中新金盾流量分析系统-JDFW系列技术白皮书

2017-03-27

27452

中新金盾流量分析系统

技术白皮书

版本号：20140422

版权信息

本文件所有内容受版权保护并且归中新软件所有，未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。中新软件、JDFW 、JDIS 、中新金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

1 概述 ................................................................................................................................................................... 1

1.1

1.2

2 DDoS 对当前网络提出的挑战 ............................................................................................................ 1 常规网络安全产品的不足 ................................................................................................................... 1 攻击分析 ........................................................................................................................................................... 2

2.1

2.2

2.3 常见的DDoS 原理简介 ....................................................................................................................... 2 DDoS 分类 ............................................................................................................................................ 2 DDoS 攻击发展趋势 ............................................................................................................................ 3

攻击目的产业化 --------------------------------------------------------------------------------------------------- 3

攻击手段趋于复杂化 --------------------------------------------------------------------------------------------- 3

攻击目标趋于多样化 --------------------------------------------------------------------------------------------- 3

攻击流量趋于海量化 --------------------------------------------------------------------------------------------- 3 2.3.1 2.3.2 2.3.3 2.3.4

3 功能原理 ........................................................................................................................................................... 4

3.1 中新金盾流量分析系统功能简介 ....................................................................................................... 4

精确智能的攻击检测及防护 ----------------------------------------------------------------------------------- 4

简洁丰富的WEB 管理-------------------------------------------------------------------------------------------- 4

专业健全的连接跟踪机制 -------------------------------------------------------------------------------------- 4

通用方便的报文规则过滤 -------------------------------------------------------------------------------------- 5

便捷快速的抓包取证功能 -------------------------------------------------------------------------------------- 5 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5

4 产品优势 ........................................................................................................................................................... 5

4.1 技术优势 ............................................................................................................................................... 5

独特的连接代理防护算法 -------------------------------------------------------------------------------------- 5

高效的连接数据转发算法 -------------------------------------------------------------------------------------- 5

基于数据挖掘的通用防护算法 -------------------------------------------------------------------------------- 6

可扩展的集群模式 ------------------------------------------------------------------------------------------------ 6

多平台构架支持及内核防盗版技术 ------------------------------------------------------------------------- 6

灵活多样的部署方式 --------------------------------------------------------------------------------------------- 6 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6

4.2 服务优势 ............................................................................................................................................... 7

广泛的行业解决方案 --------------------------------------------------------------------------------------------- 7

全面系统的专业培训服务 -------------------------------------------------------------------------------------- 7

优质的售后服务体系 --------------------------------------------------------------------------------------------- 7 4.2.1 4.2.2 4.2.3

1 概述

DDoS(Distributed Denial of Service)，即“分布式拒绝服务”，攻击者通过控制多个傀儡主机向服务器发送大量请求，消耗网络带宽、占用服务资源，使服务器无法处理其他正常请求。

1.1 DDoS 对当前网络提出的挑战

2009年5月19日，我国多地互联网运营商 DNS 服务器遭受拒绝服务攻击，造成数以万计用户在数小时内无法正常上网。2010年国内某知名游戏公司验证服务器遭受恶意 DDoS 攻击，造成游戏服务器中断12小时。类似事件屡见不鲜，拒绝服务攻击对当前网络的安全性已经提出了严峻的挑战。保证网络环境有效运行是互联网业务提供商亟需解决的重要安全问题。而金盾抗拒绝服务产品以此为目标，为您提供强有力的安全保障。

1.2 常规网络安全产品的不足

传统的网络安全产品的种类非常多，但对DDoS 攻击防护却表现得非常薄弱。传统防火墙、入侵检测系统、路由器和交换机等，因其设计之初并未考虑对DDoS 的防护，而不能全面的对DDoS 攻击进行有效检测和防护。

路由器的一些安全策略，如 ACL(访问控制列表) 、QoS(服务质量) 等，可以对非法的流量进行过滤和对优先服务提供保证。对于利用合法网络访问发动的拒绝服务攻击，却显得无所适从。

防火墙是我们比较常用的网络安全设备，它通过NAT 隐藏内部网络结构，通过设置DMZ 区(非军事化区) 保护内部网络，通过三层数据包过滤非法数据。但防火墙的性能将成为瓶颈，若防火墙遭受海量拒绝服务攻击，整个网络必将陷入瘫痪。

IPS/IDS 作为当前网络攻击防御和检测的有力工具，主要基于特征规则库检测阻断攻击。但是常见的 DDoS 攻击多以合法的数据包进行流量攻击，这样IPS/IDS就很难通过规则对这些攻击进行检测。

2 攻击分析

2.1 常见的DDoS 原理简介

对现有攻击分析总结，可知常见的 DDoS 攻击有 SYN Flood 、ACK Flood 、ICMP Flood 、UDP Flood 、DRDoS 、Land Flood、Fragments Flood、Fatboy 、DNS Query Flood 和CC 攻击。本节将为您简要介绍其中几种攻击的原理。

攻击：利用 TCP 协议缺陷，发送海量伪造的 TCP 连接请求，从而使得被攻击方资源耗

尽(CPU 满负荷或内存不足) 的攻击方式。

攻击：利用海量 ICMP 报文给服务器带来较大的负载，影响服务器的正常服务。由于

目前很多抗拒绝服务产品直接过滤 ICMP 报文，因此 ICMP Flood出现的频度较低，但变种伪造 IP 的 Flood ，Smurf 洪水攻击(

反射攻击) 却愈发猛烈。

攻击：向服务器发送具有 IP 源和目的地址甚至 TCP 源和目的端口完全一样的伪造的 SYN

包，使服务器创建大量空连接而无法承受这么多流量瘫痪或重启。

攻击：CC 其前身名为Fatboy 攻击，攻击者借助代理服务器生成指向受害主机的合法请求, 实现对服务器资源的恶意消耗。

攻击：利用向被攻击的 DNS 服务器发送海量伪造域名的解析请求，以达到消耗

服务器系统资源的目的。

攻击：利用 IGMP 协议漏洞(无需认证) ，发送大量伪造的 IGMP 数据包造成路由器、

防火墙等网关设备内存耗尽，CPU 过载。

以上是最为常见的拒绝服务攻击，随着时间的推移新的攻击类型及其变种层出不穷。作为专业的 DDoS 解决方案提供商，中新软件时刻关注此类攻击动向，快速制定相应的解决方案，为您的网络安全提供实时的全方位服务。

2.2 DDoS 分类

拒绝服务攻击手段繁多，基于网络协议类型可划分为TCP 攻击、UDP 攻击、ICMP 攻击、IP 攻击等。其中针对TCP 的拒绝服务攻击主要有SYN Flood 攻击、ACK Flood 攻击、CC 攻击、Land 攻击等。针对UDP 的拒绝服务攻击主要有UDP Flood 、DNS Query Flood 攻击等。针对ICMP 的攻击主要有ICMP Flood。针对IP 的攻击主要有Fragments Flood 攻击、IGMP Flood 攻击等。

为了便于更好的理解中新金盾流量分析系统的工作原理。中新金盾对拒绝服务分为流量型攻击和连接型攻击。

流量型攻击：使用大量的包含伪造信息的数据包，耗尽服务器资源。主要包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Fragment Flood 和NonIP Flood 等。

连接型攻击：使用大量的傀儡机，频繁的连接服务器，形成虚假的客户请求，耗尽服务器资源。主要包括CC 攻击、HTTP Get Flood、IDDB 攻击(又称Logindrv 攻击) 、假人攻击等。

2.3 DDoS 攻击发展趋势

中新软件自2002 年以来扎根抗拒绝服务攻击领域，多年来通过对国内外拒绝服务攻击情况实时跟踪分析，总结拒绝服务攻击发展趋势如下：

2.3.1 攻击目的产业化

DDoS 攻击逐渐从偶然攻击动机转变为追求经济利益的谋利手段，如产业竞争、经济敲诈等，并逐渐形成一个成熟的DDoS 攻击市场及与之相对应的地下产业链。

2.3.2 攻击手段趋于复杂化

攻击者通过组合多种攻击方式，随机伪造各种正常报文。如攻击包有时随机、有时固定、有时分片；攻击报文长度有时超长、有时超短；宽带型攻击夹带应用型混合攻击。

2.3.3 攻击目标趋于多样化

从早前攻击针对网络层，消耗链路带宽和被攻击服务器系统资源，演变为针对不同业务特点进行攻击。如慢速向Web 服务器发送数据查询请求、向游戏服务器发送虚假人物登录请求。

2.3.4 攻击流量趋于海量化

进入21世纪国内互联网运营商加速宽带网络建设，此后DDoS 攻击逐渐活跃，单次攻击规模逐年增大。如2002年中新软件监测到大规模攻击流量不过千兆，而2011年监测到单次攻击最高已达到70G 。十年间攻击规模的不断递增，攻击流量海量化已成事实。

3 功能原理

中新软件通过近十年的发展以及在抗拒绝服务产品研发、生产和部署中，形成了具有自主知识产权、性能优越、品质优秀的金盾抗拒绝服务系统，可为您的信息系统提供完善的安全保护。一流的核心模块，高效的防护算法使得本系列产品成为抗拒绝服务的防护金盾。

本章将介绍中新金盾流量分析系统Detector 系列产品实现的功能和工作原理。使您对本系列产品的性能优势有一个深入的了解。

3.1 中新金盾流量分析系统功能简介

中新软件金盾流量分析系统Detector 系列产品，功能丰富，界面简洁，便于管理。概括起来有以下主要功能和技术优势。

3.1.1 精确智能的攻击检测及防护

中新金盾流量分析系统Detector 系列产品，应用了自主研发的抗拒绝服务攻击算法，拥有智能参数阀值，对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep 等流量型攻击，HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted 等连接型攻击和Smurf 、Land-based 、Teardrop 、Fragment Flood、Red Code 等漏洞型攻击及其他各种常见的攻击行为均可有效识别，并通过联动金盾抗拒绝服务系统对这些攻击流量进行阻断处理，保障业务系统正常运行。

3.1.2 简洁丰富的WEB 管理

中新金盾流量分析系统Detector 系列产品具有丰富的设备管理功能，基于简洁的Web 管理方式，支持本地或远程升级。同时，丰富的日志和审计功能也极大地增强了设备的可用性，不仅能够针对攻击进行实时监测，还能对攻击的历史日志进行方便的查询和统计分析，便于对攻击事件进行有效的跟踪和追查。整个Web 界面主要有状态监控、攻击防御、日志分析、系统配置和服务支持五个模块。

3.1.3 专业健全的连接跟踪机制

踪能力。每个进出的连接，防火墙都会根据其源地址进行分类，并显示出来给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，重置连接等辅助功能，弥补了TCP/IP 协议族本身的不足，使您的服务器在面对拒绝服务攻击中游刃有余。

3.1.4 通用方便的报文规则过滤

中新金盾流量分析系统Detector 系列产品，除了提供专业的DoS/DDoS 攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域，包括IP 地址、端口、TCP 标志位、关键字、协议等，极大的提高了通用性及防护力度。同时内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。

3.1.5 便捷快速的抓包取证功能

中新金盾流量分析系统Detector 系列产品，内置抓包工具，具有数据包捕获功能，依据自行设置的条件启动抓包任务，针对DoS/DDoS 攻击，获取符合抓包条件的网络数据包，为电子取证提供依据。

4 产品优势

通过多年市场发展，中新金盾流量分析系统拥有独立自主的技术专利，具有优秀的技术和系统的服务优势。为您的网络提供系统的安全服务。

4.1 技术优势

4.1.1 独特的连接代理防护算法

中新金盾流量分析系统Detector 系列产品中应用了自主研发的抗拒绝服务攻击算法。针对SYN 攻击，采用SYN Proxy 连接代理防护模式，以代理模式处理客户端与服务器之间的连接。

4.1.2 高效的连接数据转发算法

中新金盾流量分析系统Detector 系列产品，采用自主研发的TCP Fast Rechecksum 技术，高效的处理来自TCP 的连接数据及其校验和，并进行快速转发，而无需重新统计报文数据。

4.1.3 基于数据挖掘的通用防护算法

中新金盾流量分析系统Detector 系列产品，采用Generic Protection Based On Data Mining 技术即基于数据挖掘的通用防护算法，对于开启保护的服务器，防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘，察觉恶意流量，有效率高达90以上。

4.1.4 可扩展的集群模式

中新金盾流量分析系统Detector 系列产品，采用Extensible Firewall Cluster Mode 即可扩展的集群模式，通过领先的数据分流技术，使得若干设备可组合形成更大的防护主体，提供海量攻击的检测解决方案。

4.1.5 多平台构架支持及内核防盗版技术

中新金盾流量分析系统Detector 系列产品，采用Multiple Platform & Architecture Support技术，实现了基于Windows NDIS 的软件产品，基于Linux 内核的硬件产品，支持X86、AMD64、IA64、NP 架构，拥有千兆级、万兆级多种防护级别的产品。同时采用Anti-Cracking Mechanism In Kernel 技术，实现对系统核心的加密技术，使得本系统具有很强的防盗版、防拷贝能力。

4.1.6 灵活多样的部署方式

中新金盾流量分析系统Detector 系列产品，支持IEEE802.3AD 和IEEE802.1Q 等其他路由交换协议。具备多种环境部署能力。

相关推荐