-&-&-&绿盟抗拒绝服务系统
绿盟抗拒绝服务系统
& & & DDoS（分布式拒绝服务）通常是指黑客通过控制大量互联网上的机器（通常称为僵尸机器），在瞬间向一个攻击目标发动潮水般的攻击。大量的攻击报文导致被攻击系统的链路被阻塞、应用服务器或网络防火墙等网络基础设施资源被耗尽，无法为用户提供正常业务访问。
& & & 针对流行的DDoS攻击（包括未知的攻击形式），绿盟科技经过10年多不间断的技术创新和产品研发，自2001年推出首款百兆防护绿盟抗拒绝服务系统（NSFOCUS Anti-DDoS System，简称NSFOCUS ADS）后，持续推出针对不同行业的各类抗DDoS产品。绿盟抗拒绝服务攻击系统能够及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过。
& & &&系统具备如下优势：
可防护各类基于网络层、传输层及应用层的拒绝服务攻击，如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽等常见的攻击行为；
智能防御。借助内嵌的“智能多层识别净化矩阵”，实现基于行为异常的攻击检测和过滤机制，而不依赖于传统的特征字（或指纹）匹配等方式；
提供完备的异常流量检测、攻击防御、设备管理、报表生成、增值运营等功能；
支持灵活的部署方式。产品支持包括串联、串联集群、旁路以及旁路集群等不同部署方式。旁路部署下支持多种路由协议进行流量的牵引和回注，满足各种复杂的网络环境下的部署需求。
海量防御。通过方案设计，可以组成N*10Gbps以上海量攻击防御能力的系统。
产品型号丰富。既有面向中小企业用户开发的“攻击检测、攻击防御和监控管理”一体化产品，也可以提供适合运营商、IDC、大型企业用户应用需求的产品套件综合解决方案。
& & & 绿盟科技目前已成为国内惟一一家能够面向全行业用户提供抗拒绝服务攻击解决方案的专业厂商。
相关信息：
DDoS威胁的发展态势，详见&&
DDoS攻击防护的文章，详见&
抗DDoS产品的白皮书如下：【图文】DDOS抗拒绝服务_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
DDOS抗拒绝服务
&&DDoS攻击与防御简介
3次握手,syn food攻击,Http 攻击等
阅读已结束，下载本文到电脑
想免费下载本文？
登录百度文库，专享文档复制特权，积分每天免费拿！
你可能喜欢抗拒绝服务攻击（DDoS）：是疏还是堵？
抗DDoS（分布式拒绝服务攻击）攻击系统是针对业务系统的稳定、持续运行以及网络带宽的高可用率提供防护能力进行维护。然而，自1999年Yahoo、eBay等电子商务网站遭到拒绝服务攻击之后，DDoS就成为Internet上一种新兴的安全威胁，其危害巨大且防护极为困难。
尤其是随着黑客技术的不断发展，DDoS攻击更是出现了一些新的动向和趋势：
高负载—DDoS攻击通过和蠕虫、Botnet相结合，具有了一定的自动传播、集中受控、分布式攻击的特征，由于感染主机数量众多，所以DDoS攻击可以制造出高达1G的攻击流量，对于目前的网络设备或应用服务都会造成巨大的负载。
复杂度—DDoS攻击的本身也从原来利用三层/四层协议，转变为利用应用层协议进行攻击，如DNS UDP Flood、CC攻击等。某些攻击可能流量很小，但是由于协议相对复杂，所以效果非常明显，而防护难度也很高，如针对网游服务器的CC攻击，就是利用了网游本身的一些应用协议漏洞。
损失大—DDoS攻击的危害也发生了一些变化，以往DDoS主要针对门户网站进行攻击，如今攻击对象已经发生了变化。如DNS服务器、VoIP的验证服务器或网游服务器，互联网或业务网的关键应用都已经成为攻击的对象，针对这些服务的攻击，相对于以往会给客户带来更大的损失。
疏与堵的博弈
近几年来，蠕虫病毒是Internet上最大的安全问题，某些蠕虫病毒除了具有传统的特征之外，还嵌入了DDoS攻击代码，加之Botnet的出现，黑客可以掌握大量的傀儡主机发动DDoS攻击，从而导致其流量巨大。在2004年唐山黑客针对北京某知名音乐网站发动的DoS攻击中，其攻击流量竟然高达700M，对整个业务系统造成了极大的损失。
目前绝大部分的抗拒绝服务攻击系统虽然都号称是硬件产品，但实际上都是架构在X86平台的服务器或是工控机之上，其关键部件都是采用Intel或AMD的通用CPU，运行在经过裁剪的操作系统（通常是Linux或BSD）上，所有数据包解析和防护工作都由软件完成。由于CPU处理能力以及PCI总线速度的制约，这类产品的处理能力受到了很大的限制，通常这类抗拒绝服务攻击产品的处理能力最高不会超过80万pps。
然而，面对DDoS攻击，传统X86架构下的DDoS防护设备在性能及稳定性上都很难满足防护要求，更何况在传统抗DDoS攻击方案中，基本上都采用了串联部署（即：接在防火墙、路由器或交换机与被保护网络之间）的模式，这种模式存在较多的缺陷：一方面增加了网络中的单点故障，同时可能造成性能方面的瓶颈，尤其在攻击流量和背景流量同时存在的情况下，可能导致设备负载过高，从而影响正常业务的运行；另一方面，以往的DDoS防护设备和防火墙系统都有着千丝万缕的联系，所以其防护功能主要在协议栈的三层/四层实现，这类设备针对目前承载在应用层协议之上的DDoS攻击防护乏力。(编程入门网)
正是因为如此，我们应该从架构上对整个抗拒绝服务攻击设备进行重新设计，以达到从性能、功能以及稳定性上满足目前DDoS防护的进一步需要。
抗海量拒绝服务攻击，可谓疏与堵的一场博弈。
决胜的棋子
日前，绿盟科技新推出的黑洞2000产品，具备了应对海量DDoS攻击的能力。它不仅支持传统的串联模式，同时还基于流量牵引的技术，实现了旁路工作模式。一方面，旁路模式消除了网络中的单点故障，避免了由于设备本身故障或负载过高对网络造成的影响；同时，通过流量牵引，黑洞2000可以只针对已经分流后的攻击流进行重点防护，从而提高了应对海量DDoS攻击的承付能力。
除了稳定性和性能，黑洞2000相对于原有型号的产品有了质的飞跃，更为重要的是，旁路模式支持多种复杂网络环境的部署。例如，针对城域网的核心层网络的DDoS攻击，黑洞2000就提供了基于MPLS的远程流量牵引；针对城域网汇聚层之下的DDoS攻击防护，黑洞2000产品实现了L3-&L2的流量牵引和注入机制。而在大型IDC或电子商务网站入口，一般都是冗余网络环境，如果采用黑洞2000就能够对这类应用提供良好的支持，在保证网络可靠性要求的同时，也节省了大量的设备投资成本。
黑洞2000的推出，从真正意义上实现了对复杂网络环境下的海量DDoS攻击的防护。其64字节下的千兆线速的处理能力、复杂网络环境下的旁路工作模式、针对应用协议的优异的防护算法，不仅是其鲜明的特征，也是评价下一代抗拒绝服务攻击系统优劣的重要指标。黑洞2000作为抗拒绝服务攻击的网关型设备，旁路模式的支持，标志着绿盟科技对于大型网络和复杂网络下的抗拒绝服务攻击防护达到了国际水平。黑洞2000目前已经在运营商、金融行业的多家用户的关键项目上得到了应用，保证了其关键业务免受DDoS攻击的影响。抗拒絕服務攻擊(DDoS):是疏還是堵?-SalesTW
線上諮詢服務
如果您有電腦維修或資料救援的問題，請您透過留言板、Email或MSN與我們聯絡。
電腦維修、資料救援技術文件
抗拒絕服務攻擊(DDoS):是疏還是堵?
來源： 發表時間： 點擊數：0次
　　抗DDoS（分布式拒絕服務攻擊）攻擊系統是針對業務系統的穩定、持續運行以及網絡帶寬的高可用率提供防護能力進行維護。然而，自1999年Yahoo、eBay等電子商務網站遭到拒絕服務攻擊之後，DDoS就成為Internet上一種新興的安全威脅，其危害巨大且防護極為困難。
　　尤其是隨著黑客技術的不斷發展，DDoS攻擊更是出現了一些新的動向和趨勢︰
　　高負載—DDoS攻擊通過和蠕蟲、Botnet相結合，具有了一定的自動傳播、集中受控、分布式攻擊的特征，由於感染主機數量眾多，所以DDoS攻擊可以制造出高達1G的攻擊流量，對於目前的網絡設備或應用服務都會造成巨大的負載。
　　復雜度—DDoS攻擊的本身也從原來利用三層/四層協議，轉變為利用應用層協議進行攻擊，如DNS UDP Flood、CC攻擊等。某些攻擊可能流量很小，但是由於協議相對復雜，所以效果非常明顯，而防護難度也很高，如針對網游服務器的CC攻擊，就是利用了網游本身的一些應用協議漏洞。
　　損失大—DDoS攻擊的危害也發生了一些變化，以往DDoS主要針對門戶網站進行攻擊，如今攻擊對象已經發生了變化。如DNS服務器、VoIP的驗證服務器或網游服務器，互聯網或業務網的關鍵應用都已經成為攻擊的對象，針對這些服務的攻擊，相對於以往會給客戶帶來更大的損失。
　　疏與堵的博弈
　　近幾年來，蠕蟲病毒是Internet上最大的安全問題，某些蠕蟲病毒除了具有傳統的特征之外，還嵌入了DDoS攻擊代碼，加之Botnet的出現，黑客可以掌握大量的傀儡主機發動DDoS攻擊，從而導致其流量巨大。在2004年唐山黑客針對北京某知名音樂網站發動的DoS攻擊中，其攻擊流量竟然高達700M，對整個業務系統造成了極大的損失。
　　目前絕大部分的抗拒絕服務攻擊系統雖然都號稱是硬體產品，但實際上都是架構在X86平台的服務器或是工控機之上，其關鍵部件都是採用Intel或AMD的通用CPU，運行在經過裁剪的操作系統（通常是Linux或BSD）上，所有數據包解析和防護工作都由軟體完成。由於CPU處理能力以及PCI總線速度的制約，這類產品的處理能力受到了很大的限制，通常這類抗拒絕服務攻擊產品的處理能力最高不會超過80萬pps。
　　然而，面對DDoS攻擊，傳統X86架構下的DDoS防護設備在性能及穩定性上都很難滿足防護要求，更何況在傳統抗DDoS攻擊方案中，基本上都採用了串聯部署（即︰接在防火牆、路由器或交換機與被保護網絡之間）的模式，這種模式存在較多的缺陷︰一方面增加了網絡中的單點故障，同時可能造成性能方面的瓶頸，尤其在攻擊流量和背景流量同時存在的情況下，可能導致設備負載過高，從而影響正常業務的運行；另一方面，以往的DDoS防護設備和防火牆系統都有著千絲萬薊瑭p系，所以其防護弁鄍D要在協議棧的三層/四層實現，這類設備針對目前承載在應用層協議之上的DDoS攻擊防護乏力。
　　正是因為如此，我們應該從架構上對整個抗拒絕服務攻擊設備進行重新設計，以達到從性能、弁鄍H及穩定性上滿足目前DDoS防護的進一步需要。
　　抗海量拒絕服務攻擊，可謂疏與堵的一場博弈。
　　決勝的棋子
　　日前，綠盟科技新推出的黑洞2000產品，具備了應對海量DDoS攻擊的能力。它不僅支持傳統的串聯模式，同時還基於流量牽引的技術，實現了旁路工作模式。一方面，旁路模式消除了網絡中的單點故障，避免了由於設備本身故障或負載過高對網絡造成的影響；同時，通過流量牽引，黑洞2000可以只針對已經分流後的攻擊流進行重點防護，從而提高了應對海量DDoS攻擊的承付能力。
　　除了穩定性和性能，黑洞2000相對於原有型號的產品有了質的飛躍，更為重要的是，旁路模式支持多種復雜網絡環境的部署。例如，針對城域網的核心層網絡的DDoS攻擊，黑洞2000就提供了基於MPLS的遠程流量牽引；針對城域網匯聚層之下的DDoS攻擊防護，黑洞2000產品實現了L3-&L2的流量牽引和注入機制。而在大型IDC或電子商務網站入口，一般都是冗余網絡環境，如果採用黑洞2000就能夠對這類應用提供良好的支持，在保證網絡可靠性要求的同時，也節省了大量的設備投資成本。
　　黑洞2000的推出，從真正意義上實現了對復雜網絡環境下的海量DDoS攻擊的防護。其64字節下的千兆線速的處理能力、復雜網絡環境下的旁路工作模式、針對應用協議的優異的防護算法，不僅是其鮮明的特征，也是評價下一代抗拒絕服務攻擊系統優劣的重要指標。黑洞2000作為抗拒絕服務攻擊的網關型設備，旁路模式的支持，標志著綠盟科技對於大型網絡和復雜網絡下的抗拒絕服務攻擊防護達到了國際水平。黑洞2000目前已經在運營商、金融行業的多家用戶的關鍵項目上得到了應用，保證了其關鍵業務免受DDoS攻擊的影響。
版權所有 &
保留所有權利.
聯繫電話： 03-5220010(或 林小姐 )/客服專線：。
地址：新竹市東區中正路22號9樓之1/新竹市東區科學工業園區新安路5號4樓之1(501-2室) ()抗(分布式拒绝服务)系统是针对业务系统的稳定、持续运行以及网络带宽的高可用率提供防护能力进行维护。然而，自1999年Yahoo、eBay等电子商务网站遭到拒绝服务攻击之后，就成为Internet上一种新兴的安全威胁，其危害巨大且防护极为困难。　　尤其是随着黑客技术的不断发展，更是出现了一些新的动向和趋势：　　高负载—通过和蠕虫、Botnet相结合，具有了一定的自动传播、集中受控、分布式攻击的特征，由于感染主机数量众多，所以可以制造出高达1G的攻击流量，对于目前的网络设备或应用服务都会造成巨大的负载。　　复杂度—的本身也从原来利用三层/四层协议，转变为利用应用层协议进行攻击，如DNS UDP Flood、等。某些可能流量很小，但是由于协议相对复杂，所以效果非常明显，而防护难度也很高，如针对网游服务器的，就是利用了网游本身的一些应用协议漏洞。　　损失大—的危害也发生了一些变化，以往主要针对门户网站进行，如今攻击对象已经发生了变化。如DNS服务器、VoIP的验证服务器或网游服务器，互联网或业务网的关键应用都已经成为攻击的对象，针对这些服务的，相对于以往会给客户带来更大的损失。　　疏与堵的博弈　　近几年来，蠕虫病毒是Internet上最大的安全问题，某些蠕虫病毒除了具有传统的特征之外，还嵌入了代码，加之Botnet的出现，黑客可以掌握大量的傀儡主机发动，从而导致其流量巨大。在2004年唐山针对北京某知名音乐网站发动的中，其攻击流量竟然高达700M，对整个业务系统造成了极大的损失。　　目前绝大部分的抗拒绝服务系统虽然都号称是硬件产品，但实际上都是架构在X86平台的服务器或是工控机之上，其关键部件都是采用Intel或AMD的通用CPU，运行在经过裁剪的操作系统(通常是Linux或BSD)上，所有数据包解析和防护工作都由软件完成。由于CPU处理能力以及PCI总线速度的制约，这类产品的处理能力受到了很大的限制，通常这类抗拒绝服务产品的处理能力最高不会超过80万pps。　　然而，面对，传统X86架构下的防护设备在性能及稳定性上都很难满足防护要求，更何况在传统抗方案中，基本上都采用了串联部署(即：接在防火墙、路由器或交换机与被保护网络之间)的模式，这种模式存在较多的缺陷：一方面增加了网络中的单点故障，同时可能造成性能方面的瓶颈，尤其在攻击流量和背景流量同时存在的情况下，可能导致设备负载过高，从而影响正常业务的运行;另一方面，以往的防护设备和防火墙系统都有着千丝万缕的联系，所以其防护功能主要在协议栈的三层/四层实现，这类设备针对目前承载在应用层协议之上的防护乏力。　　正是因为如此，我们应该从架构上对整个抗拒绝服务攻击设备进行重新设计，以达到从性能、功能以及稳定性上满足目前防护的进一步需要。　　抗海量拒绝服务，可谓疏与堵的一场博弈。　　决胜的棋子&&&[本文章转自:]本文章原地址:
共获得金币 0
使用(可批量传图、插入视频等)
&&Ctrl + Enter 快速发布
违法和不良信息举报电话：9
举报邮箱：