支持与服务

中新金盾抗拒绝服务系统功能描述

中新金盾抗拒绝服务系统(简称金盾硬件防火墙)分为选配和整体化硬件模式设备,下面介绍设备的硬件配置和接口信息。(想了解具体防护策略请参见中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

产品外观

本节将以ZX-DMS 5210为例详细介绍设备硬件的前面板和背面板。需要注意的是:实际产品会因批次或型号不同而接口的型号或数量略有不同。

  • 前面板概览
  • 背面板概览

产品的随机配件与产品型号相关,请以实际装箱物品清单为准。

除随机配件盒内物品外,还需要进行以下准备工作:

IP地址——DMS设备支持双协议栈,建议在网络中为DMS设备预留一个IPV4地址和一个IPV6地址;

临时计算机——配置DMS设备需要一台临时管理用的计算机,配置时需要通过网线连接后使用HTTP(或HTTPS)的方式登录DMS设备的WEB界面进行管理;

终端软件——能够连接串口的终端软件(比如Windows自带的超级终端软件);

浏览器——请确认计算机系统已安装IE浏览器(建议使用IE6.0以上版本)。

安装流程

步骤一:

佩戴防静电腕带或防静电手套。如果佩戴防静电腕带,需确保防静电腕带一端已经接地,另一端与佩戴者的皮肤良好接触。

步骤二:

使用M4螺钉安装左右挂耳(前)到DMS设备。DMS设备配套的挂耳安装方法分别如下图所示。

步骤三:

根据规划好的DMS设备在机柜上的安装位置,确定浮动螺母在方孔条上的安装位置。用一字螺丝刀在机柜前方孔条上安装4个浮动螺母,左右各2个,需注意,上下的两个浮动螺母间距为2U。保证左右对应的浮动螺母在一条水平线上

步骤四:

  • 将M6螺钉预安装在前方孔条下面的两个浮动螺母上,螺帽与浮动螺母间留出间隙,以便安装DMS设备时卡住前挂耳下方的挂耳口。
    • 搬运DMS设备进机柜,将两侧的后挂耳均对准后挂耳滑道的导轨后再缓慢插入。
    • 使DMS设备两侧的前挂耳安装孔与机柜前方孔条上的浮动螺母对齐,下方的挂耳口卡在之前预安装的M6螺钉上,用十字螺丝刀和M6螺钉将前挂耳固定到机柜方孔条上。

安装部署位置

中新金盾抗拒绝服务系统(ZX-DMS)支持多种部署方式,常规的部署方式有串联和旁路两类模式。

串联类部署,是将ZX-DMS完全透明化串接在网络中,对经过ZX-DMS流量进行清洗。串联模式部署主要分为“单通道环境”与“多通道环境”,两种环境都需要流量成对程型(即进出的流量全部都要走ZX-DMS),部署简单。 线路通过设备直接下去的,所有流程和数据都要经过直接经过设备到达下层机器,也就是设备的串联部署方式。

单通道环境拓扑

多通道环境拓扑

旁路模式 : 旁路路牵引是把设备与上层的路由连接到一起,通过检测设备发现哪些是攻击流量,把攻击流量牵引到设备上来处理,正常流量不从设备经过【正常流量不经过】。 旁路部署模式主要分为“流量牵引”和“流量转发”两大步骤。流量牵引的主要工作就是将混合流量牵引至清洗中心;流量转发的主要工作是将过滤后纯净流量送回原本网络中,从内部网络去往外部网络的流量不走ZX-DMS,不需要做配置改变。

旁路部署拓扑

旁路部署下通道组设置分为两种模式:1,进出相同端口的是回流模式,表示流量从哪里来就回哪里去;2,进出采用不同端口的是注入模式。两种模式都很好,具体使用哪种模式根据自身实际的网络环境确定。

二层回流模式

三层回流模式

二层注入模式


三层注入模式

初次网络配置

设备只需进行简单的网络配置即可工作,网络配置主要有如下内容:

  • 设置IP地址
    • 设置网络掩码
    • 设置网关
    • 设置DNS服务器

网络配置可以通过串口控制台进行,也可以通过Web管理界面来操作。两种配置方法都需要有相关配件(设备配件盒中自带)和一台工作计算机,请根据自己的实际情况选择配置方法。

通过Web管理界面进行网络配置,请使用交叉线(设备附件盒中自带)连接设备工作网口和工作计算机网口,并配置工作计算机的网络设置,使得工作计算机和设备处于同一网段(具体的网络配置参数,请参见随箱发送的客户使用手册 产品出厂参数),然后使用浏览器通过HTTP(或HTTPS)登录Web管理界面即可进行配置。

通过串口控制台进行配置需要使用串口线连接设备和工作计算机,对于DMS设备,串口速率参数均为115200bps。登录控制台后选择配置菜单即可进行配置(具体配置方法请参见随箱发送的客户使用手册 )

登录Web管理界面

步骤一:

以设备的ETH0口作为管理口,使用工作计算机与ETH0直连,确认网线接好后,在工作计算机上配置与管理口同网段的IP地址,这里我们配置IP地址为192.168.106.2/24,如下图所示:

步骤二:

打开浏览器输入http://192.168.106.1:28099按“回车键”后打开中新金盾抗拒绝服务系统的WEB管理登陆界面。

步骤三:

正确输入用户名和密码,点击【登录】按键,登陆设备的WEB管理界面,默认的用户名和 密码,在Web界面中可以对设备状态进行查看和配置。

步骤四:

成功登陆后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x/x)→【添加地址】,可完成设备接口地址更改;

更改地址后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x)→【设置网关】,可完成设备网关更改;

CLI控制台可以对系统自身功能进行配置,比如配置接口地址更改、通道口设置、清理磁盘空间等,这里不做介绍详情参见随箱的客户使用手册。

系统登录

产品采用主流的 B/S 架构,能够使用加密的 HTTPS 协议与便捷的 HTTP 协议等多种可选远端管理方式,同时支持单用户多并发的账户机制。
本章将主要介绍 ZX-DMS 系列产品各个功能和管理时涉及到的一些基本概念(以
ZX-DMS 5120为例仅供参考)。

用户登录

设备出厂时有多个管理 IP 地址,本文档以 192.168.100.1 这个 IP 为例,作为管理地址。因此请将任意一台电脑的 IP 地址设置为与系统管理地址同一网段的 IP 即可。例如:192.168.100.10.在浏览器地址栏中输入 http://192.168.100.1:28099 并回车,即可打开系统的登录界面,如下图所示:系统登陆界面

在设备的登录界面输入用户名账号和密码点击【登陆】按钮,进入系统 Web 管理平台。在系统登陆界面可以选择显示语言的种类目前支持的语言有“简体中文”和“English”两种。

主界面介绍
本节介绍中新金盾抗拒绝服务系统 Web 管理界面构成。如下图所示系统界面介绍

设置管理地址

根据企业实际情况确定好部署方式并将产品上架后,第一步骤设置系统的管理地址和网关,设备管理地址根据实际情况分配。选择【系统配置】→【系统设备】进入系统管理地址设置界面,如下图所示:系统设备示意图

设备功能概况

系统中集成了简洁高效的 Web 管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能。

状态监控

全局统计

  1. 负载统计
    显示当前的流量图表、流量报表、系统概括、系统负载以及攻击记录,流量图表记录了设备总流量情况,如下图所示:全局统计
  1. 当前频率
    从整体上显示了设备上的流量、报文、匿名流量以及其他流量;外网为外部网络与设备的接口,即输入流量;内网为内部网络与设备的接口,即输出流量。

系统负载
记录了设备 CPU、内存的使用情况以及网络状态的统计。如下图所示:

防护范围
添加要防护的主机地址范围,只要在添加的主机地址范围内的主机产生流量后,主机的IP 地址会自动在【主机状态】中显示。如下图所示。

主机状态
【主机状态】模块页面显示了当前设备下主机的基本状态,如主机、带宽、频率、连接、点击某个主机后可进入主机视图进行查看,如下图所示。

删除防护主机
单击某个主机 IP,进入主机视图。输入想要删除的主机或者网段,然后去掉“有效”
选项框内的“√”,点击提交后即可删除单个主机。

主机状态查看
点击主机列表某个主机后,会出现主机当前防护状态,保护模式显示当前主机处于的防御模式,输入输出流量显示主机输入和输出过滤前和过滤后流量,如下图所示

连接监控
连接监控列表显示了当前设备所有的连接,页面如下图所示:

屏蔽列表
“屏蔽列表”模块页面显示被系统所屏蔽的连接,页面如下所示:

黑白名单
在【黑白名单】模块管理页面,可直接将 IP 加到黑名单和白名单。页面如下图示:

域名管理
在【域名管理】模块页面可以设置域名的黑名单和白名单,页面如下图所示:

攻击防御

全局参数
【全局参数】模块设置页面,提供了一些通用参数的设置接口,用户可方便的配置设备防护行为。页面如下图所示:

规则设置
【规则设置】模块页面显示了当前设备系统中的规则,包括系统规则及用户定义规则。页面如下图所示:

规则编辑页面
规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:

TCP 端口保护
【TCP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某
种端口的服务类型更改相应的处理策略。页面如下图所示:

WEB Service Protection
动态验证策略是中新金盾抗拒绝服务系统特适用于 Web 服务的一种防护方案,是针对目前愈演愈烈的 CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口,系统将对进入的HTTP 请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽;动态验证模块,只对设置了 WebCC 保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响。中新金盾抗拒绝服务系统使用 WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时,WEB Plugin 会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端 IP,攻击器无法解析脚本,无法完成验证码的计算。设置界面如下图所示:

SSL|TLS Service Protection
HTTPS 业务数据均是加密数据。当被攻击时,传统的防护手段只能通过限制 Hello 频率或者 Exchange 频率,防护效果不佳,SSL|TLS 插件可对数据进行解密并有效防护。

Game Service Protection
 对于刷端口攻击,很多攻击器都是对同一个端口频繁建立连接。因此插件判断某个客户端是否打开若干个服务器端口,若只对同一个端口频繁连接,则会屏蔽该客户端。
 对于游戏应用来说,服务器回应的数据比客户端发送的数据要大很多,因此该插件还会判断客户端同服务器之间的数据比例,如果比例无法达到设定值,则会屏蔽该客户端。
 对于传奇等游戏假人攻击,插件会在玩家登陆 30 秒后发送验证码对话框,玩家若无法完成验证码的输入,则会被断开连接。次数过多则会被屏蔽。参数设置如下图所示:

Misc Service Protection
Misc 模块主要用于防护游戏,Misc 模块可以自定义回复数据,分为两种情况,第一种为默认:0-ftp,1-smtp,2-pop3。第二种是自定义:10-17,是 8 组自定义回复策略,用于建立连接后服务器首先发送固定数据给客户端,然后客户端回复固定数据,需要在系统环境变量里,设置 misc.customdata,格式是:服务器回复数据:客户端回应的正则表达式,主要是用于游戏连接时,服务器先回复固定数据,然后客户端发送的第一个包的数据相同,可以设置最多 8 组,设置如下图所示:

参数中的 10 代表 Misc Custom 中的第一组数据,如下图所示:

DNS 防护模块
 DNS 防护模块如下图所示,开启 TCP 53 端口的 DNS 插件防御,有的客户端也可
以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,如下图所示:

开启TCP防护模块
开启 TCP 防护模块有两种方式,一种是在连接攻击检测处填写一个数值,当 TCP 新建连接达到此值时,将自动开启 TCP 插件防御,当连接数低于此值一段时间后,TCP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 TCP 防御插
件,如下图所示:

UDP 端口保护
【UDP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

UDP APP Protection v1.1
 该插件参数配置对应变量设置中 udpfilter.Data
配置文件中 index 配置索引。比如,在变量设置中 udpfilter.Data 中针对当前业务防护设置的客户端和服务器数据流信息在“index = {1};”中, 那么在 udp 端口保护中业务端口开启 UDP APP Protection v1.1 防护模块,对应模块参数就是 1。

DNS 防护插件防御
如下图所示,开启 UDP 53 端口的 DNS 插件防御,有的客户端也可以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,方式和 UDP 的一样

开启UDP插件
开启 UDP 插件防御有两种方式,一种是在攻击频率检测处填写一个数值,当收端口每秒接收到到 UDP 数达到此值时,将自动开启 UDP 插件防御,当连接数低于此值一段时间后,UDP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 UDP 防御插件,如下图所示:

牵引设置

变量设置
针对有一定访问规律的 udp 攻击。用于防护具有一定访问规律的 UDP 攻击。此模块防护攻击时需要客户端第一次请求数据、服务器回应数据、确认回应的数据固定。使用之前需要对配置文件进行设置。

日志分析

日志列表
【日志管理】模块列出系统中所有的日志项,并可按事件进行分类。页面如下图所示:

攻击分析
开启该模块方法:在【系统配置】→【控管属性】→【控管特性】中勾选【异常攻击分析】。目的主机只支持单个主机查询。

分析报告
【分析报告】模块统计出了设备全局的最大以及平均的流量、连接值,并可以查询单个主机的防护状态以及连接、流量记录。如下图所示:

TOP 分析
【TOP 分析】模块统计出了最近五分钟、一个小时、一天或指定时间段内输入流量排名前 10、前 50、前 100、前 500 的主机信息。如下图所示:

流量分析
【流量分析】模块统计出了全局以及单个主机的每日和每月的最大、平均的流量输入、输出报表。如下图所示:

连接分析
【连接分析】模块用于查询全局/单个主机的一天/一月内的最大、平均连接值。如下图所示:

事件分析
该栏罗列出了主机六天内的所触发的防护参数事件以及最大/平均的的输入输出数据包 频率。统计方式有:BPS、PPS 以及 SPS。如下图所示:

性能分析
【性能分析】模块列出了系统的最大/平均输入输出流量以及 CPU 和内存的使用率。如下图所示:

攻击档案
开启该模块方法:在【系统配置】-【控管属性】-【控管特性】中勾选【异常攻击分析】、【攻击报文归档】。【攻击报文档案】页面如下图所示:

报表管理
通过邮件或 tftp 方式获取设备上的报表文件,勾选 tftp 传递后会出现配置 tftp 服务器一栏。或者直接勾选报表类型导出。

系统配置

保存配置
【保存配置】模块用于对设备的相关设置进行保存,可按网络设备地址、全局防护参数、TCP/UDP 端口保护参数、主机及配置参数以及规则列表进行选择性保存,并可进行配置的导入和导出操作,页面如下图所示:

攻击报警

用户组管理
【用户组管理】用来新建、删除、编辑用户组,设置某个用户组的管理权限。系统默认有四个用户组:monitor、operator、administrator、service。页面如下图所示:

用户组编辑

用户管理
【用户管理】模块具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:

报文捕捉
【报文捕捉】用来抓取经过设备接口的数据报文,分析数据包走向、攻击特征等。

中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

中新金盾抗拒绝服务系统以下简称金盾硬件防火墙。它是中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾抗拒绝服务系统,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝务的防护金盾。

根据中新金盾DDoS 攻击防御经验,目前 DDoS 攻击主要分为流量型攻击和连接型
(Connection-Flood,简称“CC”)攻击。 对于流量型攻击金盾硬件防火墙会采用深层次、细粒度检测算法,依据默认参数主动进行防御,不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略:一般在无 UDP 协
议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口;有 UDP 协议服务的主机要保证不让其触发“全局参数”里的 UDP 保护,而设置“UDP 端口保护”、“规则设置”、“协 议定义”、“DNS 插件”进行防御。对于连接型攻击,最常见的是网站和游戏攻击(游戏“登录器“也是使用 HTTP 协议传输)。中新金盾针对此类攻击均开发出了独创的、扩展性好的插件进行防御。在使用时请先针对被攻击的端口设置插件参数,再打开主机列表,选择已经设置的“TCP 端口保护”集合并启用插件。

一:常见 DDOS 攻击类型及防御设置

1.1 流量型攻击

SYN_Flood 攻击
在流量型攻击中,SYN_FLOOD(同步“泛洪”攻击)是最常见的攻击方式之一。如下图所示,此主机正在遭受 SYN_FLOOD 攻击。从主机状态看,其受到的 SYN 攻击频率超出了全局参数中的《 SYN Flood 保护》 ,则主机会自动进入[SYN]模式防御,此时金盾硬件防火墙会主动采取内置的防护算法,直接拦截掉攻击流量,保证应用服务的正常。

ACK_Flood 攻击
如下图所示,此主机正在遭受 ACK_FLOOD 攻击,ACK 数值已超出全局参数《ACK&RST Flood 保护 》 ,则此主机会自动触发保护而过滤掉此种攻击。
这里建议使用默认值,实际中可根据具体应用来做调整。若确定此主机遭受 ACK_FLOOD,但攻击 量小于“全局参数”默认值 10000,请将此参数调小,触发[ACK]模式后,即可将攻击过滤掉,且不影响正常的客户端访问。

UDP_Flood 攻击
如下图所示,此主机正遭受 UDP_FLOOD 攻击。从左边主机状态看,攻击频率超出了“全局参数”《UDP 保护触发 》,则此 主机会自动触发 UDP 模式防御,中新金盾系统将会直接拦截所有 UDP 报文。但若此主机有 UDP 业务,则还需设置“UDP 端口保护”来达到完美防护。

ICMP_Flood 攻击
如下图所示,此主机正遭受 ICMP_Flood 攻击。从左边主机状态看,此 IP 的攻击频率超出了”全局参数“设置中的《ICMP 保护触发》,则此 ip 会自动触发[ICMP]保护防御,金盾硬件防火墙将采取丢弃所有 ICMP数据包进行保护。

FRAG_Flood 攻击

如下图所示,此主机正遭受 FRAG_FLOOD 攻击。从左边主机状态看,此 IP 的攻击频率超出了“全局参数” 《碎片保护触发》,则此 ip 会自动触发[FRAG] 保护模式,金盾硬件防火墙将采取一定的算法直接过滤 FRAG数据包进行防御。

1.2 DDoS连接型攻击(常见的如CC攻击)

金盾硬件防火墙网站插件防御设置
针对网站 CC 类型攻击,中新金盾抗 DDoS系列防火墙采用验证的方式进行防护。其设置思路:先设置插件参数值,然后在主机状态里勾选启用插件,方法如下:

1设置 TCP 端口保护,并设置合适的模块参数;

2,针对被攻击的主机,手动开启插件;

1)通过主机状态中的“NewTCP”值确定是否有 CC 攻击(连接数很大,确定有异常);

2)通过“状态监控“-”连接监控“,确定被攻击的端口是什么(被攻击的是 TCP80 端口);

3)通过“服务支持”-“报文捕捉”抓取少量数据包判断攻击类型并确定端口业务协议(HTTP);

4)根据被攻击端口和攻击类型,在“TCP 端口保护”中设置适合的策略,并在主机里开启插件

金盾硬件防火墙游戏插件防御设置
针对游戏 CC 类型攻击,金盾抗拒绝服务系统采用深度行为检测技术进行模块化防护。
其设置思路:先设置插件模块参数值,然后在主机状态里启用游戏插件

1.Game Service Protectionv3t 插件 防护设置

2.Game Service Protectionv 4 插件 防护设置:
a.简单防护设置

b. 增强防护设置

对于非常规CC攻击可以抓包做规则进行防护规则设置。可直接将发垃圾字符的 IP 屏蔽掉,如下图

2.2 常见系统设置
2.2.1 如何启动系统集群
以两台设备为例:(两台以上的 DDOS 集群需使用心跳交换机)
1) 选定集群口(如 gbe0 为集群口),将需集群口配置 ip 在同一网段中(如在 192.168.102.0/24),用心跳线将集群同步口相连。

2) 设置完成后,在“集群参数”中配置集群
首先在“集群同步设置”中选定集群口,再配置“集群同步地址”即添加将用于集群同步口的 ip地址(每台设备的地址顺序相同)。勾选“同步到集群”,然后依次点击“保存”,“启动”即可。

金盾硬件防火墙 IP 黑(白)名单功能

做规则屏蔽一个或者一段主机

关于中新金盾和中新网安

中新金盾是产品品牌,中新网安公司简称。

中新网络信息安全股份有限公司(简称“中新网安”)成立于2002年,公司专注于网络信息安全领域,总部设在安徽合肥,是一家集网络安全产品研发、安全服务、安全集成于一体的国家级高新技术企业。目前公司总人数接近500人,研发与技术人员占比60%。

中新网安秉承“核心技术自主研发,核心产品安全可控”的原则,在合肥和北京设有研发中心,具有完全自主研发的系列网络安全产品,包括抗拒绝服务、高级持续性威胁防御、下一代防火墙、Web应用防火墙等。其中公司的核心产品“中新金盾抗拒绝服务系统”可达到单台520G的处理能力,技术水平全球领先。我公司也是抗拒绝服务产品行业标准的制定者之一。

中新网安以“致力于网络空间信息安全守护者”为使命,定位信息安全守护者,重点围绕国家关键基础设施(电力、交通、能源等);重要信息系统(金融、党政、财税、保险等);重要公众服务(互联网+政务、互联网+金融、互联网+医疗、互联网+民生等);重要监管单位(公安部、国家互联网应急响应中心、中国信息安全测评中心、等级保护测评中心等)为服务对象,秉承务实、正直、进取、创新的态度,为客户提供专业的信息安全一体化服务,与用户共创和享受安全美好的网络空间。

中新网安从成立至今,专注核心技术自主研发,在网络安全领域拥有多项自主知识产权和发明专利,目前总部拥有研发中心三座,总计6万2千平米,并在北京与清华网络行为研究所联合成立了中新网安北京研发中心。是国家信息安全漏洞库一级技术支持单位、中国互联网网络安全威胁治理联盟和中国云安全与新兴技术安全创新联盟成员单位,参与并起草了多项国家网络安全行业标准。

中新网安的事业就像一艘乘风破浪的帆船永远向着更高的目标不断奋进、造福社会,它既是一个充满活力,又是具有发展前景的持续成长性公司。公司将不遗余力提供高精尖的网络安全保障技术,为社会的网络安全贡献自己应尽的责任。面对未来,中新网安以组织创新为保障、以技术创新为手段、以市场创新为目标,提高企业核心竞争力,努力实现新跨越,确保企业全面和谐的持续发展。

中新金盾DDoS防护的优势


金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称

通过多年市场发展,金盾防火墙拥有独立自主的技术专利,专业的硬件平台架构和线速处理技术,专用的安全操作系统,广泛的行业合作对象,优秀专业的技术和系统的服务优势。

  1. 专业的技术团队

中新网络信息安全股份有限公司研发中心是我公司负责网络安全产品、软硬件开发的核心部门。中新网安信息安全实验室研究世界先进的安全技术和安全产品,不断跟踪最新的黑客工具和黑客攻击技巧,执着专注的攻防研究人员构筑成安全服务队伍的强大技术后盾。研发部、测试部、网络工程部、售后中心各部门在统一领导下合作开展工作。

中新网安拥有一支握先进安全理念和成熟安全技术的安全服务队伍,有70多名技术人员,拥有CISP、CISAW、CCIE、HCIE等技术,有着丰富的安全咨询、安全系统集成、专业安全服务经验,并熟悉用户业务应用和了解安全隐患所在。中新网安将竭其在信息安全领域的造诣,帮助用户评估信息系统的安全状况,指导用户进行信息安全体系建设,提高用户的安全意识和技术水平,实现业务安全目标。

  1. 高端硬件架构

中新金盾抗拒绝服务系统采用专业的硬件架构,使用了目前先进的ATCA架构硬件平台,在背板结构上,结合独创的攻击检测算法,能够针对海量DDoS进行防护。ATCA支持星状、网状、双星和两组双星等多种拓扑结构,为用户提供更多接口选项,具备更丰富的弹性;在多板卡间数据传输问题上,ATCA采用全网状结构,使内部最高数据传输交换速率达2.4Tbps;在背板总线协议选择上,ATCA支持多种基于数据包的交换式总线; ATCA规范在外形设计定义上预留了更大的空间,同时提供了冗余风扇和温度监控管理,以增强系统散热能力;ATCA代表着全开放、模块化的工业标准,它可以使设备制造商采用第三方厂商的可互操作性、成熟的商业化(COTS)软硬件组件,在快速实现集成或升级换代的同时,增强了系统的整体兼容性。

由于系统支持旁路部署方式,可对DDoS攻击流量进行牵引,同时通过部署若干台金盾设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。

  1. 独立自主的技术
  2. 独特的连接代理防护算法

中新金盾抗拒绝服务系统系列产品中应用了自主研发的抗拒绝服务攻击算法。针对SYN攻击,采用SYN Proxy连接代理防护模式,以代理模式处理客户端与服务器之间的连接,同时完成攻击报文的过滤,即使在海量攻击下仍然可以保证99.99%的新建连接的连接成功率。

  • 高效的连接数据转发算法

中新金盾抗拒绝服务系统系列产品,采用自主研发的TCP Fast Rechecksum技术,高效的处理来自TCP的连接数据及其校验和,并进行快速转发,而无需重新统计报文数据。

  • 模块化的内核防护算法

中新金盾抗拒绝服务系统系列产品,采用了Kernel Protection Plugin For Linux &Windows 技术,将特定的防护算法以模块的形式实现,简化了核心代码,优化了系统构架,并具有良好的扩展性。

  • 基于页面插入式的WEB防护算法

中新金盾抗拒绝服务系统系列产品,采用Web Protection Based On Page Injection 即基于页面插入式Web 防护算法。对于开启防护的Web 服务器,防护模块会主动插入Web页面,客户端可无察觉的自动完成验证过程,已达到高效的防御 Web 类连接攻击的目的。另外,也可以通过验证服务器辅助来加强防护级别。

  • 基于数据挖掘的通用防护算法

中新金盾抗拒绝服务系统系列产品,采用Generic Protection Based On Data Mining技术即基于数据挖掘的通用防护算法,对于开启保护的服务器,防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘,察觉恶意流量并加以过滤,有效率高达97.3%以上。

  • 可扩展的集群模式

中新金盾抗拒绝服务系统系列产品,采用Extensible Firewall Cluster Mode 即可扩展的集群模式,通过领先的数据分流技术,使得若干设备可组合形成更大的防护主体,提供海量攻击的防护解决方案。

  • 多平台架构支持及内核防盗版技术

中新金盾抗拒绝服务系统系列产品,支持多核、NP、ATCA 架构,拥有百兆级、千兆级、万兆级多种防护级别的产品。同时采用Anti-Cracking Mechanism In Kernel技术,实现对系统核心的加密技术,使得本系统具有很强的防盗版、防拷贝能力。

  • 灵活多样的部署方式

中新金盾抗拒绝服务系统系列产品,支持IEEE802.3AD和IEEE802.1Q等其他路由交换协议。具备多种环境部署能力,能在不改变现有网络拓扑的情况下,以透明模式接入。支持多种部署方式,如分布式部署、双机热备部署、集群部署和旁路部署等。

  1. 专业的服务
  2. 广泛的行业解决方案 

针对不同的客户,抗拒绝服务攻击所面临的网络环境也不同,政企网、IDC、ICP 和 ISP 等多种网络环境并存,给抗拒绝服务系统的部署带来了不同的挑战。通过近十年的发展,中新金盾抗拒绝服务系统已经广泛部署应用于不同的行业,如互联网、运营商、证券、电力、医疗、社保、税务和教育等行业,积累了大量的行业解决方案与经验,使您不必为本网络的安全解决方案而苦恼,只要您一个电话,剩下的事由金盾来做。

  • 全面系统的专业培训服务 

中新网安强大的服务体系,为您的网络安全将提供全方位的服务。凡是使用中新网安系列产品均会得到中新网安为您量身定制的网络安全专业培训,除了针对抗拒绝服务知识与金盾产品操作的培训,我们还将为您提供一系列扩展培训,使您对网络安全有更全面的了解。

  • 优质的售后服务体系 

使用中新金盾抗拒绝服务系统,质保期内您将享有免费升级服务。除了为您提供更便捷、更有保障的产品售前咨询和售中服务,我们强大的专业技术团队还将为您提供全方位的售后技术支持。我们的客服中心和技术支持中心为您提供7X24小时的专业服务。定期为产品系统更新,随呼随到的在线技术支持以及紧急的现场支持,使您的网络始终保持在最安全的状态,免除您的后顾之忧。我们的服务宗旨是:客户至上,服务第一。

  • 量身的模块定制服务 

中新金盾抗拒绝服务系统,内置的协议自定义模块,可以随着网络应用的变化进行方便的修改,即对各种特殊应用进行自定义防护,如用户自行开发的某些聊天室、游戏服务等。中新金盾抗拒绝服务系统也将根据您的实际应用进行开发,实现模块量身定制。

为什么需要中新金盾系列防火墙防护DDoS攻击

金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称,为什么需要金盾防火墙防护DDoS攻击主要有一下几点原因。

常规技术和产品的不足

传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这种DDoS防御方式有以下几点不足:

配置复杂,自动化不强。传统DDoS防御一般要求用户针对某种流量配置相应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的对防御规则进行调整。

防御能力比较单一。目前DDoS攻击的趋势是多层次和全方位的。在一次攻击过程中,会产生针对半连接的SYN Flood、UDP Flood和ICMP Flood,针对连接的TCP Connection Flood,以及针对应用层协议的HTTP Get Flood、HTTP Put Flood等多种攻击。而传统DDoS防御主要针对SYN Flood等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比较单一。

无法应对未知的攻击。随着DDoS攻击工具源代码在网上散播,攻击者可以很容易改变DDoS攻击的报文类型,形成DDoS攻击的变体。而传统DDoS防御主要针对已知DDoS攻击,对未知的DDoS攻击变体无法进行防御。

技术防护的不足

  • 安全策略

路由器的一些安全策略,如ACL(访问控制列表)、QoS(服务质量)、黑洞路由等,可以对非法的流量进行过滤和对优先服务提供保证。比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量,一般来说,ACL可以基于协议或源地址进行设置。比如设置只允许TCP端口访问,可以一定程度上防护UDP Flood攻击,但是目前较多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的协议进行过滤。同时,如果DDoS攻击采用伪造IP地址方式进行攻击,ACL就无法根据源地址进行防护。路由器还有一些功能,比如黑洞路由方式进行防护攻击,这种方式相当于直接屏蔽掉对被攻击IP的访问,但在目前市场竞争激烈的情况下,这种做法无疑会流失一定的用户量。

  • 资源扩容

对于用户来说,为了防御DDoS攻击,有些客户可能会通过多台冗余设备,或者增加多条链路来提高网络系统防护能力。对于运行商或IDC提供商来说,可能会通过扩大链路带宽的方式来增加防护能力,但这些都只是一种类似“妥协”的手段,无法从根本上去防御DDOS攻击。一方面会造成成本成倍增加,另一方面,如果攻击者同样提高攻击流量,同样会造成这种防御的方法彻底失效,长期下来会导致用户体验下降,用户资源流失。

  • uRPF

uRPF是一种单播反向路由查找技术,用于防止基于源地址欺骗的网络攻击行为。uRPF通过检查数据包中源IP地址,根据接收到数据包的接口和路由表中是否存在源地址路由信息条目,来确定流量是否真实有效,并选择数据包是转发或丢弃。通信网络中,诸如DoS攻击、TCP SYN洪泛攻击、UDP洪泛攻击和ICMP洪泛攻击等,都可能通过借助源地址欺骗的方式攻击目标设备或者主机,造成被攻击者系统性能严重的降低,甚至导致系统崩溃。uRPF技术就是网络设备为了防范此类攻击而使用的一种常用技术。但是uRPF防护的是非本子网发出的伪造源IP地址数据包,如果攻击者攻击采用本子网IP地址作为源IP地址,uRPF无法防御。

产品防护的不足

传统的网络安全产品的种类非常多,但对DDoS攻击防护却表现得非常薄弱。传统的抗拒绝服务产品、入侵检测系统、路由器和交换机等,因其设计之初并未考虑对DDoS的防护,而不能全面的对DDoS攻击进行有效检测和防护。

  • 传统防火墙设备

防火墙产品是我们比较常用的网络安全设备,通过NAT隐藏内部网络结构,设置DMZ区(非军事化区)保护内部网络,三层数据包过滤非法数据。虽然有些防火墙内置了某些模块能够对攻击进行检测,但这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。另一个原因是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的高流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。而防火墙最主要的功能是提供内网网络访问外网的功能,主要是NAT、VPN服务等。这样防火墙的性能将成为瓶颈,如果防火墙遭到DDoS攻击防火墙性能下降,将导致整个网络陷入瘫痪。

  • IPS/IDS

IPS/IDS作为当前网络攻击防御和检测的有力工具,主要基于特征规则库检测阻断攻击。但是常见的DDoS攻击多以合法的数据包进行流量攻击,这样IPS/IDS就很难通过规则对这些攻击进行检测。

鉴于以上的不足,我们需要选择专业的DDoS防护产品, 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙即金盾防火墙就是一款专业级的防护产品

中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾防火墙,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝服务的防护顶尖品牌。

  1. 防御架构

中新金盾抗拒绝服务系统采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。该架构采用验证、分析等方法标识出可疑流量,并针对可疑流量做一系列的验证和防御。

1.过滤规则模块

过滤规则包括静态过滤规则和动态过滤规则:静态过滤规则是由用户手动配置的;动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析等方法发现可疑流量后动态添加的。

过滤规则模块根据过滤规则对流量进行过滤,将已经确定是攻击的流量进行阻断;将可疑的流量交给动态验证模块进行动态验证。

2.动态验证模块

动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证,阻止源地址欺骗的报文通过。所采用的动态验证方法例如:针对HTTP请求采用HTTP重定向方法;针对DNS请求采用DNS重定向方法。

3.异常流量识别模块

异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计,并与已经获得的学习流量基线进行比较。如果超出,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。如果网络流量超出学习流量基线,则说明网络中可能存在异常,需要对其进行验证和确认。

4.应用异常识别模块

应用异常识别模块针对不同的应用协议,对通过过滤规则模块和动态验证模块的应用层流量(如HTTP Error攻击等)进行深入分析。如果发现有异常流量,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

5.带宽控制模块

各种流量如果通过了上述模块,表明数据报文是正常的,但仍有可能出现流量过大导致保护对象过载的情况。通过带宽控制模块,可以对要流入保护对象的流量进行带宽限制,保证保护对象不会过载。

  1. 功能一览

中新金盾抗拒绝服务系统产品,功能丰富,界面简洁,便于管理。概括起来有以下主要功能和技术优势:设备均采用主动探测防护模式,防护更加主动、人性、精准,DFI+DPI结合的数据包分析识别技术,更加丰富多样的DDoS攻击防护策略、灵活进行多种防护手段的随意切换,更加详尽的应用层协议及端口保护,对更多的特殊应用的定向保护,更加丰富、人性化的数据包规则过滤,丰富多样的审计报表格式,人性化的设备需求DIY定制,丰富多样的部署方式、支持各种网络环境的部署等。

  • 精确智能的攻击检测及防护

中新金盾抗拒绝服务系统,应用了自主研发的抗拒绝服务攻击算法,拥有智能参数阀值,对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等流量型攻击,HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted等连接型攻击和Smurf、Land-based、Teardrop、Fragment Flood、Red Code等漏洞型攻击,及其他各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行阻断处理,保障业务系统正常运行。内置各种针对网站、网络游戏、音视频聊天室等专门的Web防护插件及游戏防护插件,彻底解决针对此类应用的DDoS攻击。

  • 简洁丰富的WEB管理

中新金盾抗拒绝服务系统,具有丰富的设备管理功能,基于简洁的Web管理方式,支持本地或远程升级。丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。整个Web界面主要有状态监控、攻击防御、日志分析、系统配置和服务支持五个模块。

  • 专业健全的连接跟踪机制

中新金盾抗拒绝服务系统,内部实现了完整的TCP/IP协议族,具有强大的连接跟踪能力。每个进出的连接,抗拒绝服务产品都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。并且提供了连接超时,重置连接等辅助功能,弥补了TCP/IP协议族本身的不足,使您的服务器在面对拒绝服务攻击中游刃有余。

  • 通用方便的报文规则过滤

中新金盾抗拒绝服务系统,除了提供专业的DoS/DDoS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的包括IP地址、端口、TCP标志位、关键字、协议等,极大的提高了通用性及防护力度。系统中还内置了若干预定义规则,易于使用。

  • 便捷快速的抓包取证功能

中新金盾抗拒绝服务系统,内置抓包工具,具有数据包捕获功能,依据自行设置的条件启动抓包任务,针对DoS/DDoS攻击,获取符合抓包条件的网络数据包,为电子取证提供依据。

  • 完善强大的模块防护功能

中新金盾抗拒绝服务系统具有完善的连接跟踪机制,准确的应用层协议过滤。应用层协议高级防护,如对FTP、SMTP、POP3、HTTP等应用服务的保护。数据包规则过滤可对端口和TCP的SYN、FIN、PSH、ACK等标志位过滤。数据包内容细致过滤可对数据包内关键字过滤并支持明文和十六进制格式。金盾抗拒绝服务系统还可以实现数据包捕获功能、单IP流量限制、SNMP管理、支持查询CPU内存利用率和接口流量及系统健康状态等。

  • IPV4/IPV6混合网络功能

针对IPv6越来越多的普及,运用IPv4与IPv6的双栈兼容技术,对网络中巨大的数据量进行深度的分析清洗,提取受保护服务器与众多客户端的通信进行数据统计,发现数据中的攻击特征;运用流量防护模块、WEB防护模块、GAME防护模块、DNS防护模块、语音防护模块等高效的模块化防护技术,对攻击流量进行处理、过滤,再将纯净的流量转发给服务器,从而保护网络的正常使用。同时,提供给用户全面的日志、报表输出功能,为网络管理员在日常的管理和对网络安全的判断提供详细的依据。

  1. 系统防护原理

中新金盾抗拒绝服务系统系列产品是基于嵌入式系统设计的,其在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。自主研发的高效防护算法,效率极高。

中新金盾抗拒绝服务系统主要采用了攻击检测、主机识别、指纹识别、协议分析、攻击过滤、流量控制、端口保护、连接控制、连接跟踪和日志审计来达到拒绝服务攻击的防护。

  • 攻击检测

利用了多种技术手段对DoS/DDoS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度。

  • 主机识别

中新金盾抗拒绝服务系统可自动识别其保护的各个主机及其地址,某些主机受到攻击不会影响其它主机的正常服务。

  • 指纹识别

用来识别整个连接过程,其中包括:源、目的、协议、端口等情况的识别。

  • 协议分析

中新金盾抗拒绝服务系统采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

  • 攻击过滤

攻击过滤为默认模式,此模式下,运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机。

  • 流量控制

主要是针对一些攻击流量做限制。紧急触发状态,针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击。简单过滤流量限制,是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文。忽略主机流量限制,用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃。伪造源流量限制,用于限制内网攻击。当某数据包的源MAC地址不同于记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃。

  • 连接控制

根据攻击的流量和连接数阀值来设置触发防护选项,连接数阀值可以根据不同情况来灵活控制。

  • 连接跟踪

中新金盾抗拒绝服务系统针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

  • 日志审计

日志记录可全面记录产品系统运行及防护状态,并对不同权限的操作进行记录。

DDoS攻击分析

在网络中,数据包利用TCP/IP协议在Internet传输,数据包本身是无害的,但是数据包过多,就会造成网络设备或者服务器过载;或者攻击者利用某些协议或者应用的缺陷,人为构造不完整或畸形的数据包,也会造成网络设备或服务器服务处理时间长而消耗过多系统资源,从而无法响应正常的业务。

DDoS攻击之所以难于防御,是因为非法流量和正常流量是相互混杂的。非法流量与正常流量没有区别,且非法流量没有固定的特征,无法通过特征库方式识别。同时,许多DDoS攻击都采用了源地址欺骗技术,使用伪造的源IP地址发送报文,从而能够躲避基于异常模式工具的识别。

DDoS攻击“主力军”

对现有攻击分析总结,可知常见的DDoS攻击有SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DRDoS、Land Flood、Fragments Flood、Fatboy、DNS Query Flood和CC攻击。

  • SYN Flood攻击

利用TCP协议缺陷,发送海量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

  • ICMP Flood攻击

利用海量ICMP报文给服务器带来较大的负载,影响服务器的正常服务。由于目前很多抗拒绝服务产品直接过滤ICMP报文,因此ICMP Flood出现的频度较低,但变种伪造IP的Flood,Smurf洪水攻击(反射攻击)却愈发猛烈。

  • Land攻击

向服务器发送具有IP源和目的地址,甚至TCP源和目的端口完全一样的伪造的SYN包,使服务器创建大量空连接而无法承受这么多流量瘫痪或重启。

  • CC攻击

CC其前身名为Fatboy攻击,攻击者借助代理服务器生成指向受害主机的合法请求,实现对服务器资源的恶意消耗。

  • DNS Query Flood攻击

利用向被攻击的DNS服务器发送海量伪造域名的解析请求,以达到消耗服务器系统资源的目的。

  • IGMP Flood攻击

利用IGMP协议漏洞(无需认证),发送大量伪造的IGMP数据包造成路由器、抗拒绝服务产品等网关设备内存耗尽,CPU过载。

以上是最为常见的拒绝服务攻击,随着时间的推移,新的攻击类型及其变种层出不穷。作为专业的DDoS解决方案提供商,中新网安金盾防火墙时刻关注此类攻击动向,快速制定相应的解决方案,为您的网络安全提供实时的全方位服务。

DDoS攻击发展趋势

中新网安中新金盾自2002年以来,扎根抗拒绝服务攻击领域,多年来通过对国内外拒绝服务攻击情况,实时进行了跟踪分析:

  • 攻击目的产业化

DDoS攻击逐渐从偶然攻击动机转变为追求经济利益的谋利手段,如产业竞争、经济敲诈等,并逐渐形成一个成熟的DDoS攻击市场及与之相对应的地下产业链。

  • 攻击手段趋于复杂化

攻击者通过组合多种攻击方式,随机伪造各种正常报文。如攻击包有时随机、有时固定、有时分片;攻击报文长度有时超长、有时超短;宽带型攻击夹带应用型混合攻击。

  • 攻击目标趋于多样化

从早前攻击针对网络层,消耗链路带宽和被攻击服务器系统资源,演变为针对不同业务特点进行攻击。如慢速向Web服务器发送数据查询请求、向游戏服务器发送虚假人物登录请求。

  • 攻击流量趋于海量化

进入21世纪,国内互联网运营商加速宽带网络建设,此后DDoS攻击逐渐活跃,单次攻击规模逐年增大。如2002年,中新网安监测到大规模攻击流量不过千兆,而2014年监测到单次攻击最高已达到100G,2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached反射放大攻击甚至带来了1.7 Tbps的惊人流量峰值。十几年间攻击规模的不断递增,攻击流量海量化已成事实。

DDoS攻击事件

DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式进行,而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主机针对特定目标进行攻击。所谓“僵尸”主机即感染了僵尸程序(即实现恶意控制功能的程序代码)的主机,这些主机可以被控制者远程控制来发动攻击。在僵尸主机量非常大情况下(如10万甚至更多),可以发动大规模DDoS攻击,其产生的破坏力是惊人的。

随着互联网和物联网的发展,DDoS攻击呈现出新的特点:

  • 攻击越来越频繁,流量越来越大,2017年上半年单次DDoS攻击平均峰值为32Gbps,相比2016年下半年升高47.5%。300Gbps的超大流量DDoS攻击呈增长趋势,共发生46次,Q2比Q1增加了720%。
  • 反射放大攻击横扫全球,直接拥塞链路
  • 慢速应用型攻击精确打击互联网金融和游戏等业务系统

2016年5月Anonymous组织发起的“Operation OpIcarus”攻击:针对全球范围内的多家银行网站,发动了短期性网络攻击,导致央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作。

2016年11月,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。

2017年中旬,阿里云发布2017年上半年的“游戏行业DDoS态势报告”。报告显示,2017年1月至6月,游戏行业大于300G以上的攻击超过1800次,最大峰值为608G;游戏公司每月平均被攻击次数为800余次。在2017年1月至3月为攻击最猖獗的时期,平均每天有30多次攻击。

2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached 反射放大攻击甚至带来了1.7Tbps的惊人流量峰值。

在世界各国对互联网高度依赖的同时,针对大规模网络以拒绝服务攻击为主的恶意行为已经成为互联网上的一个首要安全威胁,几乎每次该类攻击事件都给整个社会造成了巨大的经济损失;所以保证网络环境有效运行是互联网业务提供商急需解决的重要安全问题,而 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙中的中新金盾抗拒绝服务系统以此为目标,提供强有力的安全保障。

中新金盾DDoS防护系统功能描述

软件管理

中新金盾DDoS防护系统以下简称金盾软件防火墙集成了简洁高效的管理界面,可以方便管理设置。下面将详细介绍各个界面及其功能,由此您将觉得配置金盾软件防火墙是一件轻松的事。购买安装金盾软件防火墙需要注意哪些细节,请参见中新金盾DDoS防护系统常见问题答疑。

产品安装后会在桌面形成快捷方式,运行后登陆管理。登录页面如下图所示:


金盾软件防火墙安装后会在桌面形成快捷方式


(1) 系统地址
其中系统地址为 127.0.0.1 此地址为中新金盾DDoS防护系统默认地址,不可更改。
(2) 控制密码 
初始密码 zxsoft 
(3) 更改密码 
可进行登陆密码更改设置。 
(4) 切换语言 
用于设置中英文管理状态的切换,中文状态下选择切换语言后便可登陆英文管理界面。

登录后界面如下

关于的欢迎页面是登录中新金盾DDoS防护系统后的默认页面,显示了中新金盾的企业官网中新网安最新消息及公司动态 。

状态监控页面显示了当前金盾软件防火墙下的主机列表,连接列表,屏蔽列表。如下图所示:

主机列表显示了当前中新金盾DDoS防护系统下主机的基本状态,包括主机、带宽、攻击频率、连接、 状态等。
显示内容描述如下:
(1) 主机
显示当前主机的 IP 地址。
(2) 带宽
显示该主机的入口和出口带宽占用,[ ]内表示过滤后流量,以 Mbps 为单位。
(3) 攻击频率
显示该主机受到攻击的频率,目前主要统计为 SYN 报文频率,ACK 报文频率,UDP 报文频率,
ICMP 报文频率,NonIP 攻击频率,FRG 报文频率,NewTCP 连接,NewUDP 连接。
(4) 连接
显示 TCP 和 UDP 连接数,其中 TCP 连接数中/前面的数值表示入连接,后面的数据表示出连接,
UDP 连接表示的为总连接。
(5) 状态
表示该主机当前所处的防护模式,[Normal]为默认防护状态。
在主机列表下,选中某个主机 IP,然后点击右键菜单会出现多个选项
禁止主机:禁止此 IP 对外通信。
忽略主机:忽略对此 IP 的防御,此时 IP 处于透明状态。
网络参数:点击设置对应 IP 的网关,MAC 等网络参数。
拒绝国外IP访问:点击设置拒绝所在地以为的IP访问该主机IP。
插件开启:目前共有九种插件,选中后会强制某 IP 开启此插件,再次点击可以取消插件。可以多选,同时防护多种业务类型。
刷新:刷新主机IP的状态。


连接列表页面显示了外部网络与受金盾软件防火墙保护的主机之间建立的连接的细节。
(1) 本地地址
显示了此连接的本地地址及被访问端口;
(2) 远端地址
显示了建立此数据连接的远端主机的地址及端口;
(3) 端口连接数
显示了此远端主机对本地主机的服务端口数据请求建立的连接数量;
(4) 合计连接数
显示了此远端主机对本地主机的服务端口数据请求建立的全部连接数量。
在连接列表下,选中某行IP,然后点击右键菜单会出现多个选项 。可以进行相关操作:屏蔽单一IP,屏蔽C类网段,自定义屏蔽,导出列表,重置连接等。

屏蔽列表显示目前被屏蔽的主机地址,包括本地地址,远端地址,屏蔽时间和屏蔽原因,在屏蔽条 目上点击右键可以重置某条屏蔽 。
在屏蔽列表下,选中某行IP,然后点击右键菜单会出现多个选项。可以进行相关操作:屏蔽单一IP,屏蔽C类网段,自定义屏蔽,导出列表,重置连接等

攻击防御页面显示了当前金盾软件防火墙下主机的防护参数设置,规则设置,黑白名单,TCP端口保护,UDP端口保护。如下图所示:

防护参数设置该页面,提供了中新金盾DDoS防护系统通用参数的设置接口,用户可方便的配置抗拒绝服务系统的通用防护行为 。
攻击检测
1)SYN Flood 保护触发
当主机 IP 收到 SYN 报文数量,每秒超过次数设置值时(此处设置为 10000),此墙下主机进入
SYN Flood 防御模式。 防御模式在攻击量小于设置值一段时间后自动释放。
2)SYN Flood 紧急触发
当主机 IP 收到 SYN 报文数量,每秒超过次数设置值时(此处设置为 500000),此墙下主机进入
严格 SYN Flood 防御模式。防御模式在攻击量小于设置值一段时间后自动释放。
3)SYN Flood 单机屏蔽
当外网主机 A 对墙下主机 B 发送 SYN 报文数量每秒超多设置值时(此处为 10000),则会屏蔽 A
对 B 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
4)ACK 保护触发
当墙下主机每秒收到的 ACK 或者 RST 报文超过设置值(此处为 10000),此墙下主机进入 ACK
Flood 或者 RST Flood 防御模式,此时丢弃所有针对此 IP 的 ACK 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
5)UDP 保护触发
当主机每秒收到的 UDP 报文超过设置值(此处为 1000),此墙下主机进入 UDP Flood 防御模式,
此时丢弃所有针对此 IP 的 UDP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
6)ICMP 保护触发
当主机每秒收到的 ICMP 报文超过设置值(此处为 100),此墙下主机进入 ICMP Flood 防御模式,
此时丢弃所有针对此 IP 的 ICMP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
7)碎片保护触发
当主机每秒收到的Fragment碎片报文超过设置值(此处为100),此墙下主机进入Fragment Flood
防御模式,此时丢弃所有针对此 IP 的 Fragment 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
8)NonIP 保护触发
当墙下主机每秒收到不常用 IP 协议族其他协议数据报文超过设置值(此处为 10000),此墙下
主机进入 NonIP Flood 防御模式,此时丢弃所有针对此 IP 的 NonIP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

TCP 防护设置
1)连接数量保护
当外网机器 A 与金盾软件防火墙下主机 B 的 tcp 连接数量每秒超过此设置值后(默认为 300),会屏蔽 A 对 B 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
2)连接频率保护
当外网机器 A 与金盾软件防火墙下主机 B 的访问次数每 16 秒数量超过此设置值后(默认为 300),会屏蔽 A 对 B 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
3)连接空闲超时
已经建立的连接在设置时间内没有任何数据交互(默认为 300 秒),则重置该连接。

其他协议防护设置
UDP和ICMP
1)请求连接超时
金盾软件防火墙收到某地址的 UDP 或者ICMP请求报文后,在大于此值时间(默认为 8S)内没有收到后续报文,则
丢弃此请求。
2)建立连接超时
已经建立的连接在设置时间(默认为 300S)内没有任何数据交互,则断开此连接。

系统防护设置
1)报文紧急状态
当设备每秒收到的报文超过此值时(默认为 1500000),金盾软件防火墙将进入严格过滤状态,此时只放行 已经信任的 IP。
2)简单过滤流量限制
限制一些简单攻击数据包的流量,目前支持检查数据部分都相同和源目地址相同的数据包,默 认为 10Mbps。
3)忽略主机流量限制
当在金盾软件防火墙上忽略 IP 流量检查时,此处可以限制此类 IP 的流量,默认为 10Mbps。
4)屏蔽持续时间
屏蔽列表中的屏蔽时间,默认为 10000 秒。


金盾软件防火墙提供了通用规则设置接口,功能强大,设置简便 。通过右键空白处或者选中已有的规则可以自定义添加规则,删除规则,移动规则,重置规则,编辑规则等。
规则细节描述如下:
1)地址
指定规则目标地址。可指定的地址类型包括:所有地址,指定域名,指定 IP 段,指定网络地址。
其中设置指定域名,设置后相应规则将变为对 DNS 域名解析的过滤规则;
2)端口
当规则为 TCP/UDP 协议时,可指定相应的端口域。可指定的端口类型可以为单一端口,如“80”;
也可为端口范围,如“135-139”;还可以为离散端口,如“7000, 7100, 7200”;
3)标志位
当规则为 TCP 协议时,可指定相应的标志位,包括 FIN,SYN,RST,PSH,ACK,URG。
4) 方向选择
指定规则匹配的数据方向,包括发送数据和接收数据;
5) 报文长度
指定规则匹配的报文的长度范围,可按<、=、>三种形式设置长度范围;
6) 模式匹配
指定规则匹配包含的关键字。抗拒绝服务系统内建高效的模式匹配算法,可快速、批量的进行
数据匹配,从原始报文中找出某一组关键字用于规则模式匹配。指定的关键字,可以是单一关键字,
如“haha”;也可以是一组关键字,如“haha heihei hoho”;如果关键字包含不可见字符,还可以通过“\”
进行代码转义,如“\a8\aa”。并且可以指定该关键字是否按有序匹配或忽略大小写方式匹配;
7)匹配行为
当规则被匹配后,需要对此报文执行的行为,包括过滤、丢弃、放行和屏蔽,过滤指正常防护,丢弃和屏蔽指黑名单,放行指白名单。“同时还记录”选择后表示规则匹配的同时会在日志记录中产生一条日志。


添加和编辑规则,可针对指定远程客户端的行为过滤。包括对报文长度、协议等来匹配,规
则新建时默认的策略匹配行为为“过滤” 。
1)规则序号
一组控制规则顺序的 ID 号
2)规则描述
描述规则的用途及作用
3)规则目标
默认为全部地址;如需要指定源地址,可选择指定 IP 段或者指定网络地址。
4)报文长度
可对指定的数据包长度进行过滤 。
5)模式匹配
指定规则匹配包含的关键字。
6)匹配行为
目前规则匹配行为有:过滤、丢弃、放行及屏蔽。
过滤:默认策略,对指定数据做过滤操作。
丢弃:直接对指定报文做丢弃操作。
放行:不对数据进行过滤,而是直接放行。
屏蔽:如有客户端触发此策略后,则直接屏蔽该客户端。
记录:对匹配数据进行记录,记录的相应信息存放“日志记录”中。
7)协议
对针对应用协议做相应匹配。

可以在金盾软件防火墙下的主机自定义添加黑白名单,删除名单,清空名单,导入导出列表。


点击设置黑白名单后,出现选择文件对话框,选择相应文件即可。 文件问 txt 格式,书写格式为:
IP socks+http+agent+suspect 导入后可在黑白名单列表中查看相应地址 。


TCP端口保护设置页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应 的处理策略。 可以自定义添加端口,编辑端口,附加控制参数,证书,恢复默认设置。


(1) 端口保护列表
1. 端口/结束端口
显示设置防护的端口范围,默认针对“0-65535”端口进行防护。
2. 攻击检测
显示设置端口的连接攻击检测频率数值,max 表示无限大。
3. 连接限制
显示设置端口的连接数量限制数值,max 表示无限大。
4. 检测权重
显示设置端口的踢出/探测权重的数值。
5. 防护模块
显示设置端口启用的防护模块类型,default 为默认防护。
6. 附加模式
显示设置端口启用的防护标志有哪些,默认仅启用“超时连接”模式。


(2) 添加端口防护相关参数
1. 开放端口范围
用于设置指定端口,可以是一个端口也可以是一个端口范围。
2. 攻击频率检测
用于自动启用 TCP 防护插件。设置该参数后,当主机与该端口范围的 TCP 连接频率超过设置数值,
该主机将自动进入 TCP 防护模式,设置的插件将被启用,当连接频率小于该数值后一段时间,该主机将
自动取消 TCP 防护模式。
注:在主机设置页面手工设置 TCP 防护不会自动取消。
3. 连接数量限制
限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽。一般来说,Web 服务应 将此数值保持为空即为不限制,而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一 客户上耗费过多资源。
4. 踢出/探测权重
限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。建议设置值20/10。
5. 协议类型选择
用于设置指定协议类型,可设定接收或拒绝某端口的访问协议。如对于某些需要拒绝 HTTP 协议的 端口(如受代理攻击的某些游戏),则应该在协议类型里选择 HTTP,然后不选择“接受协议”,则该端口 将拒绝 HTTP 协议的访问,相反如果选择了“接受协议”则表示接收 HTTP 协议。
6. 防护模式
(1) 超时连接
设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设为禁止屏蔽。
(2) 延时提交
设置此选项的端口,系统将无限缓存该连接,除非客户端有数据发送,或者该连接被重置。
(3) 超出屏蔽
设置超出屏蔽后,客户端在此端口进行的访问如果如果连接数大于连接限制设置的数值,则此客户端将被加入黑名单而屏蔽。
(4) 关联信任
有些游戏使用登录器进行登录,打开登陆器后,登陆器会自动加载一个 web 页面,利用登陆器这个机制可以设置游戏端口的关联信任防御,此防御需要向加载页面中添加代码,具体操作需要技术人员参与配合。
(5) 接受协议
可用于设置各端口指定接受的协议类型。


TCP 端口防护模块是针对特殊应用而开发的防护手段,主要包含三种:
(1) 动态验证(WEB Service Protection)
动态验证策略是中新金盾DDoS防护系统独有的、适用于 Web 服务的一种防护策略,是针对目前愈演 愈烈的 CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口,系统将对进入的 HTTP 请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单 进行屏蔽;动态验证模块,只对设置了 WebCC 保护模式的主机采用该验证策略,没有设置该保护模式 的主机不受影响。 金盾软件防火墙使用 WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时,WEB Plugin 会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将 该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端 IP,攻击器无法解析脚本,无法完成验 证码的计算。
防御模块中选择 WEB 防御插件,参数一共有 5 个,后面的模块参数这里填写的是 258 10 10 1 10,
(2) 游戏保护(Game Service Protection)

中新金盾DDoS防护系统 (金盾软件防火墙)针对游戏的TCP端口开发的防护插件,可以对市面上所有的基于C/S架构的游戏进行全方位的CC保护。
(3) Misc 插件防御
Misc 插件主要用于防护游戏,Misc 插件可以自定义回复数据,分为两种情况,第一种为默认:0-ftp,
1-smtp,2-pop3。第二种是自定义:10-17,是 8 组自定义回复策略,用于建立连接后服务器首先发送固
定数据给客户端,然后客户端回复固定数据,需要在附加控制参数里,设置misc.customdata
(4) TCP 防护插件开启方法
共有两种方法,第一种为自动开启,即主机 IP 的每秒新建 TCP 连接数超过连接攻击检测设置数值时,插件会自动开启,另一种是手动强制开启,即在状态监控页面,选中相应 IP,然后点击右键,可以强制开启或关闭相应插件。


附件控制参数与防护插件配合使用


添加或删除https证书,可以防护443端口


上传SSL证书支持和防护htttps

中新金盾DDoS防护系统新增屏蔽国外IP功能

中新金盾DDoS防护系统V16.3版本(即金盾软件防火墙)屏蔽国外IP功能细化更新内容
1、增加所在地域设置功能(设置所在地域,例如“中国(含港澳台)”、“中国台湾”、“其他”),设置完地域后,拒绝国外IP地址即对应非所在地域以外所有地址。


2、主机状态操作项支持多选进行批量操作,勾选所需功能和防护插件。


2019年DDoS攻击变化趋势

中新网安安全研究院根据中新金盾专业抗DDoS攻击(含CC攻击)系列防火墙的使用情况分析得到了2019年DDoS攻击变化趋势

2019 VS 2018

  1. 攻击次数增加了30.2%,攻击总流量下降了26.4%
  2. 1-5Gbps 小规模攻击显著增加,300Gbps 以上的大规模攻击小幅增加
  3. 平均峰值小幅增长,达42.9Gbps,中大规模攻击的技术成熟度在逐年提高
  4. UDP Flood、SYN Flood 和ACK Flood 依然是DDoS 的主要攻击手法,混合攻击在超大规模攻击中发挥重要作用
  5. 物联网设备的DDoS 攻击参与度逐年提升
  6. IoT 家族的漏洞利用载荷组成与2018 年类似,主要攻击物联网智能设备,同时攻击手段增多,在攻击链上的角色出现了分工态势

重要观点

  1. 成熟:攻击者的技术成熟度在稳步提升,攻击者在DDoS 外存在更多获利选择。
  2. 混合:12.5% 的DDoS 攻击事件使用了多种攻击手法,在300Gbps 以上的超大规模攻击中逾3成攻击都采用了混合攻击模式,对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。
  3. 惯犯:2019 年全年DDoS 惯犯(攻击次数大于20 次)达130 万,其中7% 的惯犯承担了78%的攻击事件,惯犯行为值得持续关注。
  4. 团伙:全年发现DDoS团伙60 个,攻击资源数量大于1000 的团伙达15 个,最大攻击团伙包含8.8万攻击源,月均活跃3.5 万攻击源,团伙行为和攻击团伙的治理值得持续关注。
  5. 物联网:物联网设备参与DDoS 攻击的情况值得持续关注,参与DDoS 攻击的物联网设备逐年增加,DDoS 团伙中单一团伙最高物联网设备占比达31%。
  6. 恶意家族:IoT 平台家族攻击占比进一步扩大,Gafgyt 和Mirai 贡献了大部分攻击行为,但整体上,在DDoS 特征、攻击目标和C&C 分布等方面没有明显变化。
  7. 地域:在中国,香港取代浙江成为受DDoS 攻击最多的地区,其它依次是浙江、广东、北京、江苏。

报告通过多个维度力求全面呈现2019年DDoS攻击变化趋势,以便抛砖引玉,帮助组织/机构持续改善自身网络安全防御技术及体系。

中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙 主要包括中新金盾抗拒绝服务系统(俗称金盾硬件防火墙)、中新金盾DDoS防护系统(金盾软件防火墙)、中新金盾VDDoS防护系统(金盾虚拟防火墙)。 可以帮助组织/机构持续改善自身网络安全防御DDoS攻击技术及体系。