金盾抗DDOS防火墙白皮书

1、金盾金盾抗拒绝服务系统技术白皮书金盾抗拒绝服务系统技术白皮书安徽中新软件有限公司anhui zxsoft co. ltd.版权所有 2002-2006版权声明 版权所有2002-2006，安徽中新软件有限公司 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安徽中新软件有限公司所有，受到有关产权及版权法保护。任何个人、机构未经安徽中新软件有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 商标信息中新软件、jdfw、金盾抗拒绝服务系统是安徽中新软件有限公司的商标。目录版权声明2商标信息2一、概述4二、形势及趋势61.受到攻击的现象62.

2、dos/ddos实例分析63.发展趋势7三、防护手段81.普通防护措施82.网络安全设备9四、金盾抗拒绝服务系统111.产品功能112.防护原理123.产品系列144.部署方式14五、结论15一、 概述拒绝服务攻击（dos/ddos）是近年来愈演愈烈的一种攻击手段，其主要目的是造成目标主机的tcp/ip协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。目前，dos/ddos攻击方式主要有以下几种： 利用tcp/ip协议的漏洞，消耗目标主机的系统资源，使其过度负载。此种攻击也是目前最普遍存在的一种攻击形式，攻击者动辄发起几十兆甚至上百兆的攻击流量，造成目标的彻底瘫痪。常见的有syn floo

3、d，udp flood，icmp flood等等； 利用某些基于tcp/ip协议的软件漏洞，造成应用异常。此种攻击比较单一，通常是针对某个软件的特定版本的攻击，影响范围较小，且具有时限性。但通常此种攻击较难防治，漏洞查找较困难； 不断尝试，频繁连接的野蛮型攻击。此种攻击早期危害有限，但随着代理型攻击的加入，已渐有成为主流之势。常见的有web stress，cc proxy flood等。随着网络上各种业务的普遍展开，dos/ddos攻击所带来的损失也愈益严重。当前运营商、企业及政府机构的各种用户时刻都面临着攻击的威胁，而可预期的更加强大的攻击工具也会成批出现，此种攻击只会数量更多、破坏力更强大

4、，更加难以防御。正是dos/ddos攻击难于防御，危害严重，所以如何有效的应对dos攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对dos攻击完善的防御能力。因此必须采用专门的机制，对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击形为。本文内容将包含如下部分： dos/ddos当前的攻击形势及发展趋势； 常见的dos/ddos防护方法及其局限性； 金盾抗拒绝服务系统解决方案。二、 形势及趋势dos/ddos攻击者一般采用大量傀儡机发动攻击。普通个人电脑用户安全意识薄弱，

5、防护措施较少，所以极易被黑客攻破并利用，通过植入某些后门程序，使得这些个人电脑为攻击者所用，形成傀儡机。随后，只要向这些傀儡机发送控制命令，就可以由这些机器完成攻击。此种攻击形式又叫“botnet”，由此造成的攻击规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。 1. 受到攻击的现象当服务器主机被dos/ddos攻击时，主要有如下现象： 被攻击主机上有大量等待的tcp连接 cpu占用率达到100%，严重时会死机 网络中充斥着大量的无用的数据包，源地址为伪造 高流量无用数据，网络拥塞，受害主机无法正常和外界通讯成功的dos攻击将造成网络服务商的巨大损失，客户访问失败，服务质量受损

6、。同时，公司的信誉也会受到影响。而这种危害又常常是长期性的，形成恶性循环。 2. dos/ddos实例分析下面以一次syn flood攻击为例，分析dos攻击的流程。syn-flood是目前最流行的dos/ddos攻击手段，其利用了tcp/ip协议固有的漏洞，形成大量虚假连接，造成服务器拒绝服务。众所周知，tcp是面向连接的协议类型，其建立连接的过程成为三次握手过程。在第一步握手时，客户端向服务端提出连接请求，此时syn标志置位；随后服务端在第二步回应该报文，此时syn-ack标志置位；在第三步中，客户端发送确认报文，此时ack标志置位。至此，完整的tcp连接建立完成，数据传输过程开始。假设服

7、务器在发出syn-ack应答报文后一段时间内没有收到客户端的ack报文，则服务器一般会重试若干次，完全失败后才会彻底丢掉这个请求。这段时间称为syn timeout，一般来说这个时间是分钟的数量级。如果恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源内存、cpu及网络带宽。最终形成拒绝服务状态或者死机。syn flood攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂。且大量数据报均为伪造，无法通过特征库模式匹配来区分。从而可轻易躲避基于异常模式监控的工具的识别。3. 发展趋势目前dos/ddos攻击也在迅速发展，攻击者不断采用更加复杂的欺

8、骗伪造技术，用于躲避各类防护设备检测。并倾向于模拟合法用户，使攻击流量同正常流量更加契合，难以区分。而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成dos攻击。三、 防护手段常见的防火墙、入侵检测设备、路由器等网络设备，对于dos/ddos攻击普遍束手无策。且由于设计的缺陷，在面临大量攻击的情况下，这些设备反倒很容易最先瘫痪。至于退让策略或是系统优化等方法只能应付小规模dos攻击，对大规模dos击还是无法提供有效的防护。 1. 普通防护措施在缺少专用设备的情况下，防护dos/ddos的措施主要有以下几种： 系统优化通过设置并优化操作系统参数，提高系统本身对dos攻击的抵御能力。比

9、如windows操作系统内部集成了简单的dos响应策略，而linux自带的syn cookie也是一种较好的防护手段。这些策略对小规模的dos攻击具有较好的防护效果，然而，当攻击量增大就无计可施了。 退让策略更换ip，更换域名，或者通过购买负载均衡设备。此种措施在某些情况下比较有效，然而随着攻击工具的改进，自动重定向、多路攻击的工具，使此种策略彻底失效。 溯源追查找到攻击源头，并从源头处解决攻击，是最好的办法。然而，当前攻击普遍采用的伪造源地址，及大量傀儡机的存在，使这种方法不可行。 路由器设置通过设置路由器，可以做到从源头处掐断攻击流量，国外大多路由器均有此设置。然而国内网络建设却无法完成这

10、一宏伟举措，所以此种方法还是不可行的。2. 网络安全设备网络上大量存在的安全设备，是否可以承担dos/ddos的防护重任？ 防火墙防火墙几乎是最常用的安全产品，普遍采用包过滤模式，某些高档产品具有面向连接特性。然而，其设计原理中并没有考虑dos/ddos攻击的因素，因此无法完成相应的防护功能。甚至在某些情况下，防火墙会成为dos/ddos攻击的首要目标而导致整个网络的瘫痪。 入侵检测目前入侵检测系统是最广泛的攻击检测工具，然而面对dos/ddos攻击，ids往往无法满足要求。原因就在于ids系统一般对攻击只进行检测，而无法提供阻断的功能。ids系统需要的是特定攻击流检测之后实时的阻断能力，这样

11、才能真正意义上减缓dos对于网络服务的影响。3. ddos防护的基本要求dos/ddos防护包含如下两个方面： 针对不断发展的攻击形式，尤其是采用多种欺骗技术的技术，能够有效地进行检测，并完成相应防护； 降低对受保护系统及受保护网络的影响，保证系统的连续可用。因此，一个完善的dos/ddos防护解决方案，应该具有以下特性： 采用基于行为模式的异常检测，从正常流量中精确的区分攻击流量； 通过集成的检测和阻断机制对dos攻击实时响应，完成基本dos防护功能需求； 支持各类网络接入模式，并具有较高的吞吐量，避免单点故障； 具备很强的扩展性和良好的可靠性。四、 金盾抗拒绝服务系统针对当前的dos/dd

12、os攻击现状，安徽中新软件自主研发的抗拒绝服务产品金盾抗拒绝服务系统，具有很强的dos/ddos攻击的防护能力。并可在多种网络环境下轻松部署，保证网络的整体性能和可靠性。1. 产品功能 dos/ddos攻击检测及防护金盾抗拒绝服务系列产品，应用了自主研发的抗拒绝服务攻击算法，对syn flood，udp flood，icmp flood，igmp flood，fragment flood，http proxy flood，cc proxy flood，connection exhausted等各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，保护服务主机免于攻击

13、所造成的损失。内建的web保护模式及游戏保护模式，彻底解决针对此两种应用的dos攻击方式。 通用方便的报文规则过滤金盾抗拒绝服务系列产品，除了提供专业的dos/ddos攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度。同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。 专业的连接跟踪机制金盾抗拒绝服务系列产品，内部实现了完整的tcp/ip协议栈，具有强大的连接跟踪能力。每个进出的连接，防火墙都会根据其源地址进行分类，并显示给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，重置连接等辅

14、助功能，弥补了tcp协议本身的不足，使您的服务器在攻击中游刃有余。 简洁丰富的管理金盾抗拒绝服务系列产品具有丰富的设备管理功能，基于简洁的web的管理方式，支持本地或远程的升级。同时，丰富的日志和审计功能也极大地增强了设备的可用性，不仅能够针对攻击进行实时监测，还能对攻击的历史日志进行方便的查询和统计分析，便于对攻击事件进行有效的跟踪和追查。 广泛的部署能力针对不同的客户，抗拒绝服务所面临的网络环境也不同，企业网、idc、icp或是城域网等多种网络协议并存，给抗拒绝服务系统的部署带来了不同的挑战。金盾抗拒绝服务系统具备了多种环境下的部署能力。2. 防护原理金盾抗拒绝服务产品基于嵌入式系统设计，

15、在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避开了ip/tcp/udp等高层系统网络堆栈的处理，使整个运算代价大大降低。并采用自主研发的高效的防护算法，效率极高。方案的核心技术架构如下图所示：金盾防火墙防护原理图 攻击检测金盾抗拒绝服务系统利用了多种技术手段对dos/ddos攻击进行有效的检测，在不同的流量触发不同的保护机制，在提高效率的同时确保准确度； 协议分析金盾抗拒绝服务系统采用了协议独立的处理方法，对于tcp协议报文，通过连接跟踪模块来防护攻击；而对于udp及icmp协议报文，主要采用流量控制模块来防护攻击。 主机识别金盾抗拒绝服务系统可自动识别其保护的

16、各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。 连接跟踪金盾抗拒绝服务系统针对进出的连接均进行连接跟踪，并在跟踪的同时进行防护，彻底解决针对tcp协议的各种攻击。 端口防护建立在连接跟踪模块上的端口防护体制，针对不同的端口应用，提供不同的防护手段，使得运行在同一服务器上的不同服务，都可以受到完善的dos/ddos攻击保护。3. 产品系列经过多年的研发推广，目前金盾抗拒绝服务系统包含软、硬件两个产品线： 软件产品：主要有jdfw-sw8000及jdfw-swu两种，按照连接数划分，提供不同的处理能力，分别为8000及无限连接数； 硬件产品：主要有jdfw-100及jdfw-1000两种产品，分别对应百兆及千兆接入环境。4. 部署方式金盾抗拒绝服务系统采用透明模式接入，如一根导线接入网络，对dos/ddos攻击进行检测、分析和阻断。部署拓扑图如下所示： 防火墙接入拓朴图五、 结论随着dos/ddos攻击的增多及强度的增大，对网络愈发依赖的业务系统所受的损失也将成倍增加。由于这些攻击带来的损失增长，运营商、企业或是政府必