首页 > 信息安全 > 正文

黑洞成为绿盟抗拒绝服务攻击的产品名字

2010-09-09 22:42:40  来源:it168网站原创

摘要:黑洞是绿盟科技抗拒绝服务攻击(DDoS)的产品名字,也称为ADS(Anti-DDoS System),是专门用于清洗网络上DDoS攻击的一款硬件设备,也有朋友叫它DDoS防火墙。网络上大量泛滥的拒绝服务攻击,可以
关键词: 绿盟科技 拒绝服务

  黑洞是绿盟抗拒绝服务攻击的产品名字

  黑洞是绿盟科技抗拒绝服务攻击(DDoS)的产品名字,也称为ADS(Anti-DDoS System),是专门用于清洗网络上DDoS攻击的一款硬件设备,也有朋友叫它DDoS防火墙。网络上大量泛滥的拒绝服务攻击,可以轻易地让Web、DNS等应用的服务器、路由器甚至网络链路阻塞和瘫痪,因此,架设在网络出口的黑洞,将那些恶意流量精确的除掉,只让正常的访问流量进入,成了黑洞的主要功能。

  黑洞的生日是2002年10月25日,比绿盟科技公司小了将近2岁,不过要是把前面将近两年的对DDoS攻击算法的研究和产品开发的时间算上,黑洞今天倒也有理由庆祝一下自己的十周年纪念日了。2002年在中国,大部分人都还是用电话线模拟拨号上网,大家对于网络安全,最多停留在安装杀毒软件的级别上,今天已经耳熟能详的网络硬件防火墙在当时也是个新东西,至于黑洞这种专业抗DDoS的硬件设备,则更是只有安全专家才能搞清楚了。

  事实上,在那个时候,在国内市面上,绿盟科技的黑洞是没有同类产品的,很多时候,遭遇拒绝服务攻击的用户会直接电话找到绿盟科技,希望借一台设备临时顶一下。绿盟科技黑洞产品线经理叶晓虎博士,经常会回忆起当时的情况,那时绿盟科技的开发人员同时也做着技术支持的工作,叶博士就经常亲自扛着一台非常笨重的黑洞设备,跑到用户的机房,将设备安装上线,调试好。“很多服务器被拒绝服务攻击缠上,非常麻烦,一天24小时,没完没了的打,服务器要么就是关机,要么就是在那里半死不活,那些维护工程师非常头痛”,“我们设备一上线,服务器就活了,效果非常明显”,“就因为我们帮忙解决攻击,以前都是用户请我吃饭的”,叶博士经常会回忆那段令人激动的时刻。

  可惜的是,黑洞组没有留下最早的产品照片,也没有留下样机,不过,在绿盟科技的生产中心,在备件库里,笔者找到了2003年左右的黑洞。

  

黑洞是绿盟抗拒绝服务攻击的产品名字

 

  ▲

  图1 早期的绿盟科技黑洞产品图片

  设备给人一种很沧桑、很古老的感觉,重量很重,一个人搬起来非常吃力,仔细看一下,上面竟然还有个3.5寸软盘驱动器。据说这台早期的黑洞相当原始,就有几种防攻击算法,处理性能在现在看来也是小得可怜——是10Mbps流量级别的。但就是这台古董级设备,当年不知挡住了多少次拒绝服务攻击,让那些黑客们摸不着头脑,不知道为什么百试百灵的攻击手段,突然失灵了。

  黑洞上市后,很长一段时期,在网络安全的论坛上,黑洞经常就等同于抗DDoS产品,黑洞经常也等同于抗DDoS技术,很多网友会在网站上发表自己对黑洞、对抗DDoS算法的理解,例如有人很严肃地讨论黑洞的反向探测技术,并且写到(原文大意如此):“黑洞不断向流量的来向发送大量的反向数据,将来向数据报文消灭掉……”。文中描述的黑洞,给人的感觉不像是一台网络安全设备,倒是更像是一台天文物理学的正负粒子对撞机,正在制造正负质子的对撞和湮灭。事实上,绿盟科技的黑洞是有反向探测技术的,但是无法像帖中所述消灭已经发送过来的DDoS报文,只是经过反向探测,可以明确区分正常报文和恶意报文,从而在后续的处理中,才能非常高效而准确地丢弃恶意报文,放行正常报文,只是,这绝不是正负质子的关系。

  当然,除去这些轶闻趣事,还有很多对黑洞的恶意研究。黑客论坛上,不断有人公布自己的发现,宣称他们发现了黑洞的弱点,反向推测黑洞的抗DDoS算法,并且研讨在黑洞防护下的攻击改进方法。面对这些,有时黑洞研发人员一笑而过,但也有些时候,绿盟科技的黑洞也面临非常棘手的一个又一个挑战。

  这些挑战里面,最著名的就是CC攻击了,事实上,CC攻击最直观的名字应该叫做Http Get Flood攻击,它是专门针对Web服务器,由大量的代理服务器或者僵尸主机对Web服务器发起,不断对某个页面进行Http Get请求,消耗Web服务器的资源,最终导致Web服务器无法响应正常用户的请求。

  

黑洞是绿盟抗拒绝服务攻击的产品名字

 

  ▲

  图2 CC攻击原理示意图

  但是这类攻击却被称为CC攻击——Challenge Collapsar,挑战黑洞,在DDoS攻击领域,Collapsar黑洞就是绿盟科技的抗拒绝服务产品。事实上,CC也是黑客在利用新的攻击向抗DDoS厂商发起挑战:你能战胜我们吗?

  黑洞找到了应对CC攻击的算法

  早期绿盟科技黑洞的防护算法大多集中在抗四层攻击上,如著名的SYN Flood攻击,以及其他一些类型如UDP Flood、ICMP Flood等,对于应用层攻击,特别是不再伪造IP地址的真实主机访问,很难区分每个报文的真伪,而且随着CC攻击工具的发展,报文的特征字段几乎不再存在,传统的特征库的作用也越来越小。直到今天,对于防火墙、IPS等一般安全产品,CC等应用级别的DDoS依旧是一个很难解决的难题,因此 CC以及其变形攻击也至今是黑客的重要DDoS攻击手段。

  还好,经历过前期一段艰苦的研究后,黑洞很快找到了应对CC攻击的算法,而且随着CC攻击手法的变化,黑洞自身的防护算法不断改进,到今天为止,绿盟科技黑洞的抗CC防护算法已经有6种,用户可以根据自己实际的情况,选择任何一种方便的方式进行防护,CC对于黑洞来说,已经不再是挑战了,只有CC的名字,依旧记录了那段攻防双方的博弈经历。

  当然,挑战也不都全是来自黑客攻击者,也有来自同行业产品的竞争、技术对比测试。最让黑洞产品难忘的一次是在2006年,东南某省电信的产品对比测试,除了绿盟科技的黑洞,竞争对手全部来自美国,都是著名的抗DDoS公司:IPS厂商R公司、IPS厂商T公司、网络厂商C公司、以及病毒厂商M公司。特别是R公司,更是由亚太区技术总监亲自从香港赶来压阵,但最终看到的却是黑洞的完胜。当然,那位技术总监也没有白来,在黑洞测试ICMP Flooding等几个防护的过程中,他用手机悄悄地拍下了黑洞的测试界面,因为对于这些攻击的防护,R公司只顶住了其标称值的20%流量。黑洞的开发人员也终于发现,原来,在网络高科技领域,也有很多美国公司需要努力赶超中国厂商的时候,只是,那些是内置的防护算法的功效,如何能用手机照片获取到?

  时间一天天过去,绿盟科技的黑洞也继续用自己的防护效果去赢得用户的信任,并且在业内传递着黑洞的口碑。黑洞在电信运营商、银行、证券、互联网、政务办公网,都有着国内最广泛的应用,在北京奥运会、六十周年国庆、在国家级领导人同网友对话等重大事件中,都有绿盟科技的黑洞产品在默默看护着网络的安全。很多用户,在黑洞防护住攻击后,给绿盟科技技术人员致以感谢和赞赏。其实,依我看来,黑洞产品的防护效果应该首先感谢这些使用黑洞的用户,正是由于这些分布全国、遍布各个行业的广泛的应用和复杂的网络环境,使得黑洞每天都在面对各种各样的新型DDoS攻击,遍布全国的黑洞部署也成了绿盟科技发现、收集新型DDoS攻击的巨大平台,几乎任何一种新出现的DDoS攻击,都会很快反映到全国的某些黑洞上,为黑洞研发人员提供算法研究的素材,并督促黑洞研发人员快速改进算法,提高防护效果。

  抗DDoS防护算法成了绿盟科技黑洞的最宝贵的资本,这不同于做路由器和应用服务,可以根据RFC规定做路由协议,或者根据用户的需求分析可完成应用的开发。对于黑客攻防产品、特别是DDoS攻防的算法,有时候,防护算法的小小一个字节的不同,对于整个防护效果则是差之千里,而对攻防的算法的效果提升,是没有什么文档可以依赖的,只能立足于广泛的攻防积累,没有时间、没有大量的客户群,黑洞无法达到其现在的防护能力,从这点来说,黑洞是应该真心感谢那些使用黑洞的客户的。

  有了DDoS防护算法的核心技术,绿盟科技的黑洞产品线也在不断的壮大,在抗DDoS领域,黑洞传统的抗DDoS清洗设备拥有了最全的产品系列——从最低端百兆级别的企业级清洗设备,到电信级数十G清洗能力的高端集群设备;流量检测分析领域,推出了专业的NTA流量分析产品;在僵尸网络发现领域,推出了蜜罐系统,自动捕获那些恶意攻击者和被感染的僵尸主机。全面的产品能力,让绿盟科技可以进一步为行业客户提供完善的抗DDoS流量清洗解决方案,在运营商,借助旁路算法技术、借助流量牵引技术、借助流量回注技术,形成了安全岛解决方案在骨干网络中,建立一个以黑洞为核心的安全岛屿,任何的异常流量都要进入这个安全岛内部去审核一遍,清除异常,让正常访问畅通无阻……

  绿盟科技始终相信,过硬的技术、良好的服务才应该是最终极、最好的营销宣传手段,而绿盟科技黑洞团队也在持续不断地进行着攻防研究,凭借这些抗DDoS技术及经验积累,未来的一段时间里,黑洞将继续做中国最好的抗DDoS产品,让绿盟科技再多几件黑洞那些事儿。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。