HillStone抗DDoS攻击解决方案
2008-08-28 13:19:42 来源:WEB开发网随着互联网络带宽的不断增加和DDoS黑客攻击工具的日益普及,发起网络攻击已不再是黑客的专利,简单易用的黑客软件让更多人学会了攻击,另有恶意病毒、木马已不再单纯破坏网友PC,而是以此为跳板去发起对外的攻击行为,这都是导致网站、游戏服务器、公共服务器、电信机房等网络服务商长期以来一直被DDoS攻击所困扰的原因,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。因此,解决DDoS攻击问题成为电信网络服务商必须考虑的头等大事。
DDoS(Distributed Denial of Service),即“分布式拒绝服务”。广泛意义来讲,凡是能导致合法用户无法访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。这就好比为了干扰学生与教师之间的交流,而同时有大量伪造学生的请求发给教师一样,直到教师没有足够的精力去应付所有请求,攻击者的目的也就达到了。因此,这种拒绝服务攻击的行为又被称之为“洪水式攻击”。常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood等。
DDoS的表现形式主要有两种:
一、基于流量的攻击:是针对网络带宽的攻击,通过用大量攻击数据包塞满网络,使正常网络数据请求无法正常到达目的而形成的一种攻击方式。
二、基于资源的攻击:是针对边界网络设备和服务器主机的攻击,通过用大量攻击数据包导致防火墙或服务器的CPU被占满而造成用户无法进行正常访问的一种攻击方式。
对于第一种基于流量的攻击,从攻击原理来说,攻击者需要持续发送大于被攻击者网络带宽的数据包才有可能攻击成功,而对于被攻击者,只有扩大带宽或在上层链路进行流量清洗才能抵御,具有难攻难防的特点。
第二种基于资源的攻击相对更容易些,攻击者通过瞬间发送大量的数据请求,将服务主机的CPU占满而形成拒绝服务攻击。传统防火墙、入侵检测设备、路由器等网络设备,对于这种普遍存在、威胁巨大的攻击方式普遍束手无策,且由于架构缺陷,在面临大量攻击的情况下,设备往往因为没有足够的性能去应对和处理这些攻击请求而最先瘫痪。至于退让策略或是系统优化等方法只能应付小规模DoS攻击,对大规模DoS攻击还是无法提供有效的防护。
网络安全更像是一场攻与防的较量。对于DDoS攻击,只有强大的设备处理能力和健壮、智能的安全防护系统相结合才能抵御。Hillstone作为创新一代的安全厂商,在其采用的网络专用多核处理器中,每个内核都含有专门处理攻击的硬件芯片,这使得设备在抗攻击方面有先天优势;根据前文所提到的,DDoS攻击最大的特点就是瞬时发送大量数据请求,如果被攻击对象无法及时处理,请求包就会堆积得越来越多,从而耗尽被攻击方资源,达到攻击目的。为了突破传统设备瞬间处理能力低的问题,Hillstone将64位并行安全内核与多核处理器相结合,实现了高于传统安全设备5~10倍的处理能力,每秒钟可处理高达20万TCP会话请求或50万UDP会话请求,这使得攻击设备几乎成了不可完成的任务。
强大的性能不是对付DDoS攻击的唯一手段,Hillstone凭借多年安全行业经验,对主流DDoS攻击行为均能够进行智能识别和予以阻断;另外,在上网高峰时大量正常访问的请求也有可能冲破服务器的性能瓶颈,使其CPU爆满而导致拒绝服务。对此,Hillstone提供的会话数控制功能可对主动连接的会话数、被动连接的会话数以及总会话数进行限制,通过将服务器被动会话数限制在性能允许范围内,即可有效保护服务器不会宕机。
赞助商链接