資源描述:
《nsf-prod-ads-v4.5-wh-產品技術白皮書》由會員上傳分享����,免費在線閱讀,更多相關內容在學術論文-天天文庫�。
1、綠盟抗拒絕服務系統(tǒng)產品白皮書?2021綠盟科技■版權聲明本文中出現(xiàn)的任何文字敘述����、文檔格式、插圖��、照片��、方法����、過程等內容,除另有特別注明��,版權均屬綠盟科技所有��,受到有關產權及版權法保護。任何個人���、機構未經綠盟科技的書面授權許可,不得以任何方式復制或引用本文的任何片斷���。目錄一.前言1二.DDOS的威脅愈演愈烈22.1攻擊影響22.2攻擊分析22.2.1攻擊手段32.2.2攻擊時機32.2.3攻擊動機32.3發(fā)展趨勢42.4小結4三.DDOS防護的必要性4四.當前防護手段的不足54.1手工防護54.2退讓策略64.3路由器64.4防火墻64.5
2��、IPS/IDS7五.DDOS防護的基本要求85.1優(yōu)秀的DDoS防御能力必要條件85.2防護設計思想的演進8六.綠盟科技抗拒絕服務系統(tǒng)96.1三位一體的解決方案96.2部署方式106.2.1串行部署方式106.2.2旁路部署方式116.3核心原理126.4系統(tǒng)特性136.4.1精準的攻擊流量識別136.4.2強大的攻擊防護能力136.4.3海量的攻擊防護性能146.4.4靈活的應用部署方式146.4.5友好的系統(tǒng)/報表管理146.4.6獨特的增值業(yè)務管理156.5專業(yè)的攻擊支持經驗15七.結論15-II-插圖索引圖6.1ADS的串行部署方式
3��、11圖6.2ADS產品的旁路部署方式11圖6.3運營商級三位一體分層部署方式12圖6.4綠盟科技抗拒絕服務系統(tǒng)核心架構12-II-綠盟抗拒絕服務系統(tǒng)產品白皮書一.前言DoS(DenialofService拒絕服務)攻擊由于攻擊簡單��、容易達到目的�����、難于防止和追查越來越成為常見的攻擊方式���。拒絕服務攻擊可以有各種分類方法,如果按照攻擊方式來分可以分為:資源消耗�����、服務中止和物理破壞��。資源消耗指攻擊者試圖消耗目標的合法資源,例如:網絡帶寬��、內存和磁盤空間���、CPU使用率等等�����。通常����,網絡層的拒絕服務攻擊利用了網絡協(xié)議的漏洞�,或者搶占網絡或者設備有限的處理
4、能力��,造成網絡或者服務的癱瘓����,而DDoS攻擊又可以躲過目前常見的網絡安全設備的防護,諸如防火墻��、入侵監(jiān)測系統(tǒng)等�,這就使得對拒絕服務攻擊的防治,成為了一個令管理員非常頭痛的問題����。傳統(tǒng)的攻擊都是通過對業(yè)務系統(tǒng)的滲透�,非法獲得信息來完成��,而DDoS攻擊則是一種可以造成大規(guī)模破壞的黑客武器��,它通過制造偽造的流量�,使得被攻擊的服務器�����、網絡鏈路或是網絡設備(如防火墻�����、路由器等)負載過高���,從而最終導致系統(tǒng)崩潰��,無法提供正常的Internet服務��。由于防護手段較少同時發(fā)起DDoS攻擊也越來越容易���,所以DDoS的威脅也在逐步增大,它們的攻擊目標不僅僅局限在W
5、eb服務器或是網絡邊界設備等單一的目標��,網絡本身也漸漸成為DDoS攻擊的犧牲品���。許多網絡基礎設施�����,諸如匯聚層/核心層的路由器和交換機��、運營商的域名服務系統(tǒng)(DNS)都不同程度的遭受到了DDoS攻擊的侵害����。2002年10月�����,一次大規(guī)模黑客攻擊的前兆就是十三臺根域名服務器中的八臺遭受到“野蠻”的DDoS攻擊����,從而影響了整個Internet的通訊。隨著各種業(yè)務對Internet依賴程度的日益加強�����,DDoS攻擊所帶來的損失也愈加嚴重。包括運營商����、企業(yè)及政府機構的各種用戶時刻都受到了DDoS攻擊的威脅,而未來更加強大的攻擊工具的出現(xiàn)�,為日后發(fā)動數(shù)量更
6、多��、破壞力更強的DDoS攻擊帶來可能��。正是由于DDoS攻擊非常難于防御����,以及其危害嚴重��,所以如何有效的應對DDoS攻擊就成為Internet使用者所需面對的嚴峻挑戰(zhàn)���。網絡設備或者傳統(tǒng)的邊界安全設備�����,諸如防火墻��、入侵檢測系統(tǒng)�,作為整體安全策略中不可缺少的重要模塊,都不能有效的提供針對DDoS攻擊完善的防御能力�。面對這類給Internet可用性帶來極大損害的攻擊,必須采用專門的機制���,對攻擊進行有效檢測����,進而遏制這類不斷增長的��、復雜的且極具欺騙性的攻擊形式�。?2021綠盟科技密級:完全公開-16-綠盟抗拒絕服務系統(tǒng)產品白皮書一.DDoS的威脅愈演
7、愈烈DDoS攻擊一般通過Internet上那些“僵尸”系統(tǒng)完成���,由于大量個人電腦聯(lián)入Internet����,且防護措施非常少�,所以極易被黑客利用,通過植入某些代碼���,這些機器就成為DDoS攻擊者的武器���。當黑客發(fā)動大規(guī)模的DDoS時����,只需要同時向這些將僵尸機發(fā)送某些命令����,就可以由這些“僵尸”機器完成攻擊。隨著Botnet的發(fā)展���,DDoS造成的攻擊流量的規(guī)?��?梢苑浅s@人,會給應用系統(tǒng)或是網絡本身帶來非常大的負載消耗�。特點:使用有效協(xié)議�;采用源IP欺騙;大量分布��;攻擊類型多元化�����。1.1攻擊影響DDoS攻擊給運營商�、企業(yè)和政府都將可能帶來巨大的損失。帶寬耗
8�、盡型的攻擊可能極大浪費運營商骨干網絡寶貴的帶寬資源��,嚴重增加核心設備的工作負荷���,造成關鍵業(yè)務的中斷或網絡服務質量的大幅降低。DDoS攻擊之下的門戶網站性能急劇下降�����,無法正常處理用
