实 际 需 求, 系 统 提 供 了 丰 富 的 流 量 牵 引 和 回 注 特 性 以 便 在 现 网 中 选 择 实 施 6.4.5 友 好 的 系 统 / 报 表 管 理 配 合 NSFOCUS ADS-M 系 列 管 理 设 备 进 行 旁 路 部 署 应 用 时, 系 统 可 以 提 供 直 观 而 便 利 的 设 备 运 行 监 控 策 略 配 置 报 表 生 成 和 抓 包 取 证 等 管 理 : 分 级 分 权 管 理 特 性, 使 得 网 络 工 程 师 安 全 管 理 员 和 客 户 可 以 看 到 不 同 级 别 的 实 时 统 计 信 息 和 监 控 报 表 内 容 攻 击 报 表 提 供 了 对 攻 击 事 件 攻 击 类 型 攻 击 特 征 攻 击 来 源 等 信 息 的 详 细 记 录, 一 方 面 便 于 管 理 员 实 时 监 控 攻 击 发 生 情 况, 另 一 方 面 还 可 以 提 供 历 史 信 息, 对 攻 击 行 为 进 行 追 踪 与 取 证 系 统 还 提 供 了 诸 如 流 量 监 控 报 表 日 志 信 息 通 告 和 攻 击 历 史 报 表 等 工 具, 便 于 最 终 使 用 者 根 据 攻 击 情 况 来 实 时 调 整 防 护 策 略 利 用 NSFOCUS ADS-M 系 列 的 管 理 产 品, 可 以 对 多 台 NSFOCUS ADS 设 备 集 中 管 理 集 中 监 控 集 中 控 制 集 中 维 护 集 中 管 理 功 能 可 以 让 用 户 同 时 查 看 和 修 改 多 台 NSFOCUS ADS 设 备, 并 将 修 改 结 果 统 一 下 发 集 中 监 控 功 能 可 以 让 用 户 同 时 查 看 多 台 NSFOCUS ADS 设 备 上 的 流 量 和 运 行 状 态 集 中 控 制 功 能 可 以 同 时 下 达 远 程 启 动 和 抓 包 取 证 命 令 多 台 NSFOCUS ADS 设 备 的 配 置 文 件 和 流 量 统 计 数 据 告 警 信 息 都 可 以 集 中 存 贮 在 NSFOCUS ADS 管 理 平 台 上 以 便 集 中 维 护 6.4.6 独 特 的 增 值 业 务 管 理 结 合 NSFOCUS ADS-M 系 列 的 管 理 产 品, 系 统 可 提 供 特 有 的 运 营 维 护 和 自 服 务 系 统 的 增 值 服 务 平 台, 从 而 获 取 服 务 收 益 运 营 商 藉 此 对 有 强 烈 防 护 需 求 的 大 客 户 ( 网 吧 证 券 珠 宝 商 场 电 力 政 府 酒 店 IPTV 提 供 商 等 ) 提 供 安 全 防 护 增 值 服 务, 而 大 客 户 可 通 过 登 录 本 系 统 开 放 的 自 服 务 界 面, 查 看 自 己 的 实 时 网 络 流 量 应 用 协 议 分 布 情 况 攻 击 防 护 等 关 键 业 务 信 息 该 平 台, 一 方 面 提 高 了 大 客 户 对 其 系 统 安 全 状 况 的 感 知 度 ; 另 一 方 面 提 升 客 户 服 务 质 量 和 内 涵 - 18 -

6.5 专 业 的 攻 击 支 持 经 验 基 于 绿 盟 科 技 自 2002 年 以 来 抗 拒 绝 服 务 商 用 产 品 多 年 的 商 用 案 例 和 服 务 支 持 积 累 的 丰 富 经 验, 绿 盟 科 技 服 务 专 家 可 提 供 快 速 的 现 场 防 御 支 持 及 攻 击 防 御 咨 询 / 部 署 / 培 训 等 服 务, 不 仅 帮 助 客 户 建 立 坚 固 的 防 御 系 统 提 供 防 御 支 撑, 还 帮 助 客 户 建 立 起 专 业 的 攻 击 防 御 团 队 七. 结 论 随 着 DDoS 攻 击 工 具 不 断 的 普 遍 和 强 大,Internet 上 的 安 全 隐 患 越 来 越 多, 以 及 客 户 业 务 系 统 对 网 络 依 赖 程 度 的 增 高, 可 以 预 见 的 是 DDoS 攻 击 事 件 数 量 会 持 续 增 长, 而 攻 击 规 模 也 会 更 大, 损 失 严 重 程 度 也 会 更 高 由 于 这 些 攻 击 带 来 的 损 失 增 长, 运 营 商 企 业 或 是 政 府 必 须 有 所 对 策 以 保 护 其 投 资 利 润 和 服 务 为 了 弥 补 目 前 安 全 设 备 ( 防 火 墙 入 侵 检 测 等 ) 对 DDoS 攻 击 防 护 能 力 的 不 足, 我 们 需 要 一 种 新 的 工 具 用 于 保 护 业 务 系 统 不 受 DDoS 攻 击 的 影 响 这 种 工 具 不 仅 仅 能 够 检 测 目 前 复 杂 的 DDoS 攻 击, 而 且 必 须 在 不 影 响 正 常 业 务 流 量 的 前 提 下 对 攻 击 流 量 进 行 实 时 阻 断 这 类 工 具 相 对 于 目 前 常 见 的 安 全 产 品, 必 须 具 备 更 细 粒 度 的 攻 击 检 测 和 分 析 机 制 对 于 运 营 商 来 说, 通 过 在 网 络 骨 干 出 口 及 IDC 出 口 的 部 署, 这 类 工 具 还 可 为 运 营 商 创 造 一 种 新 的 安 全 增 值 服 务 提 供 平 台 支 撑 绿 盟 抗 拒 绝 服 务 攻 击 产 品 提 供 了 业 界 领 先 的 DDoS 防 护 能 力, 通 过 多 种 机 制 的 分 析 检 测 机 制 以 及 灵 活 的 部 署 方 式, 绿 盟 科 技 的 产 品 和 技 术 能 够 有 效 的 阻 断 攻 击, 保 证 合 法 流 量 的 正 常 传 输, 这 对 于 保 障 业 务 系 统 的 运 行 连 续 性 和 完 整 性 有 着 极 为 重 要 的 意 义 - 19 -