國內DDOS防護的專業防火牆技術

 

 

不少人對DDOS很感興趣，但對深層的防護技術不怎麼很會有效的進行設置，下面介紹一下防護的一些知識。

什麼是DDOS攻擊？有什麼辦法防護？

　　DDOS是英文Distributed Denial of Service的縮寫，意即「分佈式拒絕服務」，那麼什麼又是拒絕服務（Denial of Service）呢？能夠這麼理解，凡是能致使合法用戶不可以訪問正常網絡服務的行爲都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的很是明確，就是要阻 止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。雖然一樣是拒絕服務攻擊，可是DDOS和DOS仍是有所不一樣，DDOS的攻擊策略側重於 經過不少「殭屍主機」（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包，從而形成網絡阻塞或服務器資源耗盡而致使拒絕服務，分佈 式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，致使合法用戶沒法正常訪問服務器的網絡資源，所以，拒絕 服務攻擊又被稱之爲「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重於經過對主機特定漏洞的利用攻擊致使網絡棧失效、系統崩潰、主機死機而沒法提供正常的網絡服務功能，從而形成拒絕服務，常見 的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，緣由是很難防範，至於DOS攻擊， 經過給主機服務器打補丁或安裝防火牆軟件就能夠很好地防範，後文會詳細介紹怎麼對付DDOS攻擊。

　　當前主要有三種流行的DDOS攻擊：

　　1、SYN/ACK Flood攻擊：這種攻擊方法是經典最有效的DDOS方法，可通殺各類系統的網絡服務，主要是經過向受害主機發送大量僞造源IP和源端口的SYN或ACK 包，致使主機的緩存資源被耗盡或忙於發送迴應包而形成拒絕服務，因爲源都是僞造的故追蹤起來比較困難，缺點是實施起來有必定難度，須要高帶寬的殭屍主機支 持。少許的這種攻擊會致使主機服務器沒法訪問，但卻能夠Ping的通，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會致使Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵 盤和鼠標。普通防火牆大多沒法抵禦此種攻擊。

　　2、TCP全鏈接攻擊：這種攻擊是爲了繞過常規防火牆的檢查而設計的，通常狀況下，常規防火牆大多具有過濾TearDrop、Land等DOS攻擊的能 力，但對於正常的TCP鏈接是放過的，卻不知不少網絡服務程序（如：IIS、Apache等Web服務器）能接受的TCP鏈接數是有限的，一旦有大量的 TCP鏈接，即使是正常的，也會致使網站訪問很是緩慢甚至沒法訪問，TCP全鏈接攻擊就是經過許多殭屍主機不斷地與受害服務器創建大量的TCP鏈接，直到 服務器的內存等資源被耗盡而被拖跨，從而形成拒絕服務，這種攻擊的特色是可繞過通常防火牆的防禦而達到攻擊目的，缺點是須要找不少殭屍主機，而且因爲殭屍 主機的IP是暴露的，所以容易被追蹤。

　　3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、 MySQLServer、Oracle等數據庫的網站系統而設計的，特徵是和服務器創建正常的TCP鏈接，並不斷的向腳本程序提交查詢、列表等大量耗費數 據庫資源的調用，典型的以小博大的攻擊方法。通常來講，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎能夠忽略的，而服務器爲處理此請求 卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數據庫服務器不多能支持數百個查詢指令同時執行，而這對於客戶端來講卻 是垂手可得的，所以攻擊者只需經過Proxy代理向主機服務器大量遞交查詢指令，只需數分鐘就會把服務器資源消耗掉而致使拒絕服務，常見的現象就是網站慢 如蝸牛、ASP程序失效、PHP鏈接數據庫失敗、數據庫主程序佔用CPU偏高。這種攻擊的特色是能夠徹底繞過普通的防火牆防禦，輕鬆找一些Proxy代理 就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。

國內首家DDOS防火牆公司，當屬冰盾DDOS防火牆，後又誕生了多家防火牆公司，不少防火牆公司模仿冰盾防火牆，但時值今日，冰盾防火牆已經銷售在國內不少大型IT公司，冰盾防火牆十一年的歷史，經歷了屢次更新，技術全面升級，主要功能有：

 

★ 阻止DOS攻擊
    
    TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等數百種。

★ 抵禦DDOS攻擊

     SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等全部流行的DDOS攻擊。

★ 拒絕CC等TCP全鏈接攻擊 
     
     自動阻斷某一IP對服務器特定端口的大量TCP全鏈接資源耗盡攻擊，包括抵禦多種CC變種攻擊。

★ 防止腳本攻擊 

     專業防範ASP、PHP、PERL、JSP等腳本程序的洪水式Flood調用致使數據庫和WEB崩潰的拒絕服務攻擊。

★ 對付DDOS工具 

XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等數十種。

★ 超強Web過濾 

     過濾URL關鍵字、Unicode惡意編碼、腳本木馬、防止木立刻傳等。

★ 偵測黑客入侵 
   智能檢測Port掃描、SQL注入、密碼猜想、Expolit利用等2000多種黑客入侵行爲並阻斷。

★ ARP欺騙防禦 
     
     可經過IP和MAC的靜態綁定，以最安全的方式和最好的性能實現ARP欺騙防禦。

    冰盾防火牆技術，歷史十一年，通過十一年的滄桑，2014年冰盾從新更新數據，更新技術，壯大了研發團隊，24小時響應機制。相信冰盾防火牆未來的路會更遠更長。