抗DDoS(分布式拒绝服务攻击)攻击系统是针对业务系统的稳定、持续运行以及网络带宽的高可用率提供防护能力进行维护。然而,自1999年Yahoo、eBay等电子商务网站遭到拒绝服务攻击之后,DDoS就成为Internet上一种新兴的安全威胁,其危害巨大且防护极为困难。
尤其是随着黑客技术的不断发展,DDoS攻击更是出现了一些新的动向和趋势:
高负载—DDoS攻击通过和蠕虫、Botnet相结合,具有了一定的自动传播、集中受控、分布式攻击的特征,由于感染主机数量众多,所以DDoS攻击可以制造出高达1G的攻击流量,对于目前的网络设备或应用服务都会造成巨大的负载。
复杂度—DDoS攻击的本身也从原来利用三层/四层协议,转变为利用应用层协议进行攻击,如DNS UDP Flood、CC攻击等。某些攻击可能流量很小,但是由于协议相对复杂,所以效果非常明显,而防护难度也很高,如针对网游服务器的CC攻击,就是利用了网游本身的一些应用协议漏洞。
损失大—DDoS攻击的危害也发生了一些变化,以往DDoS主要针对门户网站进行攻击,如今攻击对象已经发生了变化。如DNS服务器、VoIP的验证服务器或网游服务器,互联网或业务网的关键应用都已经成为攻击的对象,针对这些服务的攻击,相对于以往会给客户带来更大的损失。
疏与堵的博弈
近几年来,蠕虫病毒是Internet上最大的安全问题,某些蠕虫病毒除了具有传统的特征之外,还嵌入了DDoS攻击代码,加之Botnet的出现,黑客可以掌握大量的傀儡主机发动DDoS攻击,从而导致其流量巨大。在2004年唐山黑客针对北京某知名音乐网站发动的DoS攻击中,其攻击流量竟然高达700M,对整个业务系统造成了极大的损失。
目前绝大部分的抗拒绝服务攻击系统虽然都号称是硬件产品,但实际上都是架构在X86平台的服务器或是工控机之上,其关键部件都是采用Intel或AMD的通用CPU,运行在经过裁剪的操作系统(通常是Linux或BSD)上,所有数据包解析和防护工作都由软件完成。由于CPU处理能力以及PCI总线速度的制约,这类产品的处理能力受到了很大的限制,通常这类抗拒绝服务攻击产品的处理能力最高不会超过80万pps。
然而,面对DDoS攻击,传统X86架构下的DDoS防护设备在性能及稳定性上都很难满足防护要求,更何况在传统抗DDoS攻击方案中,基本上都采用了串联部署(即:接在防火墙、路由器或交换机与被保护网络之间)的模式,这种模式存在较多的缺陷:一方面增加了网络中的单点故障,同时可能造成性能方面的瓶颈,尤其在攻击流量和背景流量同时存在的情况下,可能导致设备负载过高,从而影响正常业务的运行;另一方面,以往的DDoS防护设备和防火墙系统都有着千丝万缕的联系,所以其防护功能主要在协议栈的三层/四层实现,这类设备针对目前承载在应用层协议之上的DDoS攻击防护乏力。
正是因为如此,我们应该从架构上对整个抗拒绝服务攻击设备进行重新设计,以达到从性能、功能以及稳定性上满足目前DDoS防护的进一步需要。
抗海量拒绝服务攻击,可谓疏与堵的一场博弈。
决胜的棋子
日前,绿盟科技新推出的黑洞2000产品,具备了应对海量DDoS攻击的能力。它不仅支持传统的串联模式,同时还基于流量牵引的技术,实现了旁路工作模式。一方面,旁路模式消除了网络中的单点故障,避免了由于设备本身故障或负载过高对网络造成的影响;同时,通过流量牵引,黑洞2000可以只针对已经分流后的攻击流进行重点防护,从而提高了应对海量DDoS攻击的承付能力。
除了稳定性和性能,黑洞2000相对于原有型号的产品有了质的飞跃,更为重要的是,旁路模式支持多种复杂网络环境的部署。例如,针对城域网的核心层网络的DDoS攻击,黑洞2000就提供了基于MPLS的远程流量牵引;针对城域网汇聚层之下的DDoS攻击防护,黑洞2000产品实现了L3->L2的流量牵引和注入机制。而在大型IDC或电子商务网站入口,一般都是冗余网络环境,如果采用黑洞2000就能够对这类应用提供良好的支持,在保证网络可靠性要求的同时,也节省了大量的设备投资成本。
黑洞2000的推出,从真正意义上实现了对复杂网络环境下的海量DDoS攻击的防护。其64字节下的千兆线速的处理能力、复杂网络环境下的旁路工作模式、针对应用协议的优异的防护算法,不仅是其鲜明的特征,也是评价下一代抗拒绝服务攻击系统优劣的重要指标。黑洞2000作为抗拒绝服务攻击的网关型设备,旁路模式的支持,标志着绿盟科技对于大型网络和复杂网络下的抗拒绝服务攻击防护达到了国际水平。黑洞2000目前已经在运营商、金融行业的多家用户的关键项目上得到了应用,保证了其关键业务免受DDoS攻击的影响。