机房的硬件防火墙到底能不能防DDOS?
2009-05-12 15:37:28来源:未知 阅读 ()
在研究这个问题之前,我们先来谈谈什么是DDOS:
什么是DDOS:
DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。
DDOS主要采用的是SYN FLOOD及其变种的攻击,现在新的比如CC的攻击也属于这个范畴但是CC更智能一些,它用的是多次读取同一个服务器存在的文件的方式,现有的DDOS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测,所以导致了大多数防火墙对CC造成的DDOS攻击没效果;防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤,这样即便你是伪造的包,但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉,如果一个数据包想通过这个防火墙就必须符合以下的特点,一是已经存在的ARP这个可以被验证是正确的ARP,二是这个数据包不是重复的包(200NS以内),三是这个连接地址是存在的,四这个数据包的状态是持续的连接,如果不是持续的连接一样被过滤掉。
DDOS现在比较流行的一种方式是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。其基本原理是:攻击发起主机(attacker host) 多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。
那么,机房采用的硬件防火墙能不能很好的防御DDOS攻击呢?
要研究这个问题,还是先来看看国内的机房都采用哪些硬件防火墙:其实目前国内抗DDOS防火墙比较知名的,同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓“XX盾DDoS防火墙”多半是抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西。
Dosnipe防火墙:
Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机),可以承受恶劣的运行环境,保障设备稳定运行;软件平台是FreeBSD,核心部分算法是自主研发的单向一次性非法数据包识别方法,所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等),针对CC攻击,已推出DosNipe V8.0版本,此核心极其高效安全,在以往抵御一切拒绝服务攻击的基础上,新增加了抵挡CC攻击,新算法可以高效的抵御所有CC攻击及其变种,识别准确率为100%,没有任何误判的可能性。
Dosnipe防火墙去年升级之后,具备更多的新特性:
·彻底解决最新的M2攻击。
·支持多线路,多路由接入功能。
·支持流量控制功能。
·更强大的过滤功能。
·最新升级,彻底高效的解决所有DDOS攻击,cc攻击的识别率为100%
黑洞抗DDoS防火墙
黑洞抗DDoS防火墙是国内IDC中应用比较广泛的一款抗DoS、DDoS攻击产品,其技术比较成熟,而且防护效果显著,已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器,使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率,核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:服务器安全:防范拒绝服务攻击妙招
- 让关闭的Linux操作系统实现防火墙 2009-05-12
- 学习配置 Windows Server 2008 防火墙 2009-05-12
- CISCO PIX防火墙及网络安全配置指南 2009-05-12
- 全面彻底 普通用户选用防火墙面面通 2008-05-19
- CISCO PIX防火墙FTP漏洞允许非法通过防火墙 2008-04-09
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash