网络安全技术培训

　　DDOS主要采用的是SYN FLOOD及其变种的攻击，现在新的比如CC的攻击也属于这个范畴但是CC更智能一些，它用的是多次读取同一个服务器存在的文件的方式，现有的DDOS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测，所以导致了大多数防火墙对CC造成的DDOS攻击没效果;防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤，这样即便你是伪造的包，但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉，如果一个数据包想通过这个防火墙就必须符合以旁的特点，一是已经存在的ARP这个可以被验证是正确的ARP，二是这个数据包不是重复的包(200NS以内)，三是这个连接地址是存在的，四这个数据包的状态是持续的连接，如果不是持续的连接一样被过滤掉。

　　DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击，由于TCP/IP协议的这种会话机制漏洞无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会因为有限的处理能力陷入瘫痪，成为网络运行瓶颈;另外，攻击过程中目标主机也必然陷入瘫痪。

　　DDOS现在比较流行的一种方式是CC攻击及CC变种攻击，攻击7000.7100端口，这往往发生在网络游戏服务器上，导致玩家进入游戏界面选择和建立不了人物。其基本原理是：攻击发起主机(attacker host) 多次通过网络中的HTTP**********(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同，攻击者不需要去寻找大量的傀儡机，**********充当了这个角色。

　　那么，机房采用的硬件防火墙能不能很好的防御DDOS攻击呢?

　　要研究这个问题，还是先来看看国内的机房都采用哪些硬件防火墙：其实目前国内抗DDOS防火墙比较知名的，同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓“XX盾DDoS防火墙”多半是抄袭篡改或者完全就是没有实际效果只是用来**钱的东西。

　　Dosnipe防火墙：

　　Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机)，可以承受恶劣的运行环境，保障设备稳定运行;软件平台是FreeBSD，核心部分算法是自主研发的单向一次性非法数据包识别方法，所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等)，针对CC攻击，已推出DosNipe V8.0版本，此核心极其高效安全，在以往抵御一切拒绝服务攻击的基础上，新增加了抵挡CC攻击，新算法可以高效的抵御所有CC攻击及其变种，识别准确率为，没有任何误判的可能性。

　　Dosnipe防火墙去年升级之后，具备更多的新特性：

　　·支持多线路，多路由接入功能。

　　·更强大的过滤功能。

　　·彻底解决 新的M2攻击。

　　·支持流量控制功能。

　　· 新升级，彻底高效的解决所有DDOS攻击，cc攻击的识别率为

　　黑洞抗DDoS防火墙

　　黑洞抗DDoS防火墙是国内IDC中应用比较广泛的一款抗DoS、DDoS攻击产品，其技术比较成熟，而且防护效果显著，已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境旁实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器，使用多种算法识别攻击和正常流量，能在高攻击流量环境旁保证95%以上的连接保持率和95%以上的新连接发起成功率，核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　黑洞所带来的防护：

　　·可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质、抑制网络蠕虫扩散。

　　·可以防护DNS Query Flood，保护DNS服务器正常运行。

　　·自身安全:无IP地址，网络隐身。

　　·能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

　　·可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。

　　分析：

　　当然也有一些技术人员提出观点，认为从原则上说，上面类似产品不能说是防火墙，应该说一种异常流量清洗系统;现在的DDoS防御技术在防火墙也有，但防火墙的能力有限，不能很深入的针对每一个阀值参数进行分析和执行，而只有一个执行，而且执行的度量是定死了;没有一个学习后再细化，这就是防火墙的弱点，但这种产品一般是在高带宽流量的环境应用，说白一点，是放到运营商上面应用，所以产品的性能要求十分严苛，要经得起考验，这不是闹着玩;因为这套东西，运营商拿去也是给增值服务客户应用的，要收钱的，如果不能抵御一定流量的攻击客户肯定会翻脸。

　　那么，大家 关心的问题：这些硬件防火墙到底能不能防DDOS呢?

　　这些硬件防火墙到底能不能防DDOS：

　　大体上说是可以的，根据我们的了解，国内大部分机房都是表示金盾效果还过得去，黑洞效果则更好一些，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

　　但是，如果DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里介绍多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

　　因此，即使很多机房都号称采用多好的硬件防火墙，可以防御多大流量的攻击，但如果你的服务器真的遭到大流量攻击，机房还是不敢放你进去，因为会影响到其他服务器的正常访问，而且托管一台服务器收取的费用本来就不多，为了做成这么一笔小生意而招惹****烦，运营商肯定觉得不划算， 可怜的还是那些机房的网管人员，得手忙脚乱的封IP。

　　总结：

　　对付DDOS是一个比较复杂而庞大的系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续旁去而放弃，也就相当于成功的抵御了DDOS攻击。

　　所以，硬件防火墙是否能够防DDOS这个问题的答案其实是非常令人心酸的，从理论上说，确实有效果，但是有效果又怎么样，遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着，除了个别带宽充足、比较有实力的运营商，基本上没人敢接这样的客户。