支持与服务

中新金盾虚拟化抗D系统功能描述

1,用户登录

ZX-DMS采用主流的B/S架构,能够使用加密的HTTPS协议与便捷的HTTP协议等多种可选远端管理方式,同时支持单用户多并发的帐户机制。在浏览器输入管理地址 ,即可打开产品的登录界面,如下图所示:

在登录节目输入账号密码进入系统WEB管理平台。目前支持中文和英文两种语言。

云服务器和VPS服务器有什么区别?

越来越多人使用vps和云服务器,大家其实对vps和云服务都比较熟悉了。VPS是从一台服务器用虚拟机划分成多个操作系统。而云服务器则是从云计算中分离出来的一个类似VPS的虚拟主机。VPS和云服务器虽然相似的地方有很多,但主要差别还是在于配置高低和稳定性上,说白了,云服务器其实就是VPS的升级版。具体来说,云服务器和vps有什么区别呢?

vps、云服务器是什么?

VPS是在一台服务器上利用虚拟化技术实现的,云服务器是在服务器集群的资源池利用虚拟化实现的。用户的角度肯定是用云服务器更好一点。扩展性和安全性上当然是云服务器更优.

云服务器和vps有什么区别?

具体来说,云服务器和vps的差别主要体现在以下方面:

一、性价比:

一台服务器如果划分出5个VPS,那么支持虚拟机的内存和CPU占了母服务器的35%左右。剩下的资源分配给5个虚拟机,比较耗费资源,性能上也就大受影响。

云服务器是由硬件隔离,越多的服务器组成的云计算,所消耗的资源越少,这些都是硬件隔离。另外,在成本上VPS和云服务器也大相径庭。

二、安全性:

VPS如果母服务器出问题了,就意味着全部在里面的虚拟主机也出问题了,属于一损俱损。而云服务器的集群一台服务器出问题,还有镜像文件,不会有任何中断。

三、抗攻击:

一般说来,云服务器的抗攻击性要高于vps。目前不少云主机服务商选择中新金盾Anti-DDoS防护产品。在云主机、vps遭受大流量Ddos/CC攻击后导致服务不可用的情况下,用户可通过配置中新金盾DDOS防护系统,中新金盾抗拒拒绝服务系统,中新金盾虚拟化抗拒绝服务系统,将恶意攻击流量进行清洗过滤,确保主机的稳定可靠。

直播平台怎么防御DDOS攻击?

移动互联时代,直播行业硝烟四起,各大流媒体直播平台立足自身平台直播优势,纷纷携手电商跨界营销玩得不亦乐乎。

相较于传统电商营销,网络视频直播的传播范围更广推广效果更好,所需的时间更短成本更低,而收益却达到了最高。  “人人都能当主播”的低门槛形式,让直播行业更加平民化。到如今,网络直播类型更可谓是五花八门,涉及的领域也特别之多,例如,游戏直播、美食直播、教育直播、讲座直播、购物直播、炒股直播等等一系列,令人眼花缭乱的直播。
就拿购物直播来说,各大电商平台上,但凡是规模较大的店铺,都会安排定期直播。因为静态图片无法生动展示商品的真实外观和品质,以及色差与否,而动态的视频直播却能够生动完整的展示产品,可以让用户们拥有一种“眼见为实”的购物体验。店铺的上新、促销等活动消息,也都能通过直播发布,关注的用户都能第一时间Get。

一场直播想要获得更多用户的关注,除了依靠吸粉的主播以外,更要有稳定通畅的用户体验。直播时,访问量越大,获利也就越多,相对而言,带宽的消耗也就更大,网络变得很不稳定。于是,通过DDoS攻击,让对方的直播卡顿、用户掉线,就成为了一个打压竞争对手的“好”方法。  所谓“树大招风”,被越多的人熟知,就越容易成为被攻击的目标。绝大多数DDOS攻击的发起都是利益导向,根本原因还是缘于行业之间的利益竞争

随着网络技术的发展,DDOS攻击这个被称为“黑客入门”的网络攻击形式,早已形成了不太“地下”的黑色产业链。很早就有新闻报道过:花1块钱就能在1个小时内打1G流量;某直播平台只花了6000块,10天内就攻下了竞争对手……


DDOS(Distributed Denial of Service)攻击,即分布式拒绝服务攻击

  DDOS攻击利用了大量的虚假数据包访问目标,这些数据包都经过了伪装,无法查找来源。攻击一旦开始,海量虚假数据包一拥而上,系统直接崩溃。

  DDOS攻击,其实是从前任DOS攻击的基础上衍生出来的另一种攻击。俗话说得好,“长江后浪推前浪,一浪更比一浪强”

遭受了DDOS攻击怎么办?怎样才能更好的防护DDOS攻击?中新金盾抗拒绝服务系统(DMS)是您不错的选择!
最新型的中新金盾抗拒绝服务系统端设备,可以和中新网安金盾云清洗中心实时联动,是企业网络基础设施对抗流量型攻击的第一道防线

中新网安通过十七年的发展,以及在抗拒绝服务攻击方面的研究、生产、部署和攻防实战经验中,形成了具有自主知识产权性能优越品质优秀的中新金盾抗拒绝服务系统。为解决来自不同方向的DDoS攻击问题,研发出高端精密硬件、主机端防护软件和虚拟化版本等不同形态,将东西南北向全方位防护闭环。联动流量分析系统实现动态清洗,结合管理平台让分布各地设备统一调度,可适配各类网络环境,为您的信息系统提供完善的安全保护。一流的核心模块 + 高效的防护算法,使得本系列产品成为抗拒绝服务的防护金盾。

中新金盾抗拒绝服务系统功能描述

中新金盾抗拒绝服务系统(简称金盾硬件防火墙)分为选配和整体化硬件模式设备,下面介绍设备的硬件配置和接口信息。(想了解具体防护策略请参见中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

产品外观

本节将以ZX-DMS 5210为例详细介绍设备硬件的前面板和背面板。需要注意的是:实际产品会因批次或型号不同而接口的型号或数量略有不同。

  • 前面板概览
  • 背面板概览

产品的随机配件与产品型号相关,请以实际装箱物品清单为准。

除随机配件盒内物品外,还需要进行以下准备工作:

IP地址——DMS设备支持双协议栈,建议在网络中为DMS设备预留一个IPV4地址和一个IPV6地址;

临时计算机——配置DMS设备需要一台临时管理用的计算机,配置时需要通过网线连接后使用HTTP(或HTTPS)的方式登录DMS设备的WEB界面进行管理;

终端软件——能够连接串口的终端软件(比如Windows自带的超级终端软件);

浏览器——请确认计算机系统已安装IE浏览器(建议使用IE6.0以上版本)。

安装流程

步骤一:

佩戴防静电腕带或防静电手套。如果佩戴防静电腕带,需确保防静电腕带一端已经接地,另一端与佩戴者的皮肤良好接触。

步骤二:

使用M4螺钉安装左右挂耳(前)到DMS设备。DMS设备配套的挂耳安装方法分别如下图所示。

步骤三:

根据规划好的DMS设备在机柜上的安装位置,确定浮动螺母在方孔条上的安装位置。用一字螺丝刀在机柜前方孔条上安装4个浮动螺母,左右各2个,需注意,上下的两个浮动螺母间距为2U。保证左右对应的浮动螺母在一条水平线上

步骤四:

  • 将M6螺钉预安装在前方孔条下面的两个浮动螺母上,螺帽与浮动螺母间留出间隙,以便安装DMS设备时卡住前挂耳下方的挂耳口。
    • 搬运DMS设备进机柜,将两侧的后挂耳均对准后挂耳滑道的导轨后再缓慢插入。
    • 使DMS设备两侧的前挂耳安装孔与机柜前方孔条上的浮动螺母对齐,下方的挂耳口卡在之前预安装的M6螺钉上,用十字螺丝刀和M6螺钉将前挂耳固定到机柜方孔条上。

安装部署位置

中新金盾抗拒绝服务系统(ZX-DMS)支持多种部署方式,常规的部署方式有串联和旁路两类模式。

串联类部署,是将ZX-DMS完全透明化串接在网络中,对经过ZX-DMS流量进行清洗。串联模式部署主要分为“单通道环境”与“多通道环境”,两种环境都需要流量成对程型(即进出的流量全部都要走ZX-DMS),部署简单。 线路通过设备直接下去的,所有流程和数据都要经过直接经过设备到达下层机器,也就是设备的串联部署方式。

单通道环境拓扑

多通道环境拓扑

旁路模式 : 旁路路牵引是把设备与上层的路由连接到一起,通过检测设备发现哪些是攻击流量,把攻击流量牵引到设备上来处理,正常流量不从设备经过【正常流量不经过】。 旁路部署模式主要分为“流量牵引”和“流量转发”两大步骤。流量牵引的主要工作就是将混合流量牵引至清洗中心;流量转发的主要工作是将过滤后纯净流量送回原本网络中,从内部网络去往外部网络的流量不走ZX-DMS,不需要做配置改变。

旁路部署拓扑

旁路部署下通道组设置分为两种模式:1,进出相同端口的是回流模式,表示流量从哪里来就回哪里去;2,进出采用不同端口的是注入模式。两种模式都很好,具体使用哪种模式根据自身实际的网络环境确定。

二层回流模式

三层回流模式

二层注入模式


三层注入模式

初次网络配置

设备只需进行简单的网络配置即可工作,网络配置主要有如下内容:

  • 设置IP地址
    • 设置网络掩码
    • 设置网关
    • 设置DNS服务器

网络配置可以通过串口控制台进行,也可以通过Web管理界面来操作。两种配置方法都需要有相关配件(设备配件盒中自带)和一台工作计算机,请根据自己的实际情况选择配置方法。

通过Web管理界面进行网络配置,请使用交叉线(设备附件盒中自带)连接设备工作网口和工作计算机网口,并配置工作计算机的网络设置,使得工作计算机和设备处于同一网段(具体的网络配置参数,请参见随箱发送的客户使用手册 产品出厂参数),然后使用浏览器通过HTTP(或HTTPS)登录Web管理界面即可进行配置。

通过串口控制台进行配置需要使用串口线连接设备和工作计算机,对于DMS设备,串口速率参数均为115200bps。登录控制台后选择配置菜单即可进行配置(具体配置方法请参见随箱发送的客户使用手册 )

登录Web管理界面

步骤一:

以设备的ETH0口作为管理口,使用工作计算机与ETH0直连,确认网线接好后,在工作计算机上配置与管理口同网段的IP地址,这里我们配置IP地址为192.168.106.2/24,如下图所示:

步骤二:

打开浏览器输入http://192.168.106.1:28099按“回车键”后打开中新金盾抗拒绝服务系统的WEB管理登陆界面。

步骤三:

正确输入用户名和密码,点击【登录】按键,登陆设备的WEB管理界面,默认的用户名和 密码,在Web界面中可以对设备状态进行查看和配置。

步骤四:

成功登陆后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x/x)→【添加地址】,可完成设备接口地址更改;

更改地址后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x)→【设置网关】,可完成设备网关更改;

CLI控制台可以对系统自身功能进行配置,比如配置接口地址更改、通道口设置、清理磁盘空间等,这里不做介绍详情参见随箱的客户使用手册。

系统登录

产品采用主流的 B/S 架构,能够使用加密的 HTTPS 协议与便捷的 HTTP 协议等多种可选远端管理方式,同时支持单用户多并发的账户机制。
本章将主要介绍 ZX-DMS 系列产品各个功能和管理时涉及到的一些基本概念(以
ZX-DMS 5120为例仅供参考)。

用户登录

设备出厂时有多个管理 IP 地址,本文档以 192.168.100.1 这个 IP 为例,作为管理地址。因此请将任意一台电脑的 IP 地址设置为与系统管理地址同一网段的 IP 即可。例如:192.168.100.10.在浏览器地址栏中输入 http://192.168.100.1:28099 并回车,即可打开系统的登录界面,如下图所示:系统登陆界面

在设备的登录界面输入用户名账号和密码点击【登陆】按钮,进入系统 Web 管理平台。在系统登陆界面可以选择显示语言的种类目前支持的语言有“简体中文”和“English”两种。

主界面介绍
本节介绍中新金盾抗拒绝服务系统 Web 管理界面构成。如下图所示系统界面介绍

设置管理地址

根据企业实际情况确定好部署方式并将产品上架后,第一步骤设置系统的管理地址和网关,设备管理地址根据实际情况分配。选择【系统配置】→【系统设备】进入系统管理地址设置界面,如下图所示:系统设备示意图

设备功能概况

系统中集成了简洁高效的 Web 管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能。

状态监控

全局统计

  1. 负载统计
    显示当前的流量图表、流量报表、系统概括、系统负载以及攻击记录,流量图表记录了设备总流量情况,如下图所示:全局统计
  1. 当前频率
    从整体上显示了设备上的流量、报文、匿名流量以及其他流量;外网为外部网络与设备的接口,即输入流量;内网为内部网络与设备的接口,即输出流量。

系统负载
记录了设备 CPU、内存的使用情况以及网络状态的统计。如下图所示:

防护范围
添加要防护的主机地址范围,只要在添加的主机地址范围内的主机产生流量后,主机的IP 地址会自动在【主机状态】中显示。如下图所示。

主机状态
【主机状态】模块页面显示了当前设备下主机的基本状态,如主机、带宽、频率、连接、点击某个主机后可进入主机视图进行查看,如下图所示。

删除防护主机
单击某个主机 IP,进入主机视图。输入想要删除的主机或者网段,然后去掉“有效”
选项框内的“√”,点击提交后即可删除单个主机。

主机状态查看
点击主机列表某个主机后,会出现主机当前防护状态,保护模式显示当前主机处于的防御模式,输入输出流量显示主机输入和输出过滤前和过滤后流量,如下图所示

连接监控
连接监控列表显示了当前设备所有的连接,页面如下图所示:

屏蔽列表
“屏蔽列表”模块页面显示被系统所屏蔽的连接,页面如下所示:

黑白名单
在【黑白名单】模块管理页面,可直接将 IP 加到黑名单和白名单。页面如下图示:

域名管理
在【域名管理】模块页面可以设置域名的黑名单和白名单,页面如下图所示:

攻击防御

全局参数
【全局参数】模块设置页面,提供了一些通用参数的设置接口,用户可方便的配置设备防护行为。页面如下图所示:

规则设置
【规则设置】模块页面显示了当前设备系统中的规则,包括系统规则及用户定义规则。页面如下图所示:

规则编辑页面
规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:

TCP 端口保护
【TCP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某
种端口的服务类型更改相应的处理策略。页面如下图所示:

WEB Service Protection
动态验证策略是中新金盾抗拒绝服务系统特适用于 Web 服务的一种防护方案,是针对目前愈演愈烈的 CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口,系统将对进入的HTTP 请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽;动态验证模块,只对设置了 WebCC 保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响。中新金盾抗拒绝服务系统使用 WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时,WEB Plugin 会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端 IP,攻击器无法解析脚本,无法完成验证码的计算。设置界面如下图所示:

SSL|TLS Service Protection
HTTPS 业务数据均是加密数据。当被攻击时,传统的防护手段只能通过限制 Hello 频率或者 Exchange 频率,防护效果不佳,SSL|TLS 插件可对数据进行解密并有效防护。

Game Service Protection
 对于刷端口攻击,很多攻击器都是对同一个端口频繁建立连接。因此插件判断某个客户端是否打开若干个服务器端口,若只对同一个端口频繁连接,则会屏蔽该客户端。
 对于游戏应用来说,服务器回应的数据比客户端发送的数据要大很多,因此该插件还会判断客户端同服务器之间的数据比例,如果比例无法达到设定值,则会屏蔽该客户端。
 对于传奇等游戏假人攻击,插件会在玩家登陆 30 秒后发送验证码对话框,玩家若无法完成验证码的输入,则会被断开连接。次数过多则会被屏蔽。参数设置如下图所示:

Misc Service Protection
Misc 模块主要用于防护游戏,Misc 模块可以自定义回复数据,分为两种情况,第一种为默认:0-ftp,1-smtp,2-pop3。第二种是自定义:10-17,是 8 组自定义回复策略,用于建立连接后服务器首先发送固定数据给客户端,然后客户端回复固定数据,需要在系统环境变量里,设置 misc.customdata,格式是:服务器回复数据:客户端回应的正则表达式,主要是用于游戏连接时,服务器先回复固定数据,然后客户端发送的第一个包的数据相同,可以设置最多 8 组,设置如下图所示:

参数中的 10 代表 Misc Custom 中的第一组数据,如下图所示:

DNS 防护模块
 DNS 防护模块如下图所示,开启 TCP 53 端口的 DNS 插件防御,有的客户端也可
以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,如下图所示:

开启TCP防护模块
开启 TCP 防护模块有两种方式,一种是在连接攻击检测处填写一个数值,当 TCP 新建连接达到此值时,将自动开启 TCP 插件防御,当连接数低于此值一段时间后,TCP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 TCP 防御插
件,如下图所示:

UDP 端口保护
【UDP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

UDP APP Protection v1.1
 该插件参数配置对应变量设置中 udpfilter.Data
配置文件中 index 配置索引。比如,在变量设置中 udpfilter.Data 中针对当前业务防护设置的客户端和服务器数据流信息在“index = {1};”中, 那么在 udp 端口保护中业务端口开启 UDP APP Protection v1.1 防护模块,对应模块参数就是 1。

DNS 防护插件防御
如下图所示,开启 UDP 53 端口的 DNS 插件防御,有的客户端也可以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,方式和 UDP 的一样

开启UDP插件
开启 UDP 插件防御有两种方式,一种是在攻击频率检测处填写一个数值,当收端口每秒接收到到 UDP 数达到此值时,将自动开启 UDP 插件防御,当连接数低于此值一段时间后,UDP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 UDP 防御插件,如下图所示:

牵引设置

变量设置
针对有一定访问规律的 udp 攻击。用于防护具有一定访问规律的 UDP 攻击。此模块防护攻击时需要客户端第一次请求数据、服务器回应数据、确认回应的数据固定。使用之前需要对配置文件进行设置。

日志分析

日志列表
【日志管理】模块列出系统中所有的日志项,并可按事件进行分类。页面如下图所示:

攻击分析
开启该模块方法:在【系统配置】→【控管属性】→【控管特性】中勾选【异常攻击分析】。目的主机只支持单个主机查询。

分析报告
【分析报告】模块统计出了设备全局的最大以及平均的流量、连接值,并可以查询单个主机的防护状态以及连接、流量记录。如下图所示:

TOP 分析
【TOP 分析】模块统计出了最近五分钟、一个小时、一天或指定时间段内输入流量排名前 10、前 50、前 100、前 500 的主机信息。如下图所示:

流量分析
【流量分析】模块统计出了全局以及单个主机的每日和每月的最大、平均的流量输入、输出报表。如下图所示:

连接分析
【连接分析】模块用于查询全局/单个主机的一天/一月内的最大、平均连接值。如下图所示:

事件分析
该栏罗列出了主机六天内的所触发的防护参数事件以及最大/平均的的输入输出数据包 频率。统计方式有:BPS、PPS 以及 SPS。如下图所示:

性能分析
【性能分析】模块列出了系统的最大/平均输入输出流量以及 CPU 和内存的使用率。如下图所示:

攻击档案
开启该模块方法:在【系统配置】-【控管属性】-【控管特性】中勾选【异常攻击分析】、【攻击报文归档】。【攻击报文档案】页面如下图所示:

报表管理
通过邮件或 tftp 方式获取设备上的报表文件,勾选 tftp 传递后会出现配置 tftp 服务器一栏。或者直接勾选报表类型导出。

系统配置

保存配置
【保存配置】模块用于对设备的相关设置进行保存,可按网络设备地址、全局防护参数、TCP/UDP 端口保护参数、主机及配置参数以及规则列表进行选择性保存,并可进行配置的导入和导出操作,页面如下图所示:

攻击报警

用户组管理
【用户组管理】用来新建、删除、编辑用户组,设置某个用户组的管理权限。系统默认有四个用户组:monitor、operator、administrator、service。页面如下图所示:

用户组编辑

用户管理
【用户管理】模块具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:

报文捕捉
【报文捕捉】用来抓取经过设备接口的数据报文,分析数据包走向、攻击特征等。

中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

中新金盾抗拒绝服务系统以下简称金盾硬件防火墙。它是中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾抗拒绝服务系统,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝务的防护金盾。

根据中新金盾DDoS 攻击防御经验,目前 DDoS 攻击主要分为流量型攻击和连接型
(Connection-Flood,简称“CC”)攻击。 对于流量型攻击金盾硬件防火墙会采用深层次、细粒度检测算法,依据默认参数主动进行防御,不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略:一般在无 UDP 协
议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口;有 UDP 协议服务的主机要保证不让其触发“全局参数”里的 UDP 保护,而设置“UDP 端口保护”、“规则设置”、“协 议定义”、“DNS 插件”进行防御。对于连接型攻击,最常见的是网站和游戏攻击(游戏“登录器“也是使用 HTTP 协议传输)。中新金盾针对此类攻击均开发出了独创的、扩展性好的插件进行防御。在使用时请先针对被攻击的端口设置插件参数,再打开主机列表,选择已经设置的“TCP 端口保护”集合并启用插件。

一:常见 DDOS 攻击类型及防御设置

1.1 流量型攻击

SYN_Flood 攻击
在流量型攻击中,SYN_FLOOD(同步“泛洪”攻击)是最常见的攻击方式之一。如下图所示,此主机正在遭受 SYN_FLOOD 攻击。从主机状态看,其受到的 SYN 攻击频率超出了全局参数中的《 SYN Flood 保护》 ,则主机会自动进入[SYN]模式防御,此时金盾硬件防火墙会主动采取内置的防护算法,直接拦截掉攻击流量,保证应用服务的正常。

ACK_Flood 攻击
如下图所示,此主机正在遭受 ACK_FLOOD 攻击,ACK 数值已超出全局参数《ACK&RST Flood 保护 》 ,则此主机会自动触发保护而过滤掉此种攻击。
这里建议使用默认值,实际中可根据具体应用来做调整。若确定此主机遭受 ACK_FLOOD,但攻击 量小于“全局参数”默认值 10000,请将此参数调小,触发[ACK]模式后,即可将攻击过滤掉,且不影响正常的客户端访问。

UDP_Flood 攻击
如下图所示,此主机正遭受 UDP_FLOOD 攻击。从左边主机状态看,攻击频率超出了“全局参数”《UDP 保护触发 》,则此 主机会自动触发 UDP 模式防御,中新金盾系统将会直接拦截所有 UDP 报文。但若此主机有 UDP 业务,则还需设置“UDP 端口保护”来达到完美防护。

ICMP_Flood 攻击
如下图所示,此主机正遭受 ICMP_Flood 攻击。从左边主机状态看,此 IP 的攻击频率超出了”全局参数“设置中的《ICMP 保护触发》,则此 ip 会自动触发[ICMP]保护防御,金盾硬件防火墙将采取丢弃所有 ICMP数据包进行保护。

FRAG_Flood 攻击

如下图所示,此主机正遭受 FRAG_FLOOD 攻击。从左边主机状态看,此 IP 的攻击频率超出了“全局参数” 《碎片保护触发》,则此 ip 会自动触发[FRAG] 保护模式,金盾硬件防火墙将采取一定的算法直接过滤 FRAG数据包进行防御。

1.2 DDoS连接型攻击(常见的如CC攻击)

金盾硬件防火墙网站插件防御设置
针对网站 CC 类型攻击,中新金盾抗 DDoS系列防火墙采用验证的方式进行防护。其设置思路:先设置插件参数值,然后在主机状态里勾选启用插件,方法如下:

1设置 TCP 端口保护,并设置合适的模块参数;

2,针对被攻击的主机,手动开启插件;

1)通过主机状态中的“NewTCP”值确定是否有 CC 攻击(连接数很大,确定有异常);

2)通过“状态监控“-”连接监控“,确定被攻击的端口是什么(被攻击的是 TCP80 端口);

3)通过“服务支持”-“报文捕捉”抓取少量数据包判断攻击类型并确定端口业务协议(HTTP);

4)根据被攻击端口和攻击类型,在“TCP 端口保护”中设置适合的策略,并在主机里开启插件

金盾硬件防火墙游戏插件防御设置
针对游戏 CC 类型攻击,金盾抗拒绝服务系统采用深度行为检测技术进行模块化防护。
其设置思路:先设置插件模块参数值,然后在主机状态里启用游戏插件

1.Game Service Protectionv3t 插件 防护设置

2.Game Service Protectionv 4 插件 防护设置:
a.简单防护设置

b. 增强防护设置

对于非常规CC攻击可以抓包做规则进行防护规则设置。可直接将发垃圾字符的 IP 屏蔽掉,如下图

2.2 常见系统设置
2.2.1 如何启动系统集群
以两台设备为例:(两台以上的 DDOS 集群需使用心跳交换机)
1) 选定集群口(如 gbe0 为集群口),将需集群口配置 ip 在同一网段中(如在 192.168.102.0/24),用心跳线将集群同步口相连。

2) 设置完成后,在“集群参数”中配置集群
首先在“集群同步设置”中选定集群口,再配置“集群同步地址”即添加将用于集群同步口的 ip地址(每台设备的地址顺序相同)。勾选“同步到集群”,然后依次点击“保存”,“启动”即可。

金盾硬件防火墙 IP 黑(白)名单功能

做规则屏蔽一个或者一段主机

关于中新金盾和中新网安

中新金盾是产品品牌,中新网安公司简称。

中新网络信息安全股份有限公司(简称“中新网安”)成立于2002年,公司专注于网络信息安全领域,总部设在安徽合肥,是一家集网络安全产品研发、安全服务、安全集成于一体的国家级高新技术企业。目前公司总人数接近500人,研发与技术人员占比60%。

中新网安秉承“核心技术自主研发,核心产品安全可控”的原则,在合肥和北京设有研发中心,具有完全自主研发的系列网络安全产品,包括抗拒绝服务、高级持续性威胁防御、下一代防火墙、Web应用防火墙等。其中公司的核心产品“中新金盾抗拒绝服务系统”可达到单台520G的处理能力,技术水平全球领先。我公司也是抗拒绝服务产品行业标准的制定者之一。

中新网安以“致力于网络空间信息安全守护者”为使命,定位信息安全守护者,重点围绕国家关键基础设施(电力、交通、能源等);重要信息系统(金融、党政、财税、保险等);重要公众服务(互联网+政务、互联网+金融、互联网+医疗、互联网+民生等);重要监管单位(公安部、国家互联网应急响应中心、中国信息安全测评中心、等级保护测评中心等)为服务对象,秉承务实、正直、进取、创新的态度,为客户提供专业的信息安全一体化服务,与用户共创和享受安全美好的网络空间。

中新网安从成立至今,专注核心技术自主研发,在网络安全领域拥有多项自主知识产权和发明专利,目前总部拥有研发中心三座,总计6万2千平米,并在北京与清华网络行为研究所联合成立了中新网安北京研发中心。是国家信息安全漏洞库一级技术支持单位、中国互联网网络安全威胁治理联盟和中国云安全与新兴技术安全创新联盟成员单位,参与并起草了多项国家网络安全行业标准。

中新网安的事业就像一艘乘风破浪的帆船永远向着更高的目标不断奋进、造福社会,它既是一个充满活力,又是具有发展前景的持续成长性公司。公司将不遗余力提供高精尖的网络安全保障技术,为社会的网络安全贡献自己应尽的责任。面对未来,中新网安以组织创新为保障、以技术创新为手段、以市场创新为目标,提高企业核心竞争力,努力实现新跨越,确保企业全面和谐的持续发展。

中新金盾DDoS防护的优势


金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称

通过多年市场发展,金盾防火墙拥有独立自主的技术专利,专业的硬件平台架构和线速处理技术,专用的安全操作系统,广泛的行业合作对象,优秀专业的技术和系统的服务优势。

  1. 专业的技术团队

中新网络信息安全股份有限公司研发中心是我公司负责网络安全产品、软硬件开发的核心部门。中新网安信息安全实验室研究世界先进的安全技术和安全产品,不断跟踪最新的黑客工具和黑客攻击技巧,执着专注的攻防研究人员构筑成安全服务队伍的强大技术后盾。研发部、测试部、网络工程部、售后中心各部门在统一领导下合作开展工作。

中新网安拥有一支握先进安全理念和成熟安全技术的安全服务队伍,有70多名技术人员,拥有CISP、CISAW、CCIE、HCIE等技术,有着丰富的安全咨询、安全系统集成、专业安全服务经验,并熟悉用户业务应用和了解安全隐患所在。中新网安将竭其在信息安全领域的造诣,帮助用户评估信息系统的安全状况,指导用户进行信息安全体系建设,提高用户的安全意识和技术水平,实现业务安全目标。

  1. 高端硬件架构

中新金盾抗拒绝服务系统采用专业的硬件架构,使用了目前先进的ATCA架构硬件平台,在背板结构上,结合独创的攻击检测算法,能够针对海量DDoS进行防护。ATCA支持星状、网状、双星和两组双星等多种拓扑结构,为用户提供更多接口选项,具备更丰富的弹性;在多板卡间数据传输问题上,ATCA采用全网状结构,使内部最高数据传输交换速率达2.4Tbps;在背板总线协议选择上,ATCA支持多种基于数据包的交换式总线; ATCA规范在外形设计定义上预留了更大的空间,同时提供了冗余风扇和温度监控管理,以增强系统散热能力;ATCA代表着全开放、模块化的工业标准,它可以使设备制造商采用第三方厂商的可互操作性、成熟的商业化(COTS)软硬件组件,在快速实现集成或升级换代的同时,增强了系统的整体兼容性。

由于系统支持旁路部署方式,可对DDoS攻击流量进行牵引,同时通过部署若干台金盾设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。

  1. 独立自主的技术
  2. 独特的连接代理防护算法

中新金盾抗拒绝服务系统系列产品中应用了自主研发的抗拒绝服务攻击算法。针对SYN攻击,采用SYN Proxy连接代理防护模式,以代理模式处理客户端与服务器之间的连接,同时完成攻击报文的过滤,即使在海量攻击下仍然可以保证99.99%的新建连接的连接成功率。

  • 高效的连接数据转发算法

中新金盾抗拒绝服务系统系列产品,采用自主研发的TCP Fast Rechecksum技术,高效的处理来自TCP的连接数据及其校验和,并进行快速转发,而无需重新统计报文数据。

  • 模块化的内核防护算法

中新金盾抗拒绝服务系统系列产品,采用了Kernel Protection Plugin For Linux &Windows 技术,将特定的防护算法以模块的形式实现,简化了核心代码,优化了系统构架,并具有良好的扩展性。

  • 基于页面插入式的WEB防护算法

中新金盾抗拒绝服务系统系列产品,采用Web Protection Based On Page Injection 即基于页面插入式Web 防护算法。对于开启防护的Web 服务器,防护模块会主动插入Web页面,客户端可无察觉的自动完成验证过程,已达到高效的防御 Web 类连接攻击的目的。另外,也可以通过验证服务器辅助来加强防护级别。

  • 基于数据挖掘的通用防护算法

中新金盾抗拒绝服务系统系列产品,采用Generic Protection Based On Data Mining技术即基于数据挖掘的通用防护算法,对于开启保护的服务器,防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘,察觉恶意流量并加以过滤,有效率高达97.3%以上。

  • 可扩展的集群模式

中新金盾抗拒绝服务系统系列产品,采用Extensible Firewall Cluster Mode 即可扩展的集群模式,通过领先的数据分流技术,使得若干设备可组合形成更大的防护主体,提供海量攻击的防护解决方案。

  • 多平台架构支持及内核防盗版技术

中新金盾抗拒绝服务系统系列产品,支持多核、NP、ATCA 架构,拥有百兆级、千兆级、万兆级多种防护级别的产品。同时采用Anti-Cracking Mechanism In Kernel技术,实现对系统核心的加密技术,使得本系统具有很强的防盗版、防拷贝能力。

  • 灵活多样的部署方式

中新金盾抗拒绝服务系统系列产品,支持IEEE802.3AD和IEEE802.1Q等其他路由交换协议。具备多种环境部署能力,能在不改变现有网络拓扑的情况下,以透明模式接入。支持多种部署方式,如分布式部署、双机热备部署、集群部署和旁路部署等。

  1. 专业的服务
  2. 广泛的行业解决方案 

针对不同的客户,抗拒绝服务攻击所面临的网络环境也不同,政企网、IDC、ICP 和 ISP 等多种网络环境并存,给抗拒绝服务系统的部署带来了不同的挑战。通过近十年的发展,中新金盾抗拒绝服务系统已经广泛部署应用于不同的行业,如互联网、运营商、证券、电力、医疗、社保、税务和教育等行业,积累了大量的行业解决方案与经验,使您不必为本网络的安全解决方案而苦恼,只要您一个电话,剩下的事由金盾来做。

  • 全面系统的专业培训服务 

中新网安强大的服务体系,为您的网络安全将提供全方位的服务。凡是使用中新网安系列产品均会得到中新网安为您量身定制的网络安全专业培训,除了针对抗拒绝服务知识与金盾产品操作的培训,我们还将为您提供一系列扩展培训,使您对网络安全有更全面的了解。

  • 优质的售后服务体系 

使用中新金盾抗拒绝服务系统,质保期内您将享有免费升级服务。除了为您提供更便捷、更有保障的产品售前咨询和售中服务,我们强大的专业技术团队还将为您提供全方位的售后技术支持。我们的客服中心和技术支持中心为您提供7X24小时的专业服务。定期为产品系统更新,随呼随到的在线技术支持以及紧急的现场支持,使您的网络始终保持在最安全的状态,免除您的后顾之忧。我们的服务宗旨是:客户至上,服务第一。

  • 量身的模块定制服务 

中新金盾抗拒绝服务系统,内置的协议自定义模块,可以随着网络应用的变化进行方便的修改,即对各种特殊应用进行自定义防护,如用户自行开发的某些聊天室、游戏服务等。中新金盾抗拒绝服务系统也将根据您的实际应用进行开发,实现模块量身定制。

为什么需要中新金盾系列防火墙防护DDoS攻击

金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称,为什么需要金盾防火墙防护DDoS攻击主要有一下几点原因。

常规技术和产品的不足

传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这种DDoS防御方式有以下几点不足:

配置复杂,自动化不强。传统DDoS防御一般要求用户针对某种流量配置相应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的对防御规则进行调整。

防御能力比较单一。目前DDoS攻击的趋势是多层次和全方位的。在一次攻击过程中,会产生针对半连接的SYN Flood、UDP Flood和ICMP Flood,针对连接的TCP Connection Flood,以及针对应用层协议的HTTP Get Flood、HTTP Put Flood等多种攻击。而传统DDoS防御主要针对SYN Flood等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比较单一。

无法应对未知的攻击。随着DDoS攻击工具源代码在网上散播,攻击者可以很容易改变DDoS攻击的报文类型,形成DDoS攻击的变体。而传统DDoS防御主要针对已知DDoS攻击,对未知的DDoS攻击变体无法进行防御。

技术防护的不足

  • 安全策略

路由器的一些安全策略,如ACL(访问控制列表)、QoS(服务质量)、黑洞路由等,可以对非法的流量进行过滤和对优先服务提供保证。比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量,一般来说,ACL可以基于协议或源地址进行设置。比如设置只允许TCP端口访问,可以一定程度上防护UDP Flood攻击,但是目前较多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的协议进行过滤。同时,如果DDoS攻击采用伪造IP地址方式进行攻击,ACL就无法根据源地址进行防护。路由器还有一些功能,比如黑洞路由方式进行防护攻击,这种方式相当于直接屏蔽掉对被攻击IP的访问,但在目前市场竞争激烈的情况下,这种做法无疑会流失一定的用户量。

  • 资源扩容

对于用户来说,为了防御DDoS攻击,有些客户可能会通过多台冗余设备,或者增加多条链路来提高网络系统防护能力。对于运行商或IDC提供商来说,可能会通过扩大链路带宽的方式来增加防护能力,但这些都只是一种类似“妥协”的手段,无法从根本上去防御DDOS攻击。一方面会造成成本成倍增加,另一方面,如果攻击者同样提高攻击流量,同样会造成这种防御的方法彻底失效,长期下来会导致用户体验下降,用户资源流失。

  • uRPF

uRPF是一种单播反向路由查找技术,用于防止基于源地址欺骗的网络攻击行为。uRPF通过检查数据包中源IP地址,根据接收到数据包的接口和路由表中是否存在源地址路由信息条目,来确定流量是否真实有效,并选择数据包是转发或丢弃。通信网络中,诸如DoS攻击、TCP SYN洪泛攻击、UDP洪泛攻击和ICMP洪泛攻击等,都可能通过借助源地址欺骗的方式攻击目标设备或者主机,造成被攻击者系统性能严重的降低,甚至导致系统崩溃。uRPF技术就是网络设备为了防范此类攻击而使用的一种常用技术。但是uRPF防护的是非本子网发出的伪造源IP地址数据包,如果攻击者攻击采用本子网IP地址作为源IP地址,uRPF无法防御。

产品防护的不足

传统的网络安全产品的种类非常多,但对DDoS攻击防护却表现得非常薄弱。传统的抗拒绝服务产品、入侵检测系统、路由器和交换机等,因其设计之初并未考虑对DDoS的防护,而不能全面的对DDoS攻击进行有效检测和防护。

  • 传统防火墙设备

防火墙产品是我们比较常用的网络安全设备,通过NAT隐藏内部网络结构,设置DMZ区(非军事化区)保护内部网络,三层数据包过滤非法数据。虽然有些防火墙内置了某些模块能够对攻击进行检测,但这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。另一个原因是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的高流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。而防火墙最主要的功能是提供内网网络访问外网的功能,主要是NAT、VPN服务等。这样防火墙的性能将成为瓶颈,如果防火墙遭到DDoS攻击防火墙性能下降,将导致整个网络陷入瘫痪。

  • IPS/IDS

IPS/IDS作为当前网络攻击防御和检测的有力工具,主要基于特征规则库检测阻断攻击。但是常见的DDoS攻击多以合法的数据包进行流量攻击,这样IPS/IDS就很难通过规则对这些攻击进行检测。

鉴于以上的不足,我们需要选择专业的DDoS防护产品, 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙即金盾防火墙就是一款专业级的防护产品

中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾防火墙,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝服务的防护顶尖品牌。

  1. 防御架构

中新金盾抗拒绝服务系统采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。该架构采用验证、分析等方法标识出可疑流量,并针对可疑流量做一系列的验证和防御。

1.过滤规则模块

过滤规则包括静态过滤规则和动态过滤规则:静态过滤规则是由用户手动配置的;动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析等方法发现可疑流量后动态添加的。

过滤规则模块根据过滤规则对流量进行过滤,将已经确定是攻击的流量进行阻断;将可疑的流量交给动态验证模块进行动态验证。

2.动态验证模块

动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证,阻止源地址欺骗的报文通过。所采用的动态验证方法例如:针对HTTP请求采用HTTP重定向方法;针对DNS请求采用DNS重定向方法。

3.异常流量识别模块

异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计,并与已经获得的学习流量基线进行比较。如果超出,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。如果网络流量超出学习流量基线,则说明网络中可能存在异常,需要对其进行验证和确认。

4.应用异常识别模块

应用异常识别模块针对不同的应用协议,对通过过滤规则模块和动态验证模块的应用层流量(如HTTP Error攻击等)进行深入分析。如果发现有异常流量,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

5.带宽控制模块

各种流量如果通过了上述模块,表明数据报文是正常的,但仍有可能出现流量过大导致保护对象过载的情况。通过带宽控制模块,可以对要流入保护对象的流量进行带宽限制,保证保护对象不会过载。

  1. 功能一览

中新金盾抗拒绝服务系统产品,功能丰富,界面简洁,便于管理。概括起来有以下主要功能和技术优势:设备均采用主动探测防护模式,防护更加主动、人性、精准,DFI+DPI结合的数据包分析识别技术,更加丰富多样的DDoS攻击防护策略、灵活进行多种防护手段的随意切换,更加详尽的应用层协议及端口保护,对更多的特殊应用的定向保护,更加丰富、人性化的数据包规则过滤,丰富多样的审计报表格式,人性化的设备需求DIY定制,丰富多样的部署方式、支持各种网络环境的部署等。

  • 精确智能的攻击检测及防护

中新金盾抗拒绝服务系统,应用了自主研发的抗拒绝服务攻击算法,拥有智能参数阀值,对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等流量型攻击,HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted等连接型攻击和Smurf、Land-based、Teardrop、Fragment Flood、Red Code等漏洞型攻击,及其他各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行阻断处理,保障业务系统正常运行。内置各种针对网站、网络游戏、音视频聊天室等专门的Web防护插件及游戏防护插件,彻底解决针对此类应用的DDoS攻击。

  • 简洁丰富的WEB管理

中新金盾抗拒绝服务系统,具有丰富的设备管理功能,基于简洁的Web管理方式,支持本地或远程升级。丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。整个Web界面主要有状态监控、攻击防御、日志分析、系统配置和服务支持五个模块。

  • 专业健全的连接跟踪机制

中新金盾抗拒绝服务系统,内部实现了完整的TCP/IP协议族,具有强大的连接跟踪能力。每个进出的连接,抗拒绝服务产品都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。并且提供了连接超时,重置连接等辅助功能,弥补了TCP/IP协议族本身的不足,使您的服务器在面对拒绝服务攻击中游刃有余。

  • 通用方便的报文规则过滤

中新金盾抗拒绝服务系统,除了提供专业的DoS/DDoS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的包括IP地址、端口、TCP标志位、关键字、协议等,极大的提高了通用性及防护力度。系统中还内置了若干预定义规则,易于使用。

  • 便捷快速的抓包取证功能

中新金盾抗拒绝服务系统,内置抓包工具,具有数据包捕获功能,依据自行设置的条件启动抓包任务,针对DoS/DDoS攻击,获取符合抓包条件的网络数据包,为电子取证提供依据。

  • 完善强大的模块防护功能

中新金盾抗拒绝服务系统具有完善的连接跟踪机制,准确的应用层协议过滤。应用层协议高级防护,如对FTP、SMTP、POP3、HTTP等应用服务的保护。数据包规则过滤可对端口和TCP的SYN、FIN、PSH、ACK等标志位过滤。数据包内容细致过滤可对数据包内关键字过滤并支持明文和十六进制格式。金盾抗拒绝服务系统还可以实现数据包捕获功能、单IP流量限制、SNMP管理、支持查询CPU内存利用率和接口流量及系统健康状态等。

  • IPV4/IPV6混合网络功能

针对IPv6越来越多的普及,运用IPv4与IPv6的双栈兼容技术,对网络中巨大的数据量进行深度的分析清洗,提取受保护服务器与众多客户端的通信进行数据统计,发现数据中的攻击特征;运用流量防护模块、WEB防护模块、GAME防护模块、DNS防护模块、语音防护模块等高效的模块化防护技术,对攻击流量进行处理、过滤,再将纯净的流量转发给服务器,从而保护网络的正常使用。同时,提供给用户全面的日志、报表输出功能,为网络管理员在日常的管理和对网络安全的判断提供详细的依据。

  1. 系统防护原理

中新金盾抗拒绝服务系统系列产品是基于嵌入式系统设计的,其在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。自主研发的高效防护算法,效率极高。

中新金盾抗拒绝服务系统主要采用了攻击检测、主机识别、指纹识别、协议分析、攻击过滤、流量控制、端口保护、连接控制、连接跟踪和日志审计来达到拒绝服务攻击的防护。

  • 攻击检测

利用了多种技术手段对DoS/DDoS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度。

  • 主机识别

中新金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址,某些主机受到攻击不会影响其它主机的正常服务。

  • 指纹识别

用来识别整个连接过程,其中包括:源、目的、协议、端口等情况的识别。

  • 协议分析

中新金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

  • 攻击过滤

攻击过滤为默认模式,此模式下,运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机。

  • 流量控制

主要是针对一些攻击流量做限制。紧急触发状态,针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击。简单过滤流量限制,是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文。忽略主机流量限制,用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃。伪造源流量限制,用于限制内网攻击。当某数据包的源MAC地址不同于记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃。

  • 连接控制

根据攻击的流量和连接数阀值来设置触发防护选项,连接数阀值可以根据不同情况来灵活控制。

  • 连接跟踪

中新金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

  • 日志审计

日志记录可全面记录产品系统运行及防护状态,并对不同权限的操作进行记录。

DDoS攻击分析

在网络中,数据包利用TCP/IP协议在Internet传输,数据包本身是无害的,但是数据包过多,就会造成网络设备或者服务器过载;或者攻击者利用某些协议或者应用的缺陷,人为构造不完整或畸形的数据包,也会造成网络设备或服务器服务处理时间长而消耗过多系统资源,从而无法响应正常的业务。

DDoS攻击之所以难于防御,是因为非法流量和正常流量是相互混杂的。非法流量与正常流量没有区别,且非法流量没有固定的特征,无法通过特征库方式识别。同时,许多DDoS攻击都采用了源地址欺骗技术,使用伪造的源IP地址发送报文,从而能够躲避基于异常模式工具的识别。

DDoS攻击“主力军”

对现有攻击分析总结,可知常见的DDoS攻击有SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DRDoS、Land Flood、Fragments Flood、Fatboy、DNS Query Flood和CC攻击。

  • SYN Flood攻击

利用TCP协议缺陷,发送海量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

  • ICMP Flood攻击

利用海量ICMP报文给服务器带来较大的负载,影响服务器的正常服务。由于目前很多抗拒绝服务产品直接过滤ICMP报文,因此ICMP Flood出现的频度较低,但变种伪造IP的Flood,Smurf洪水攻击(反射攻击)却愈发猛烈。

  • Land攻击

向服务器发送具有IP源和目的地址,甚至TCP源和目的端口完全一样的伪造的SYN包,使服务器创建大量空连接而无法承受这么多流量瘫痪或重启。

  • CC攻击

CC其前身名为Fatboy攻击,攻击者借助代理服务器生成指向受害主机的合法请求,实现对服务器资源的恶意消耗。

  • DNS Query Flood攻击

利用向被攻击的DNS服务器发送海量伪造域名的解析请求,以达到消耗服务器系统资源的目的。

  • IGMP Flood攻击

利用IGMP协议漏洞(无需认证),发送大量伪造的IGMP数据包造成路由器、抗拒绝服务产品等网关设备内存耗尽,CPU过载。

以上是最为常见的拒绝服务攻击,随着时间的推移,新的攻击类型及其变种层出不穷。作为专业的DDoS解决方案提供商,中新网安金盾防火墙时刻关注此类攻击动向,快速制定相应的解决方案,为您的网络安全提供实时的全方位服务。

DDoS攻击发展趋势

中新网安中新金盾自2002年以来,扎根抗拒绝服务攻击领域,多年来通过对国内外拒绝服务攻击情况,实时进行了跟踪分析:

  • 攻击目的产业化

DDoS攻击逐渐从偶然攻击动机转变为追求经济利益的谋利手段,如产业竞争、经济敲诈等,并逐渐形成一个成熟的DDoS攻击市场及与之相对应的地下产业链。

  • 攻击手段趋于复杂化

攻击者通过组合多种攻击方式,随机伪造各种正常报文。如攻击包有时随机、有时固定、有时分片;攻击报文长度有时超长、有时超短;宽带型攻击夹带应用型混合攻击。

  • 攻击目标趋于多样化

从早前攻击针对网络层,消耗链路带宽和被攻击服务器系统资源,演变为针对不同业务特点进行攻击。如慢速向Web服务器发送数据查询请求、向游戏服务器发送虚假人物登录请求。

  • 攻击流量趋于海量化

进入21世纪,国内互联网运营商加速宽带网络建设,此后DDoS攻击逐渐活跃,单次攻击规模逐年增大。如2002年,中新网安监测到大规模攻击流量不过千兆,而2014年监测到单次攻击最高已达到100G,2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached反射放大攻击甚至带来了1.7 Tbps的惊人流量峰值。十几年间攻击规模的不断递增,攻击流量海量化已成事实。

DDoS攻击事件

DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式进行,而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主机针对特定目标进行攻击。所谓“僵尸”主机即感染了僵尸程序(即实现恶意控制功能的程序代码)的主机,这些主机可以被控制者远程控制来发动攻击。在僵尸主机量非常大情况下(如10万甚至更多),可以发动大规模DDoS攻击,其产生的破坏力是惊人的。

随着互联网和物联网的发展,DDoS攻击呈现出新的特点:

  • 攻击越来越频繁,流量越来越大,2017年上半年单次DDoS攻击平均峰值为32Gbps,相比2016年下半年升高47.5%。300Gbps的超大流量DDoS攻击呈增长趋势,共发生46次,Q2比Q1增加了720%。
  • 反射放大攻击横扫全球,直接拥塞链路
  • 慢速应用型攻击精确打击互联网金融和游戏等业务系统

2016年5月Anonymous组织发起的“Operation OpIcarus”攻击:针对全球范围内的多家银行网站,发动了短期性网络攻击,导致央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作。

2016年11月,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。

2017年中旬,阿里云发布2017年上半年的“游戏行业DDoS态势报告”。报告显示,2017年1月至6月,游戏行业大于300G以上的攻击超过1800次,最大峰值为608G;游戏公司每月平均被攻击次数为800余次。在2017年1月至3月为攻击最猖獗的时期,平均每天有30多次攻击。

2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached 反射放大攻击甚至带来了1.7Tbps的惊人流量峰值。

在世界各国对互联网高度依赖的同时,针对大规模网络以拒绝服务攻击为主的恶意行为已经成为互联网上的一个首要安全威胁,几乎每次该类攻击事件都给整个社会造成了巨大的经济损失;所以保证网络环境有效运行是互联网业务提供商急需解决的重要安全问题,而 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙中的中新金盾抗拒绝服务系统以此为目标,提供强有力的安全保障。