网神SecDDoS3600抗拒绝服务系统
目录
1.产品概述....................................................................................................................................................................51.1产品背景............................................................................................................................................................51.2DDoS攻击方式.................................................................................................................................................51.2.1SynFlood.......................................................................................................................................................51.2.2ICMPFlood....................................................................................................................................................51.2.3Land攻击........................................................................................................................................................51.2.4CC攻击............................................................................................................................................................51.2.5DNSQueryFlood........................................................................................................................................61.2.6IGMPFlood...................................................................................................................................................61.3DDoS攻击分类.................................................................................................................................................61.3.1流量型.............................................................................................................................................................61.3.2连接型.............................................................................................................................................................61.4专业的抗拒绝服务攻击产品............................................................................................................................62.产品特色....................................................................................................................................................................72.1极速处理能力....................................................................................................................................................72.2铸造防护长城....................................................................................................................错误!未定义书签。2.3协同防御手段....................................................................................................................................................73/14网神SecDDoS3600抗拒绝服务系统
3.技术优势....................................................................................................................................................................73.1极速处理能力....................................................................................................................................................73.2自主防护算法....................................................................................................................................................83.3嵌入页面防护手段............................................................................................................................................83.4“插件”概念.....................................................................................................................................................93.5传统“阈值”理论............................................................................................................................................83.6扩展集群方式....................................................................................................................................................93.7旁路抵御模式....................................................................................................................................................93.8流量分析器........................................................................................................................................................93.9数据综合分析..................................................................................................................................................104.典型应用..................................................................................................................................................................104.1部署方式..........................................................................................................................................................104.1.1单机串联部署............................................................................................................................................104.1.2双机热备部署............................................................................................................................................114.1.3双机热备部署............................................................................................................................................114.1.4旁路部署....................................................................................................................................................124.2总结..................................................................................................................................................................134/14网神SecDDoS3600抗拒绝服务系统
1.产品概述1.1产品背景
近些年,网络攻击事件频繁曝光在公众视野中。其中最常见的就是DDoS攻击。DDoS(全称:DistributedDenialofService)叫做分布式拒绝服务攻击,DDoS攻击是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击,最终导致网络瘫痪或是服务器瘫痪,无法对外提供正常的网络服务。
1.2DDoS攻击方式
DDoS攻击都是基于TCP/IP协议而来,主要是网络层DDoS攻击和应用层DDoS攻击。网络层DDoS攻击主要基于IP、TCP、UDP、ICMP、IGMP协议。应用层DDoS攻击主要基于HTTP协议的ChallengeCollapsar。(简称:CC攻击)
1.2.1SynFlood
利用TCP协议缺陷,发送海量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
1.2.2ICMPFlood
利用海量ICMP报文给服务器带来较大的负载,影响服务器的正常服务。由于目前很多抗拒绝服务产品直接过滤ICMP报文,因此ICMPFlood出现的频度较低,但变种伪造IP的Flood,Smurf洪水攻击(反射攻击)却愈发猛烈。
1.2.3Land攻击
向服务器发送具有IP源和目的地址,甚至TCP源和目的端口完全一样的伪造的SYN包,使服务器创建大量空连接而无法承受这么多流量瘫痪或重启。
1.2.4CC攻击
5/14网神SecDDoS3600抗拒绝服务系统
CC其前身名为Fatboy攻击,攻击者借助代理服务器生成指向受害主机的合法请求,实现对服务器资源的恶意消耗。
1.2.5DNSQueryFlood
利用向被攻击的DNS服务器发送海量伪造域名的解析请求,以达到消耗服务器系统资源的目的。
1.2.6IGMPFlood
利用IGMP协议漏洞(无需认证),发送大量伪造的IGMP数据包造成路由器、抗拒绝服务产品等网关设备内存耗尽、CPU过载。
1.3DDoS攻击分类
DDoS攻击可以分为流量型和连接型。流量型基本以网络层DDoS攻击为主,以SYN、ACK、UDP、ICMP等Flood攻击为主。连接型攻击主要以应用层DDoS攻击为主,以CC攻击、DNS解析、HTTPgetFlood攻击为主。
1.3.1流量型
使用大量的包含伪造信息的数据包,耗尽服务器资源。主要包括SYNFlood、ACKFlood、UDPFlood、ICMPFlood、FragmentFlood和NonIPFlood等。
1.3.2连接型
使用大量的傀儡机,频繁地连接服务器,形成虚假的客户请求,耗尽服务器资源。主要包括CC攻击、HTTPGetFlood、IDDB攻击(又称Logindrv攻击)、假人攻击等。
1.4专业的抗拒绝服务攻击产品
网神SecDDoS3600抗拒绝服务系统主要职责就是抵御DDoS攻击行为,通过对流量的分析和识别,检测流量中的各种DDoS攻击行为,使用阈值限制,流量算法、识别验证等多种方
6/14网神SecDDoS3600抗拒绝服务系统
式识别DDoS流量,高效的抵御DDoS攻击和保障用户网络的完整性和可靠性。
2.产品特色2.1极速性能
DDoS攻击主要是高密度集中型攻击其一个目的为主。这种类型的攻击会服务器或是安全产品造成严重的性能压力负担。DDoS攻击往往都是以最小字节的数据包(64字节)对目标实施攻击。一款专业的抗拒绝服务攻击产品需要提供抵御大流量的性能压力的冲击。
网神SecDDoS3600抗拒绝攻击系统的每一对接口都可以做到64字节的小包限速的性能处理要求,即使针对大流量的攻击流量压力,网神SecDDoS3600抗拒绝攻击系统也可以做到轻松的应对。
2.3协同防御
因DDoS攻击的千变万化,因此网神SecDDoS3600抗拒绝服务系统使用“阈值限制、验证识别、规则匹配、端口保护、旁路清洗等防御手段把无序攻击流量清洗到有序的网络流量。保障服务器与网络正常使用。
3.技术优势3.1极速处理能力
网神SecDDoS3600抗拒绝服务系统实现极速的流量处理能力,从低端千兆到万兆高端产品均为64字节小包限速能力,极速的小包处理能力可以完全处理大流量DDoS攻击。网神SecDDoS3600抗拒绝服务系统从软件到网卡驱动都做了大量的优化,因DDoS攻击行为主要是流量型攻击,因此对于网神SecDDoS3600抗拒绝服务系统来说64字节小包的性能要求尤为重要。
3.2双协议栈识别
随着IPv6的高速普及,网神SecDDoS3600抗拒绝服务系统支持双协议栈过滤,通过对
7/14
抗拒绝服务系统技术白皮书
