机房的硬件防火墙到底能不能防DDOS?
来源:IT世界论坛 作者:gudamao 在研究这个题目之前,我们先来谈谈什么是DDOS:
什么是DDOS:
DDoS(漫衍式回绝服务)攻击是利用TCP/IP协议漏洞举行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因而短少间接有效的防备本领。大量实例证明利用传统设备被动防备根本是徒劳的,并且现有防火墙设备还会由于有限的处理本领堕入瘫痪,成为网络运转瓶颈;另外,攻击过程中目标主机也一定堕入瘫痪。
DDOS重要采用的是SYN FLOOD及其变种的攻击,现在新的比如CC的攻击也属于这个领域但是CC更智能一些,它用的是屡次读取统一个服务器存在的文件的方法,现有的DDOS防火墙和防火墙软件都是采用的防备SYN以及FLOOD的攻击没有做反复包的检测,以是招致了大多数防火墙对CC造成的DDOS攻击没效果;防火墙是基于内核的网桥式反复包检测、SYN FLOOD过滤、ARP过滤,这样即便你是伪造的包,但是由于防火墙没这个存在的ARP地址而招致这个是一个分歧法的包从而被防火墙过滤掉,要是一个数据包想经过这个防火墙就必需符合以下的特点,一是已经存在的ARP这个可以被验证是精确的ARP,二是这个数据包不是反复的包(200NS以内),三是这个连接地址是存在的,四这个数据包的状态是连续的连接,要是不是连续的连接一样被过滤掉。
DDOS现在比较流行的一种方法是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,招致玩家进入游戏界面选择和创建不了人物。其基来源根基理是:攻击发起主机(attacker host) 屡次经过网络中的HTTP署理服务器(HTTP proxy) 向目标主机(target host) 上开支比较大的CGI页面发起HTTP请求造成目标主机回绝服务( Denial of Service ) 。这是一种很聪明的漫衍式回绝服务攻击( Distributed Denial of Service ) 与典型的漫衍式回绝服务攻击差别,攻击者不必要去寻找大量的傀儡机,署理服务器充当了这个角色。
那么,机房采用的硬件防火墙能不能很好的防备DDOS攻击呢?
要研究这个题目,照旧先来看看海内的机房都采用哪些硬件防火墙:实在现在海内抗DDOS防火墙比较知名的,同时信誉度和利用效果也比较好的应该是黑洞、金盾和Dosnipe的产物。一些其他的所谓“XX盾DDoS防火墙”多半是剽窃窜改大概完全就是没有实际效果只是用来骗钱的工具。
Dosnipe防火墙:
Dosnipe防火墙硬件架构部分主体采取产业计算机(工控机),可以蒙受恶劣的运转情况,保障设备稳定运转;软件平台是FreeBSD,焦点部分算法是自主研发的单向一次性合法数据包辨认要领,全部的Filter机制都是在挂在驱动级。可以彻底办理全部dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等),针对CC攻击,已推出DosNipe V8.0版本,此焦点极端高效宁静,在以往抵御统统回绝服务攻击的底子上,新增长了抵挡CC攻击,新算法可以高效的抵御全部CC攻击及其变种,辨认准确率为100%,没有任何误判的可能性。
Dosnipe防火墙客岁升级之后,具有更多的新特性:
·彻底办理最新的M2攻击。
·支持多线路,多路由接入功能。
·支持流量控制功能。
·更壮大的过滤功能。
·最新升级,彻底高效的办理全部DDOS攻击,cc攻击的辨认率为100%
黑洞抗DDoS防火墙
黑洞抗DDoS防火墙是海内IDC中应用比较遍及的一款抗DoS、DDoS攻击产物,其技术比较成熟,并且防护效果显着,已经失掉各大IDC机构的配合认可。黑洞现在分百兆、千兆两款产物,辨别可以在相应网络情况下完成对高强度攻击的有效防护,性能远远超过同类防护产物。千兆黑洞重要用于掩护骨干线路上的网络设备如防火墙、路由器,百兆黑洞重要用于掩护子网和服务器,利用多种算法辨认攻击和正常流量,能在高攻击流量情况下包管95%以上的连接连结率和95%以上的新连接发起乐成率,焦点算法由汇编完成,针对Intel IA32体系布局举行了指令集优化。对标准TCP状态举行了精简和优化,效率远高于现在流行的SYN Cookie和Random Drop等算法。
黑洞所带来的防护:
·自身宁静:无IP地址,网络隐身。
·能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击举行防护。
·可以有效防备连接耗尽,主动扫除服务器上的渣滓连接,进步网络服务的品质、克制网络蠕虫扩散。
·可以防护DNS Query Flood,掩护DNS服务器正常运转。
·可以给各种端口扫描软件反应利诱性信息,因而也可以对别的范例的攻击起到防护作用。
金盾抗DDOS防火墙
金盾抗DDOS防火墙由合肥中新软件有限公司开发,是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台全部企业与小我私家用户,尤其对一些大型的文娱站点和重要企业站点的网络流通起到了重要的宁静掩护作用。
产物现在采用了最底层驱动技术,提供完善的面向连接操纵。公司在恒久ISP运营和努力于网络宁静的研究过程中,研究和创造白一种防备和抵抗回绝服务攻击的办理步伐。测试的效果表明,现在的防备算法对全部已知的回绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。
金盾抗DDOS防火墙可以抵御多种回绝服务攻击及其变种,可防各类 DoS/DDoS攻击,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各种变种如Land,Teardrop,Smurf,Ping of Death等。
听说全国有近半的电信和网通机房都有其产物,金盾防火墙是专门针对DDOS攻击和黑客入侵而计划的专业级防火墙,该设备采用自主研发的新一代抗回绝攻击算法,可达到10万-100万个并发攻击的防备本领,同时对正常用户的连接和利用没有影响。公用得体系布局可改变TCP/IP的内核,在系统焦点完成防备回绝攻击的算法,并创造性的将算法完成在网络驱动层,效率没有遭到限定。同时可防备多种回绝服务攻击及其变种,如:SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。
阐发:
当然也有一些技术人员提出看法,认为从准绳上说,上面类似产物不能说是防火墙,应该说一种非常流量清洗系统;现在的DDoS防备技术在防火墙也有,但防火墙的本领有限,不能很深化的针对每一个阀值参数举行阐发和实行,而只有一个实行,并且实行的器量是定去世了;没有一个学习后再细化,这就是防火墙的弱点,但这种产物一样平常是在高带宽流量的情况应用,说白一点,是放到运营商上面应用,以是产物的性能要求十分严苛,要经得起考验,这不是闹着玩;由于这套工具,运营商拿去也是给增值服务客户应用的,要收钱的,要是不能抵御一定流量的攻击客户一定会翻脸。
那么,大家最体贴的题目:这些硬件防火墙到底能不能防DDOS呢?
这些硬件防火墙到底能不能防DDOS:
大体上说是可以的,根据我们的相识,海内大部分机房都是表现金盾效果还过得去,黑洞效果则更好一些,而Dosnipe由于合作的机房绝对要少一些,以是收到的反应意见不多,不外西南地区的一个电信机房署理商报告我机房加装Dosnipe防火墙之后的确根绝了不少平凡流量的攻击。
但是,要是DDOS攻击者加大攻击的流量,大量消耗机房的出口总带宽时,任何一款防火墙都相称于部署,由于不管防火墙处理本领有多强,出去的带宽已经被耗尽了,整个机房在外面看来就都是处于掉线状态,就像一个大门已经挤满了人,不管你在门里安排几多个保镳检查都没用,外面的人照旧进不来,而现在的攻击者的举动大部分是出于商业目标,动辄G级别的攻击,一些机房本来带宽就不是很足够,一遭到大流量的攻击一定是整个机房大面积掉线,防火墙虽然检测到攻击,也只能是过滤掉那些合法数据包,掩护外部的网络设备和服务器不受重创,但掉线是机房总带宽不足所招致,用再好的防火墙都杯水车薪。
因而,即使许多机房都号称采用多好的硬件防火墙,可以防备多大流量的攻击,但要是你的服务器真的遭到大流量攻击,机房照旧不敢放你进去,由于会影响到其他服务器的正常拜访,并且托管一台服务器收取的费用本来就不多,为了做成这么一笔小买卖而招惹大贫苦,运营商一定以为不划算,最不幸的照旧那些机房的网管人员,得手忙脚乱的封IP。
总结:
敷衍DDOS是一个比较巨大而巨大的系统工程,想仅仅寄托某种系统或产物防住DDOS是不实际的,可以一定的是,完全根绝DDOS现在是不行能的,但经过适当的步伐抵御90%的DDOS攻击是可以做到的,基于攻击和防备都有本钱开支的缘故,若经过适当的步伐增强了抵御DDOS的本领,也就意味着加大了攻击者的攻击本钱,那么绝大多数攻击者将无法连续下去而保持,也就相称于乐成的抵御了DDOS攻击。
以是,硬件防火墙是否能够防DDOS这个题目的答案实在是非常令人心酸的,从实际上说,的确有效果,但是有效果又怎样样,遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫一样防着,除了个体带宽富足、比较有气力的运营商,根本上没人敢接这样的客户。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
