|
||||||||||
|
||||||||||
您现在的位置:中国IDC圈 >> 增值服务 |
机房的硬件防火墙到底能不能防DDOS? |
在研究这个问题之前,我们先来谈谈什么是DDOS: 什么是DDOS: DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。 DDOS主要采用的是SYN FLOOD及其变种的攻击,现在新的比如CC的攻击也属于这个范畴但是CC更智能一些,它用的是多次读取同一个服务器存在的文件的方式,现有的DDOS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测,所以导致了大多数防火墙对CC造成的DDOS攻击没效果;防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤,这样即便你是伪造的包,但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉,如果一个数据包想通过这个防火墙就必须符合以下的特点,一是已经存在的ARP这个可以被验证是正确的ARP,二是这个数据包不是重复的包(200NS以内),三是这个连接地址是存在的,四这个数据包的状态是持续的连接,如果不是持续的连接一样被过滤掉。 DDOS现在比较流行的一种方式是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。其基本原理是:攻击发起主机(attacker host) 多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。 那么,机房采用的硬件防火墙能不能很好的防御DDOS攻击呢? 要研究这个问题,还是先来看看国内的机房都采用哪些硬件防火墙:其实目前国内抗DDOS防火墙比较知名的,同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓“XX盾DDoS防火墙”多半是抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西。 Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机),可以承受恶劣的运行环境,保障设备稳定运行;软件平台是FreeBSD,核心部分算法是自主研发的单向一次性非法数据包识别方法,所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等),针对CC攻击,已推出DosNipe V8.0版本,此核心极其高效安全,在以往抵御一切拒绝服务攻击的基础上,新增加了抵挡CC攻击,新算法可以高效的抵御所有CC攻击及其变种,识别准确率为100%,没有任何误判的可能性。 分析: 当然也有一些技术人员提出观点,认为从原则上说,上面类似产品不能说是防火墙,应该说一种异常流量清洗系统;现在的DDoS防御技术在防火墙也有,但防火墙的能力有限,不能很深入的针对每一个阀值参数进行分析和执行,而只有一个执行,而且执行的度量是定死了;没有一个学习后再细化,这就是防火墙的弱点,但这种产品一般是在高带宽流量的环境应用,说白一点,是放到运营商上面应用,所以产品的性能要求十分严苛,要经得起考验,这不是闹着玩;因为这套东西,运营商拿去也是给增值服务客户应用的,要收钱的,如果不能抵御一定流量的攻击客户肯定会翻脸。 那么,大家最关心的问题:这些硬件防火墙到底能不能防DDOS呢? 这些硬件防火墙到底能不能防DDOS: 大体上说是可以的,根据我们的了解,国内大部分机房都是表示金盾效果还过得去,黑洞效果则更好一些,而Dosnipe由于合作的机房相对要少一些,所以收到的反馈意见不多,不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。 因此,即使很多机房都号称采用多好的硬件防火墙,可以防御多大流量的攻击,但如果你的服务器真的遭到大流量攻击,机房还是不敢放你进去,因为会影响到其他服务器的正常访问,而且托管一台服务器收取的费用本来就不多,为了做成这么一笔小生意而招惹大麻烦,运营商肯定觉得不划算,最可怜的还是那些机房的网管人员,得手忙脚乱的封IP。 总结: 对付DDOS是一个比较复杂而庞大的系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。 所以,硬件防火墙是否能够防DDOS这个问题的答案其实是非常令人心酸的,从理论上说,确实有效果,但是有效果又怎么样,遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着,除了个别带宽充足、比较有实力的运营商,基本上没人敢接这样的客户。 |
【责任编辑:Yoyo】
|
文章评论
|
|
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
|
Chinaitlab Group 旗下网站: |
北京盛世创富广告传媒有限公司 北京运营中心:北京市海淀区中关村南大街9号理工科技大厦2107室 服务电话:86-10-85655622 深圳研发中心:深圳市福田保税区英达利科技数码园C座701D 服务电话:86-755-82044560 Copyright©2001 - 2009 All Rights Reserved |
|