机房的硬件防火墙到底能不能防DDOS？

核心提示：DDoS(散布式拒尽服务)攻击是利用TCP/IP协议漏洞进行的1种简单而致命的网络攻击，由于TCP/IP协议的这类会话机制漏洞没法修改，因此缺少直接有效的防御手段。

在研究这个题目之前，我们先来谈谈甚么是DDOS：

甚么是DDOS：

DDoS(散布式拒尽服务)攻击是利用TCP/IP协议漏洞进行的1种简单而致命的网络攻击，由于TCP/IP协议的这类会话机制漏洞没法修改，因此缺少直接有效的防御手段。大量实例证实利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会由于有限的处理能力陷进瘫痪，成为网络运行瓶颈；另外，攻击进程中目标主机也必定陷进瘫痪。

DDOS主要采取的是SYN FLOOD及其变种的攻击，现在新的比如CC的攻击也属于这个范畴但是CC更智能1些，它用的是屡次读取同1个服务器存在的文件的方式，现有的DDOS防火墙和防火墙软件都是采取的避免SYN和FLOOD的攻击没有做重复包的检测，所以导致了大多数防火墙对CC酿成的DDOS攻击没效果；防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤，这样即使你是捏造的包，但是由于防火墙没这个存在的ARP地址而导致这个是1个不正当的包从而被防火墙过滤掉，假设1个数据包想通过这个防火墙就必须符合以下的特点，1是已存在的ARP这个可以被验证是正确的ARP，2是这个数据包不是重复的包（200NS之内），3是这个连接地址是存在的，4这个数据包的状态是延续的连接，假设不是延续的连接1样被过滤掉。

DDOS现在比较流行的1种方式是CC攻击及CC变种攻击，攻击7000.7100端口，这常常产生在网络游戏服务器上，导致玩家进进游戏界面选择和建立不了人物。其基本原理是：攻击发起主机(attacker host) 屡次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开消比较大的CGI页面发起HTTP要求造成目标主机拒尽服务( Denial of Service ) 。这是1种很聪明的散布式拒尽服务攻击( Distributed Denial of Service ) 与典型的散布式拒尽服务攻击不同，攻击者不需要往寻觅大量的傀儡机，代理服务器充当了这个角色。

那末，机房采取的硬件防火墙能不能很好的防御DDOS攻击呢？

要研究这个题目，还是先来看看国内的机房都采取哪些硬件防火墙：实在目前国内抗DDOS防火墙比较着名的，同时信誉度和使用效果也比较好的应当是黑洞、金盾和Dosnipe的产品。1些其他的所谓“XX盾DDoS防火墙”多半是抄袭篡改或完全就是没有实际效果只是用来骗钱的东西。

Dosnipe防火墙：

Dosnipe防火墙硬件架构部份主体采取产业计算机(工控机)，可以承受卑劣的运行环境，保障设备稳定运行；软件平台是FreeBSD，核心部份算法是自主研发的单向1次性非法数据包辨认方法，所有的Filter机制都是在挂在驱动级。可以完全解决所有dos/ddos攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等)，针对CC攻击，已推出DosNipe V8.0版本，此核心极其高效安全，在以往抵抗1切拒尽服务攻击的基础上，新增加了抵抗CC攻击，新算法可以高效的抵抗所有CC攻击及其变种，辨认正确率为100%，没有任何误判的可能性。

Dosnipe防火墙往年升级以后，具有更多的新特性：

·完全解决最新的M2攻击。

·支持多线路，多路由接进功能。

·支持流量控制功能。

·更强大的过滤功能。

·最新升级，完全高效的解决所有DDOS攻击，cc攻击的辨认率为100％

黑洞抗DDoS防火墙

黑洞抗DDoS防火墙是国内IDC中利用比较广泛的1款抗DoS、DDoS攻击产品，其技术比较成熟，而且防护效果明显，已得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器，使用多种算法辨认攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率，核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

黑洞所带来的防护：

·本身安全:无IP地址，网络隐身。

·能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

·可以有效避免连接耗尽，主动清除服务器上的残余连接，进步网络服务的品质、抑制网络蠕虫分散。

·可以防护DNS Query Flood，保护DNS服务器正常运行。

·可以给各种端口扫描软件反馈迷惑性信息，因此也能够对其它类型的攻击起到防护作用。

金盾抗DDOS防火墙

金盾抗DDOS防火墙由合肥中新软件有限公司开发，是1款针对ISP接进商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户，特别对1些大型的文娱站点和重要企业站点的网络流畅起到了重要的安全保护作用。

产品目前采取了最底层驱动技术，提供完善的面向连接操纵。公司在长时间ISP运营和致力于网络安全的研究进程中，研究和发明了1种防御和抵抗拒尽服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒尽服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。

金盾抗DDOS防火墙可以抵抗多种拒尽服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

听说全国有近半的电信和网通机房都有其产品，金盾防火墙是专门针对DDOS攻击和黑客进侵而设计的专业级防火墙，该设备采取自主研发的新1代抗拒尽攻击算法，可到达10万－100万个并发攻击的防御能力，同时对正常常使用户的连接和使用没有影响。专用得体系结构可改变TCP/IP的内核，在系统核心实现防御拒尽攻击的算法，并创造性的将算法实现在网络驱动层，效率没有遭到限制。同时可防御多种拒尽服务攻击及其变种，如：SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。

分析：

固然也有1些技术职员提出观点，以为从原则上说，上面类似产品不能说是防火墙，应当说1种异常流量清洗系统；现在的DDoS防御技术在防火墙也有，但防火墙的能力有限，不能很深进的针对每1个阀值参数进行分析和履行，而只有1个履行，而且履行的度量是定死了；没有1个学习后再细化，这就是防火墙的弱点，但这类产品1般是在高带宽流量的环境利用，说白1点，是放到运营商上面利用，所以产品的性能要求10分严苛，要经得起考验，这不是闹着玩；由于这套东西，运营商拿往也是给增值服务客户利用的，要收钱的，假设不能抵抗1定流量的攻击客户肯定会翻脸。

那末，大家最关心的题目：这些硬件防火墙到底能不能防DDOS呢？

这些硬件防火墙到底能不能防DDOS：

大体上说是可以的，根据我们的了解，国内大部份机房都是表示金盾效果还过得往，黑洞效果则更好1些，而Dosnipe由于合作的机房相对要少1些，所以收到的反馈意见未几，不过西南地区的1个电信机房代理商告知我机房加装Dosnipe防火墙以后确切杜尽了很多普通流量的攻击。

但是，假设DDOS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何1款防火墙都相当于摆设，由于不管防火墙处理能力有多强，出往的带宽已被耗尽了，全部机房在外面看来就都是处于掉线状态，就像1个大门已挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行动大部份是出于贸易目的，动辄G级别的攻击，1些机房本来带宽就不是很足够，1遭到大流量的攻击肯定是全部机房大面积掉线，防火墙固然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

因此，即使很多机房都号称采取多好的硬件防火墙，可以防御多大流量的攻击，但假设你的服务器真的遭到大流量攻击，机房还是不敢放你进往，由于会影响到其他服务器的正常访问，而且托管1台服务器收取的用度本来就未几，为了做成这么1笔小生意而招惹***烦，运营商肯定觉得不划算，最可怜的还是那些机房的网管职员，得手忙脚乱的封IP。

总结：

对付DDOS是1个比较复杂而庞大的系统工程，想仅仅依托某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜尽DDOS目前是不可能的，但通过适当的措施抵抗90％的DDOS攻击是可以做到的，基于攻击和防御都有本钱开消的原因，若通过适当的办法增强了抵抗DDOS的能力，也就意味着加大了攻击者的攻击本钱，那末尽大多数攻击者将没法继续下往而放弃，也就相当于成功的抵抗了DDOS攻击。

所以，硬件防火墙是否是能够防DDOS这个题目的答案实在是非常使人心酸的，从理论上说，确切有效果，但是有效果又怎样样，遭到攻击的网站和服务器会被各个机房和运营商当作瘟疫1样防着，除个别带宽充足、比较有实力的运营商，基本上没人敢接这样的客户。

唐山网站建设www.fw8.net

TAG:算法,防火墙,机房,金盾,黑洞

评论加载中... 内容： 评论者： 验证码：