NSF-POD-ADS-V4.5-WH-产品技术白皮书.docVIP

绿盟抗拒绝服务系统 产品白皮书 ? 2010 绿盟科技  ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 一. 前言 1 二. DDoS的威胁愈演愈烈 2 2.1 攻击影响 2 2.2 攻击分析 2 2.2.1 攻击手段 3 2.2.2 攻击时机 3 2.2.3 攻击动机 3 2.3 发展趋势 4 2.4 小结 4 三. DDoS防护的必要性 4 四. 当前防护手段的不足 5 4.1 手工防护 5 4.2 退让策略 6 4.3 路由器 6 4.4 防火墙 6 4.5 IPS/IDS 7 五. DDoS防护的基本要求 8 5.1 优秀的DDoS防御能力必要条件 8 5.2 防护设计思想的演进 8 六. 绿盟科技抗拒绝服务系统 9 6.1 三位一体的解决方案 9 6.2 部署方式 10 6.2.1 串行部署方式 10 6.2.2 旁路部署方式 11 6.3 核心原理 12 6.4 系统特性 13 6.4.1 精准的攻击流量识别 13 6.4.2 强大的攻击防护能力 13 6.4.3 海量的攻击防护性能 14 6.4.4 灵活的应用部署方式 14 6.4.5 友好的系统/报表管理 14 6.4.6 独特的增值业务管理 15 6.5 专业的攻击支持经验 15 七. 结论 15 插图索引 图 6.1 ADS的串行部署方式 11 图 6.2 ADS产品的旁路部署方式 11 图 6.3 运营商级三位一体分层部署方式 12 图 6.4 绿盟科技抗拒绝服务系统核心架构 12 前言 DoS（Denial of Service 拒绝服务）攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法，如果按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如：网络带宽、内存和磁盘空间、CPU使用率等等。通常，网络层的拒绝服务攻击利用了网络协议的漏洞，或者抢占网络或者设备有限的处理能力，造成网络或者服务的瘫痪，而DDoS攻击又可以躲过目前常见的网络安全设备的防护，诸如防火墙、入侵监测系统等，这就使得对拒绝服务攻击的防治，成为了一个令管理员非常头痛的问题。 传统的攻击都是通过对业务系统的渗透，非法获得信息来完成，而DDoS攻击则是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的Internet服务。 由于防护手段较少同时发起DDoS攻击也越来越容易，所以DDoS的威胁也在逐步增大，它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标，网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施，诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统（DNS）都不同程度的遭受到了DDoS攻击的侵害。2002年10月，一次大规模黑客攻击的前兆就是十三台根域名服务器中的八台遭受到“野蛮”的DDoS攻击，从而影响了整个Internet的通讯。 随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。 正是由于DDoS攻击非常难于防御，以及其危害严重，所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击，必须采用专门的机制，对攻击进行有效检测，进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。 DDoS的威胁愈演愈烈 DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入Internet，且防护措施非常少，所以极易被黑客利用，通过植入某些代码，这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。 特点：使用有效