系统拒绝服务攻击

1/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)技术白皮书网神SecGate3600安全网关抗拒绝服务攻击系统(DDoS)本文档解释权归网神信息技术(北京)股份有限公司产品中心所有网神信息技术(北京)股份有限公司http://www.
legendsec.
com2/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)版权声明Copyright2006-2015网神信息技术(北京)股份有限公司("网神")版权所有,侵权必究.
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容.
文档信息文档名称网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)扩散范围销售/售前/客服/渠道商/用户文档版本号V11.
2.
1作者王嘉日期2016/02/01初审人王嘉复审人版本变更记录时间版本说明作者2016.
2.
1V1.
0定期更新王嘉3/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)目录1.
1背景介绍41.
2互联网面临挑战41.
3独特算法铸造防护长城52.
产品特色.
52.
1功能介绍52.
2功能说明63.
技术优势.
63.
1独特的连接代理防护算法.
73.
2高效的连接数据转发算法73.
3模块化的内核防护算法73.
4基于页面插入式的Web防护算法73.
5基于数据挖掘的通用防护算法.
73.
6可扩展的集群模式.
73.
7灵活多样的部署方式.
83.
8丰富的日志、报表输出.
84.
典型应用.
84.
1部署方式.
84.
1.
1单机串联部署.
84.
1.
2双机热备部署.
94.
1.
3双机热备部署.
104.
1.
4旁路部署.
114.
1.
4.
1旁路回流部署114.
1.
4.
2旁路注入部署124/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)1.
产品概述1.
1背景介绍随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现,正深刻影响人类生活、工作的方式.
与此同时,信息安全的重要性也在不断提升.
根据国家互联网应急中心发布的2013年中国网络安全综合报告中,国家互联网应急中心(CNCERT/CC)监测发现,全国DDoS攻击事件中被控制的服务器IP地址数量为11650个,月均(3—12月)被控制的IP地址数量超过1000个.
DDoS全称叫做DistributedDenialofService(分布式拒绝服务).
DDoS攻击主要借助于远程控制技术,发动多台服务器或计算机终端对一个或多个目标及其同时开展拒绝服务攻击,从而成倍地提高拒绝服务攻击的并发请求数量和带宽,以达到快速有效地使目标及其无法提供服务的不法目的.
1.
2互联网面临挑战2013年,DDoS攻击依然是我国互联网基础设备和信息系统正常运转的主要威胁,且呈日益严重的趋势.
根据CNCERT/CC抽样检测数据显示,我国平均每天发生攻击流量超过1Gbit/s的攻击事件1802起,较2012年增长76%,同时,2013年DDoS攻击也呈现出一些新的特点,主要表现在以下几个方面:1)攻击地址由原来的以虚拟源地址逐渐转变为以真实地址为主.
因我国互联网虚假源地址流量整治工作.
攻击者构造的虚假源地址无法到达攻击目标,因此不得不采用真实地址发起攻击.
2)域名系统成为DDoS攻击的重点目标.
域名系统是网民访问网站的入口,由于域名解析系统自身存在的弱点,包括UDP协议、固定端口等,针对域名系统的攻击已经成为黑客对网站发起拒绝服务攻击的主要方式.
3)反射放大攻击逐渐增多,且规模巨大.
通常这些网络服务使用的都是无连接的UDP协议,常见的反射放大攻击主要是针对DNS服务器(域名解析服务)和NTP服务器(网5/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)络时间协议).
4)利用境外流量攻击境内目标的事件大量增加.
根据CNCERT/CC的监测,发现有96.
5%攻击目标位于境内.
有19.
5%的攻击事件的攻击源地址中包含有境外地址.
1.
3独特算法铸造防护长城DDoS攻击方式是互联网最简单最普遍的攻击方式,因其在网络中有众多的DDoS攻击软件,普通大众也可以对网络进行简单的DDoS攻击.
2012年,安徽庐江县政府网站遭受DDoS攻击,网站出现"仅本地用户可以访问"字样.
此攻击行为造成政府网站被黑,网站瘫痪无法登陆.
2013年8月25日,中国".
cn"域名瘫痪,所有".
cn"为根域名的网站显示无法打开.
CNNIC/CC在官方微博发表了正式公告"称国家域名解析点遭到有史以来最大规模的拒绝服务攻击,导致部分网站解析受到影响,截至发布公告之时,攻击仍在持续.
"随着DDoS攻击的日益频繁,政府、金融、教育等多个行业安全领域都针对DDoS进行了网络安全防护.
抗拒绝服务攻击(DDoS)就是针对DDoS攻击进行有效防护的网络安全产品.
抗拒绝服务攻击产品是自主研发的独特抗攻击算法,高效的主动防御系统可有效抵御DoS/DDoS、应用CC攻击、非TCP/IP协议层攻击等多种未知攻击.
2.
产品特色网神SecGate3600安全网关——抗拒绝服务系统(又名抗DDoS系统、流量清洗系统),以下简称网神抗DDoS系统,是自主知识产权的新一代安全产品,作为网关类安全产品,防护对象主要为业务系统、Web服务器、企业内网.
其设计目标位:针对DoS/DDoS、应用层CC攻击、非TCP/IP协议层攻击等多种未知攻击进行安全防御.
保证网络正常运转,清洗攻击流量.
2.
1功能介绍网神抗DDoS系统是基于嵌入式系统开发的,其在系统核心实现了防御DoS/DDoS攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低.
6/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)图1抗拒绝服务系统的工作原理2.
2功能说明功能说明流量控制主要是针对一些攻击流量做限制.
紧急触发状态,针对攻击频繁较高的攻击防护模式,此模式将更为严格过滤攻击.
简单过滤流量限制,是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文.
忽略主机流量限制,用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃攻击过滤利用了多种技术手段对DoS/DDoS攻击进行有效的检测,在针对不同的流量出发不同的保护机制,提高效率的同事确保准确度.
过滤攻击保证正常流量到达主机协议分析网神抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击连接控制根据攻击的流量和连接数阀值来设置触发防护选型,连接数放置可以根据不同情况来灵活控制主机识别网神抗拒绝服务系统可自动识别其保护的各个主机及其地址,某些主机收到攻击不会影响其他主机的正常服务日志审计网神抗拒绝服务系统可全面记录系统运行及防护状态,并对不同操作权限的操作进行记录3.
技术优势7/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)3.
1独特的连接代理防护算法网神抗拒绝服务系统(抗DDoS系统)应用了自主研发的抗拒绝服务攻击算法.
针对SYN攻击,采用SYNProxy连接代理防护模式,以代理模式处理客户端与服务器之间的连接,同时完成攻击报文的过滤.
即使在海量的攻击下仍然可以保证新建连接的连接成功.
3.
2高效的连接数据转发算法网神抗拒绝服务系统(抗DDoS系统),采用自主研发的TCPFastRechecksum技术,高校的处理来自TCP的连接数据及其校验,并进行快速转发,而无需重新统计报文数据.
3.
3模块化的内核防护算法网神抗拒绝服务系统(抗DDoS系统),采用了KernelProtectionPluginForLinux&Windows技术,将特定的防护算法以模块的形式实现,简化了核心代码,优化了系统构架,并具有良好的扩展性.
3.
4基于页面插入式的Web防护算法网神抗拒绝服务系统(抗DDoS系统),采用了WebProtectionBasedOnPageInjection即基于页面插入式Web防护算法.
对于开启防护的Web服务器,防护模块会主动插入Web页面,客户端可无察觉的自动完成验证过程,已达到高效的防御Web类连接攻击的目的.
另外,也可以通过验证服务器辅助来加强防护级别.
3.
5基于数据挖掘的通用防护算法网神抗拒绝服务系统(抗DDoS系统),采用了GenericProtectionBasedOnDataMining技术即基于数据挖掘的通用防护算法,对于开启保护的服务器,防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘,察觉恶意流量并加以过滤,有效率高达90%以上.
3.
6可扩展的集群模式8/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)网神抗拒绝服务系统(抗DDoS系统),采用了ExtensibleFirewallClusterMode即可扩展的集群模式,通过领先的数据分流技术,使得若干设备可组合形成更大的防护主题,提供海量攻击的防护解决方案.
3.
7灵活多样的部署方式网神抗拒绝服务系统(抗DDoS系统),支持IEEE802.
3AD和IEEE802.
1Q等多种路由交换协议.
具备多种环境部署能力,能在不改变现有网络拓扑的情况下,以透明模式接入.
支持多种部署方式,如串联部署、双机热备部署、集群部署和旁路部署等.
3.
8丰富的日志、报表输出网神抗拒绝服务系统(抗DDoS系统)具有丰富的设备管理功能,基于简洁的Web管理方式.
丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查.
整个Web界面主要有状态监控、攻击防御、日志分析、系统配置和服务支持五个模块.
4.
典型应用4.
1部署方式网神抗拒绝服务系统(抗DDoS系统)采用透明模式和旁路模式接入,符合目前各种网络结构防护需求,根据客户不同的需求,设定合适的部署方式.
主要有单机串联部署、双机热备部署、串联集群部署和旁路部署.
4.
1.
1单机串联部署网神抗拒绝服务系统(抗DDoS系统)接入机房核心交换机前端防护,核心交换机下所有主机进入防护区,连接方式:将ISP(运营商)分配的光纤接入到网神抗DDoS系统设备的出口,在将网神抗DDoS系统产品的设备出口接到下层核心交换机,被保护主机可置于核心交换机下.
部署方式如下图:9/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)4.
1.
2双机热备部署网神抗拒绝服务系统(抗DDoS系统)为了保证网络的高可用性与高可靠性,抗拒绝服务系统提供了双机热备功能,即在同一个网络节点使用两个配置相同的抗拒绝服务产品.
双机热备模式采用了两种工作模式,主-主模式和主-从模式,两种模式详细介绍如下.
主-主模式:工作模式即让两台抗拒绝服务系统产品同时工作,当任意服务器发生故障,如接口及连线故障、意外宕机、关键进程失败、性能下降、CPU和内存负载过大等情况,另外一台抗拒绝服务系统能够平滑的接替该抗拒绝服务系统的工作,并保持连接,实现负载均衡.
主-从模式:正常情况下主抗拒绝服务系统处于工作状态,另一个抗拒绝服务系统处于备份状态,称为从抗拒绝服务系统.
当主抗拒绝服务系统发生意外宕机、网络链路发生故障、硬件故障等情况时,从抗拒绝服务系统自动进行切换工作状态,从抗拒绝服务系统代替主抗拒绝服务系统正常工作,从而保证了网络的正常使用.
切换过程不需要人为操作或其他系统的参与.
10/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)4.
1.
3双机热备部署网神抗拒绝服务系统(抗DDoS系统)集群型抗拒绝服务系统依靠多台抗拒绝服务产品实现防护带宽及防护能力的增加,目前可支持多台抗拒绝服务系统形成集群,抵御大的攻击流量.
首先在交换机的相应端口设置端口聚合,或者直接设置路由器完成端口聚合,分别接入抗拒绝服务系统,每个抗拒绝服务系统接入一路数据(入口和出口).
部署方式如下图:11/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)4.
1.
4旁路部署随着网络的高速发展,网神抗拒绝服务系统(抗DDoS系统)为防御海量DDoS攻击提高网络稳定性,推出了旁路部署解决方案.
网神抗拒绝服务系统(抗DDoS系统)旁路牵引模式,根据净化后回注流量的不同,分为如下两种部署模式:回流模式和注入模式.
旁路系统由网神抗拒绝服务系统(抗DDoS系统)和网神流量分析器组成.
网神抗拒绝服务系统(抗DDoS系统)对攻击流量、一次、潜在攻击流量进行彻底检测,去除攻击流量,转发过滤后的纯净流量.
而网神流量分析器则对网络流量进行分析,将与受保护IP有关的异常流量信息通知网神抗拒绝服务系统.
在进行旁路部署时,为了增加检测的高效性,提高对攻击流量的防御,网神抗拒绝服务系统(抗DDoS系统)除了单台部署外,也支持集群模式部署,同时网神抗拒绝服务系统(抗DDoS系统)也支持回流与注入模式下的集群部署.
4.
1.
4.
1旁路回流部署网神抗拒绝服务系统(抗DDoS系统)回流模式,系统在处理过流量之后,将纯净流量再次从原路发回网络.
该模式下,需要在核心路由器上配置策略路由,将从网神抗拒绝服务系统(抗DDoS系统)发回的流量直接送至下层设备,否则核心路由器和网神抗拒绝服务系统(抗DDoS系统)产品之间会形成流量的无线循环.
部署方式如下图:12/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)4.
1.
4.
2旁路注入部署注入模式,网神抗拒绝服务系统(抗DDoS系统)处理流量之后,将纯净流量直接注入下层设备.
采用此种模式,考虑下层设备的不同,有两种不同配置:若下层设备为交换机,则抗拒绝服务系统将自动解析目标主机的MAC地址,并将纯净流量直接发送至该主机.
若下层设备为路由器,则需要在抗拒绝服务产品上设置下层路由器的地址(下一跳地址),若是集群则每台设备都要独立设置.
13/13网神SecGate3600安全网关——抗拒绝服务攻击系统(DDoS)