产品概述
拒绝服务攻击是一种很简单但又很有效的进攻方式。它一般利用协议缺陷或者应用缺陷,造成受攻击目标服务瘫痪,或者使网络充斥大量信息,消耗网络带宽和系统资源,导致受攻击目标趋于瘫痪,无法对外正常提供网络服务。
UNISAEGIS-DoS是一款专门用于防护拒绝服务攻击的硬件,它能够防御Syn-flood、udp-flood、icmp flood、连接耗尽攻击、ack-flood等目前主流的拒绝服务攻击。
最主要的拒绝服务攻击使syn-flood攻击,UNISAEGIS-DoS 2.0版本的百兆硬件设备,其抵抗syn-flood能力可以达到传输的线速,是极为高效的拒绝服务攻击防护设备。
主要特性
|
外 部 特 性 |
|
1 |
一体化硬件设计 |
防护系统和硬件体系紧密结合,充分发挥硬件结构的最佳性能。提高自身的处理效率和安全防护能力 |
|
2 |
即插即用 |
无需配置就可以在不改动原有网络拓扑的情况下接入网络 |
|
防 护 特 性 |
|
3 |
DDoS防御能力 |
可以防护SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、连接耗尽攻击等等多种拒绝服务攻击极其变种。 |
|
4 |
先进的防护技术 |
吸取了多项目前国内外先进的安全防护技术和安全产品优点 |
|
5 |
优异的防御算法组合 |
采用Syn-cookie/syn-proxy/特征判断/统计学分析算法和生物学算法组合,防护能力大为提升 |
|
6 |
自适应学习能力 |
可以对网络攻击行为进行自适应自学习处理 |
|
7 |
卓越的防护性能 |
百兆产品配合2.0版本的防护核心,其防护能力可以达到线速 |
|
8 |
层次性安全防护能力 |
一环扣一环的防护功能,防止某些有经验的攻击者企图绕过防护 |
|
管 理 特 性 |
|
9 |
部署简单 |
工作在网桥模式,象一根网线一样将其串接在网络上即可 |
|
10 |
透明服务 |
用户不会感觉其存在,也不会影响公司原有的网络设置 |
|
11 |
WEB管理配制 |
方便简单的WEB方式管理入口,全中文界面,图形化统计信息显示输出 |
|
12 |
报警能力 |
可以使用Email向管理员及时报警 |
|
可 靠 性 特 性 |
|
13 |
模块化内核结构 |
模块化的设计不仅可以减少软件故障,更可以很方便的根据需要扩展功能 |
|
14 |
优秀的自身安全 |
自身无IP地址,在网络中处于隐身状态 |
|
15 |
误拦截恢复能力 |
能自动判断拦截时候合理,有效防止错误拦截影响网络使用 |
|
16 |
看门狗电路 |
当系统长时间工作,出现万一中的软件故障时,可自动重置系统 |
|
17 |
By-Pass功能 |
核心崩溃甚至系统断电的情况都可以保证网络传输的畅通,最大程度的保证网络的可靠性 |
产品性能
性能测试环境如下图。THAEGIS-DoS接在受防护服务器前端,从攻击网络向受防护服务器分别发起TCP/SYN、UDP、ICMP三种典型攻击。在不同的攻击报文和攻击流量下,对合法用户访问受防护服务器的连接成功率进行统计,对THAEGIS-DoS的性能进行统计。
|
攻击报文大小 |
攻击流量 |
|
响应时间 |
CPU利用率 |
正常连接成功率 |
|
64byte |
50Mbps |
|
< 1ms |
8% |
100% |
|
64byte |
75Mbps |
|
< 2ms |
16% |
100% |
|
64byte |
85Mbps |
|
< 2ms |
20% |
100% |
|
128byte |
50Mbps |
|
< 2ms |
5% |
98% |
|
128byte |
75Mbps |
|
< 3ms |
12% |
100% |
|
128byte |
85Mbps |
|
< 3ms |
16% |
99% |
|
256byte |
50Mbps |
|
< 2ms |
4% |
100% |
|
256byte |
75Mbps |
|
< 3ms |
11% |
100% |
|
256byte |
85Mbps |
|
< 4ms |
14% |
100% |
|
攻击报文大小 |
攻击流量 |
|
响应时间 |
CPU利用率 |
连接成功率 |
|
64byte |
50Mbps |
|
< 1ms |
6% |
100% |
|
64byte |
75Mbps |
|
< 2ms |
14% |
100% |
|
64byte |
85Mbps |
|
< 2ms |
18% |
100% |
|
128byte |
50Mbps |
|
< 2ms |
4% |
100% |
|
128byte |
75Mbps |
|
< 3ms |
10% |
100% |
|
128byte |
85Mbps |
|
< 3ms |
10% |
99% |
|
256byte |
50Mbps |
|
< 3ms |
3% |
100% |
|
256byte |
75Mbps |
|
< 3ms |
9% |
100% |
|
256byte |
85Mbps |
|
< 4ms |
12% |
100% |
|
攻击报文大小 |
攻击流量 |
|
响应时间 |
CPU利用率 |
连接成功率 |
|
64byte |
50Mbps |
|
< 1ms |
6% |
100% |
|
64byte |
75Mbps |
|
< 2ms |
13% |
100% |
|
64byte |
85Mbps |
|
< 2ms |
19% |
100% |
|
128byte |
50Mbps |
|
< 2ms |
4% |
100% |
|
128byte |
75Mbps |
|
< 3ms |
10% |
100% |
|
128byte |
85Mbps |
|
< 3ms |
13% |
100% |
|
256byte |
50Mbps |
|
< 2ms |
3% |
100% |
|
256byte |
75Mbps |
|
< 3ms |
9% |
100% |
|
256byte |
85Mbps |
|
< 4ms |
13% |
100% |
技术优势
syn-cookie和syn-proxy技术
1. SYN FLood攻击
SYN Flood攻击是一种最典型的拒绝服务攻击,它是利用TCP协议中的三次握手协议机制进行攻击。如果一端想向另一端发起TCP连接,它需要首先发送TCP SYN 包到对方,对方收到后发送一个TCP SYN+ACK包回来,发起方再发送TCP ACK包回去,这样三次握手就结束了。我们把TCP连接的发起方叫作TCP客户机,TCP连接的接收方叫作TCP服务器。值得注意的是在TCP服务器收到TCP SYN包时,在发送TCP SYN+ACK包回TCP客户机前,TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态成为半开连接。
在最常见的SYN Flood攻击中,攻击者在短时间内发送大量的TCP SYN包给受害者,这时攻击者是TCP客户机,受害者是TCP服务器。根据上面的描述,受害者会为每个TCP SYN包分配一个特定的数据区,只要这些SYN包具有不同的源地址(这一点对于攻击者来说是很容易伪造的)。这将给TCP服务器系统造成很大的系统负担,最终导致系统不能正常工作。
2. SYN Cookie原理
SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。
1. SYN Cookie 和 SYN Proxy
这是一种SYN Cookie的一种扩展形式。总的来说,它是利用原来SYN Cookie的原理在内网和外网之间实现TCP三次握手过程的代理(proxy)的机制。
为了方便描述,我们假定一个外在的TCP客户机希望通过防护设备连接到局域网中的一个TCP服务器。
在防护设备收到来自外网的SYN包时,它并不直接进行转发,而是缓存在本地,再按照原来SYN Cookie的机制制作好一个针对这个SYN包的SYN+ACK包,注意,这个SYN+ACK包中的ack顺序号为特制的cookie值,更重要的是这个包的的源地址被伪造成了服务器的地址。这样客户机会接收到这个SYN+ACK包,并认为是从服务器反馈回来的。于是客户机再响应一个ACK包,并认为与服务器的TCP连接已经建立起来。这时防护设备收到这个ACK包,按照前面的描述的SYN Cookie原理来检查这个ACK中的ack顺序号。如果认为合法,防护设备将本地缓存的来自客户机的SYN包发送给S,这时S会响应一个SYN+ACK包到客户机,其中也携带一个seq号。当然这个包不会到达客户机,而是由防护设备截取,防护设备根据这个包中的序列号等信息,造一个ACK包响应到服务器。这时的情况是:客户机认为自己已经与服务器建立了TCP连接;服务器认为自己与客户机建立了TCP连接。以后的TCP数据内容可以直接穿过防护设备,在服务器和客户机之间交互。
1. 特色和优势
在实际的应用中,SYN COOKIE有多种不同的实现方式。多数防火墙采用了类似的技术来防护SYN Flood攻击。理论上来说,这种技术可以解决SYN FLOOD的防护问题,但是在实际实现中,这种方法在攻击流量较大的的时候,防护设备的负载较高,很多情况下反而成为整个网络的瓶颈。
紫光股份有限公司的产品的独特实现在于,它可以在大攻击流量的时候,保持防护系统的低负载,不回成为网络中的瓶颈。它对SYN Flood的防护能力远远超过各种优秀的防火墙和其他同类产品。
统计学和生物学防护技术
1. 统计学防护技术
在一个服务器服务器网络中,如果我们对进入服务器的正常流量信息和攻击流量信息进行常时间的观测和记录,再对记录结果进行统计和分析,从中分别找出大部分正常流量的一些共有特性和大部分攻击流量的一些共有特征;那么接下来我们就可以对再进入这个网络的所有数据流进行比较分析,如果其符合攻击流量特征,那么它就很可能是攻击数据,应该被阻挡,如果它符合正常流浪特征,那么它很大程度上是正常的数据流,应该放行。
2. 生物学防护技术
生物学防护实际上是统计学防护的一种扩展。在人类的科学研究中,有不少研究成果得益于大自然的启发,例如仿生学技术。随着计算机技术和电子技术的发展,许多的科学研究越来越与生物学紧密相联。
在计算生物学研究中,其主要的内容有一种就是研究DNA序列分析,在庞大的生物信息库中查找相似序列问题。我们借鉴了生物学计算的一些算法思想,应用于在网络数据流中归纳分别查找正常数据流和攻击数据流的序列规律。
1. 特色和优势
生物学防护技术是我们产品的特有功能,一些同类的产品可以应用了简单的统计归纳技术。通常的统计学算法只能对付规律性特别强的拒绝服务攻击,但是在实际的网络中,攻击流和正常访问流的区别并不是很明显,通常规律非常不明显,两者交错在一起,这个时候通常的统计算法将无法找到序列规律,而来源于庞大的生物基因序列检索算法的成熟技术可以轻松的处理这种请款。
THAEGIS-DoS为即插即用型设备,可以无需改动网络拓扑和网络配置直接接入防护网络;THAEGIS-DoS工作在透明模式,无IP地址,在网络上出于隐身状态;接入网络后无需做任何配置即可自动实现DDoS智能防护功能。
用网线将THAEGIS-DoS的内网口和受防护服务器相连接,用网线将THAEGIS-DoS接到出口交换机上。不需要做任何配置即可以对服务器进行拒绝服务攻击防护。
在进行网络连接时,可以认为THAEGIS-DoS就是一台交换机。如上图所示将THAEGIS-DoS连接在受防护网段的网络出口处,即可。 |
