国内DDOS防护的专业防火墙技术

 

 

不少人对DDOS很感兴趣，但对深层的防护技术不怎么很会有效的进行设置，下面介绍一下防护的一些知识。

什么是DDOS攻击？有什么办法防护？

　　DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？能够这么理解，凡是能致使合法用户不可以访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的很是明确，就是要阻 止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然一样是拒绝服务攻击，可是DDOS和DOS仍是有所不一样，DDOS的攻击策略侧重于 经过不少“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而形成网络阻塞或服务器资源耗尽而致使拒绝服务，分布 式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，致使合法用户没法正常访问服务器的网络资源，所以，拒绝 服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于经过对主机特定漏洞的利用攻击致使网络栈失效、系统崩溃、主机死机而没法提供正常的网络服务功能，从而形成拒绝服务，常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，缘由是很难防范，至于DOS攻击， 经过给主机服务器打补丁或安装防火墙软件就能够很好地防范，后文会详细介绍怎么对付DDOS攻击。

　　当前主要有三种流行的DDOS攻击：

　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各类系统的网络服务，主要是经过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包，致使主机的缓存资源被耗尽或忙于发送回应包而形成拒绝服务，因为源都是伪造的故追踪起来比较困难，缺点是实施起来有必定难度，须要高带宽的僵尸主机支 持。少许的这种攻击会致使主机服务器没法访问，但却能够Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会致使Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键 盘和鼠标。普通防火墙大多没法抵御此种攻击。

　　2、TCP全链接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，通常状况下，常规防火墙大多具有过滤TearDrop、Land等DOS攻击的能 力，但对于正常的TCP链接是放过的，却不知不少网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP链接数是有限的，一旦有大量的 TCP链接，即使是正常的，也会致使网站访问很是缓慢甚至没法访问，TCP全链接攻击就是经过许多僵尸主机不断地与受害服务器创建大量的TCP链接，直到 服务器的内存等资源被耗尽而被拖跨，从而形成拒绝服务，这种攻击的特色是可绕过通常防火墙的防御而达到攻击目的，缺点是须要找不少僵尸主机，而且因为僵尸 主机的IP是暴露的，所以容易被追踪。

　　3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器创建正常的TCP链接，并不断的向脚本程序提交查询、列表等大量耗费数 据库资源的调用，典型的以小博大的攻击方法。通常来讲，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎能够忽略的，而服务器为处理此请求 却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器不多能支持数百个查询指令同时执行，而这对于客户端来讲却 是垂手可得的，所以攻击者只需经过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而致使拒绝服务，常见的现象就是网站慢 如蜗牛、ASP程序失效、PHP链接数据库失败、数据库主程序占用CPU偏高。这种攻击的特色是能够彻底绕过普通的防火墙防御，轻松找一些Proxy代理 就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

国内首家DDOS防火墙公司，当属冰盾DDOS防火墙，后又诞生了多家防火墙公司，不少防火墙公司模仿冰盾防火墙，但时值今日，冰盾防火墙已经销售在国内不少大型IT公司，冰盾防火墙十一年的历史，经历了屡次更新，技术全面升级，主要功能有：

 

★ 阻止DOS攻击
    
    TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。

★ 抵御DDOS攻击

     SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等全部流行的DDOS攻击。

★ 拒绝CC等TCP全链接攻击 
     
     自动阻断某一IP对服务器特定端口的大量TCP全链接资源耗尽攻击，包括抵御多种CC变种攻击。

★ 防止脚本攻击 

     专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用致使数据库和WEB崩溃的拒绝服务攻击。

★ 对付DDOS工具 

XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种。

★ 超强Web过滤 

     过滤URL关键字、Unicode恶意编码、脚本木马、防止木立刻传等。

★ 侦测黑客入侵 
   智能检测Port扫描、SQL注入、密码猜想、Expolit利用等2000多种黑客入侵行为并阻断。

★ ARP欺骗防御 
     
     可经过IP和MAC的静态绑定，以最安全的方式和最好的性能实现ARP欺骗防御。

    冰盾防火墙技术，历史十一年，通过十一年的沧桑，2014年冰盾从新更新数据，更新技术，壮大了研发团队，24小时响应机制。相信冰盾防火墙未来的路会更远更长。