《天鹰抗DDoS防火墙(技术白皮书最新最新版)》由会员分享,可在线阅读,更多相关《天鹰抗DDoS防火墙(技术白皮书最新最新版)(24页珍藏版)》请在金锄头文库上搜索。
1、天鹰抗DDoS防火墙 技术白皮书天鹰抗DDoS防火墙技术白皮书Apollo北京天鹰网安科技有限公司注意:本安装和使用说明中的内容是天鹰抗DDoS防火墙的安装和使用说明。本材料的相关权利归北京天鹰网安科技有限公司所有。安装和使用说明中的任何部分未经北京天鹰网安科技有限公司许可,不得转印、影印或复印。 2010 北京天鹰网安科技有限公司保留所有权力天鹰抗DDoS防火墙本资料将定期更新,如欲获取最新相关信息,请访问北京天鹰网安科技有限公司网站:http:/ ,您的意见和建议请发送至:北京天鹰网安科技有限公司Skeagle Network Security Ltd.目 录1 概述51.1 DDoS的形
2、势及趋势61.1.1 攻击影响61.1.2攻击分析61.1.3发展趋势71.2 DDoS防护手段71.1.4普通防护措施71.1.5网络安全设备81.3 DDoS防护的基本要求92 天鹰抗DDOS防火墙102.1 产品介绍102.2 功能122.2.1 防御已知的各种攻击手段122.2.2 快速应对新的攻击手段142.2.3 精细流量监控,及早发现攻击142.2.4 灵活端口控制,安全和效率并举142.2.5 防端口扫描,自动屏蔽黑客IP152.2.6 黑白名单功能,敌友一清二楚152.2.7 丰富的日志,强大审计分析能力152.2.8 自带ARP防火墙,一石两鸟162.3 特点162.3.1
3、傻瓜式安装,零配置使用162.3.2 自动升级,与时俱进162.3.3 量身定做,贴心服务162.4 核心原理172.4.1天鹰抗DDoS防火墙的核心架构172.5 部署方式182.5.1 串行部署方式182.5.2 旁路部署方式182.5.3 集群部署方式192.6 产品的优势203 运行环境和技术指标213.1 运行环境213.2 技术指标214 总结215 联系我们22ii天鹰,创新成就安心 http:/ 北京天鹰网安科技有限公司【英文名解释】:Apollo:阿波罗太阳神【希腊神话】。太阳一出,邪恶尽散。1 概述随着互联网快速的发展和微软等操作系统频繁出现的重大安全漏洞事件发生,从国外到
4、国内;从政府到企业;从运营商到个人服务器等等,频繁出现被DDoS攻击和被黑客入侵的新闻。一谈到互联网经营,大家马上就会想到怎样保护服务器的安全不受DDoS攻击和黑客入侵、篡改等。据初步估计近两年来被DDoS攻击和被入侵的损失,全球多达50亿美金,光是中国就损失72亿元人民币,这是一个十分庞大的数字。根据全球互联网检测报告,常见的拒绝服务攻击(DoS/DDoS)手段主要有以下三种形式:(1) 利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。常见的有SYN Flood,UDP Flood,ICMP Flood、CC等等;(2) 利用某些基于TCP/IP协议的软件漏洞,造成应用异常
5、。(3) 不断尝试,频繁连接的野蛮型攻击行为。常见的有web stress,CC Proxy Flood等。目前一些常见的防火墙设备、入侵检测设备、路由器等网络设备,对于DoS/DDoS攻击、SQL注入等普遍束手无策。且由于设计的缺陷,在面临大量攻击的情况下,这些设备反倒很容易最先瘫痪。至于退让策略或是系统优化等方法只能应付小规模DoS攻击,对大规模DoS击还是无法提供有效的防护。 本文内容将包含如下部分:(1) DDoS的形势及趋势;(2) DDoS防护手段;(3) DDoS防护的基本要求;1.1 DDoS的形势及趋势1.1.1 攻击影响成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之
6、下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。1.1.2 攻击分析那么DDoS攻击究竟如何工作呢?通常而言,网络数据包利用TCP/IP协议在Internet传输,这些数据包本身是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器服务正常处理,迅速消耗了
7、系统资源,造成服务拒绝,这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DDoS攻击,比如利用基于特征库模式匹配的IDS系统,就很难从合法包中区分出非法包。加之许多DDoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于异常模式监控的工具的识别。一般而言,DDoS攻击主要分为以下两种类型: 带宽型攻击这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。应用型攻击
8、这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。1.1.3 发展趋势目前DOS/DDoS攻击也在迅速发展,攻击者不断采用更加复杂的欺骗伪造技术,用于躲避各类防护设备检测。并倾向于模拟合法用户,使攻击流量同正常流量更加契合,难以区分。而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成DOS攻击。1.2 DDoS防护手段常见的防火墙、入侵检测设备、路由器等网络设备,对于DOS/DDoS攻击普遍束手无策。且由于设计的缺陷,
9、在面临大量攻击的情况下,这些设备反倒很容易最先瘫痪。至于退让策略或是系统优化等方法只能应付小规模DOS攻击,对大规模DOS击还是无法提供有效的防护。 1.1.4 普通防护措施在缺少专用设备的情况下,防护DOS/DDoS的措施主要有以下几种:(1) 系统优化:通过设置并优化操作系统参数,提高系统本身对DOS攻击的抵御能力。比如Windows操作系统内部集成了简单的DOS响应策略,而Linux自带的SYN Cookie也是一种较好的防护手段。这些策略对小规模的DOS攻击具有较好的防护效果,然而,当攻击量增大就无计可施了。(2) 退让策略:为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提
10、高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高攻击流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。(3)溯源追查:找到攻击源头,并从源头处解决攻击,是最好的办法。然而,当前攻击普遍采用的伪造源地址,及大量傀儡机的存在,使这种方法不可行。(4)路由器设置:通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,
11、如果DDoS攻击如果采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDoS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况
12、,现实中几乎不可能做到。1.1.5 网络安全设备网络上大量存在的安全设备,是否可以承担DOS/DDoS的防护重任?(1)防火墙:防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。首先是防火墙缺乏DDoS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置
13、了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。(2)入侵检测:目前IDS系统是最广泛的攻击检测工具,但是在面临DDoS攻击时,IDS系统往往不能满足要求。原因其一在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采
14、用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDoS对于网络服务的影响。IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。1.3 DDoS防护的基本要求DDoS防护一般包含两个方面:其一是针对不断
15、发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。完善的DDoS攻击防护应该从几个方面考虑: (1) 针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测,并完成相应防护;(2) 降低对受保护系统及受保护网络的影响,保证系统的连续可用。(3) 因此,一个完善的DOS/DDoS防护解决方案,应该具有以下特性:(4) 采用基于行为模式的异常检测,从正常流量中精确的区分攻击流量;(5) 通过集成的检测和阻断机制对DOS攻击实时响应,完成基本DOS防护功能需求;(6) 支持各类网络接入模式,并具有较高的吞吐量,避免单点故障;2 天鹰抗DDoS防火墙2.1 产品介绍面对目前互联网在DDoS防护方面愈演愈烈,天鹰抗DDoS防火墙是专门针对目前日益泛滥的拒绝服务攻击DDoS攻击研
