返回
金盾抗DDOS防火墙白皮书.doc

金盾抗DDOS防火墙白皮书.doc

ID:25846929

大小:175.00 KB

页数:12页

时间:2018-11-23

金盾抗DDOS防火墙白皮书.doc_第1页
金盾抗DDOS防火墙白皮书.doc_第2页
金盾抗DDOS防火墙白皮书.doc_第3页
金盾抗DDOS防火墙白皮书.doc_第4页
金盾抗DDOS防火墙白皮书.doc_第5页
资源描述:

《金盾抗DDOS防火墙白皮书.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、金盾抗拒绝服务系统技术白皮书―――――――――――――――――――――――――――――安徽中新软件有限公司ANHUIZXSOFTCO.LTD.©版权所有2002-2006版权声明©版权所有2002-2006,安徽中新软件有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安徽中新软件有限公司所有,受到有关产权及版权法保护。任何个人、机构未经安徽中新软件有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息中新软件、JDFW、金盾抗拒绝服务系统是安徽中新软件有限公司的商标。目录版权声明2商标信息2一

2、、概述4二、形势及趋势61.受到攻击的现象62.DOS/DDOS实例分析63.发展趋势7三、防护手段81.普通防护措施82.网络安全设备9四、金盾抗拒绝服务系统111.产品功能112.防护原理123.产品系列144.部署方式14五、结论15概述拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。目前,DOS/DDOS攻击方式主要有以下几种:Ø利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。此种攻击也是目前最普遍存在的一种攻击形式,攻击者动辄发

3、起几十兆甚至上百兆的攻击流量,造成目标的彻底瘫痪。常见的有SYNFlood,UDPFlood,ICMPFlood等等;Ø利用某些基于TCP/IP协议的软件漏洞,造成应用异常。此种攻击比较单一,通常是针对某个软件的特定版本的攻击,影响范围较小,且具有时限性。但通常此种攻击较难防治,漏洞查找较困难;Ø不断尝试,频繁连接的野蛮型攻击。此种攻击早期危害有限,但随着代理型攻击的加入,已渐有成为主流之势。常见的有webstress,CCProxyFlood等。随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及政府机构的各种用户时刻都

4、面临着攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击形为。本文内容将包含如下部分:ØDOS/DDOS当前的攻击形势及发展趋势;Ø常见的DOS/DDOS防护方法及其局限性;

5、Ø金盾抗拒绝服务系统解决方案。形势及趋势DOS/DDOS攻击者一般采用大量傀儡机发动攻击。普通个人电脑用户安全意识薄弱,防护措施较少,所以极易被黑客攻破并利用,通过植入某些后门程序,使得这些个人电脑为攻击者所用,形成傀儡机。随后,只要向这些傀儡机发送控制命令,就可以由这些机器完成攻击。此种攻击形式又叫“botnet”,由此造成的攻击规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。1.受到攻击的现象当服务器主机被DOS/DDOS攻击时,主要有如下现象:Ø被攻击主机上有大量等待的TCP连接ØCPU占用率达到100%,严重时会死机Ø网络中充斥着大量的无

6、用的数据包,源地址为伪造Ø高流量无用数据,网络拥塞,受害主机无法正常和外界通讯成功的DOS攻击将造成网络服务商的巨大损失,客户访问失败,服务质量受损。同时,公司的信誉也会受到影响。而这种危害又常常是长期性的,形成恶性循环。2.DOS/DDOS实例分析下面以一次SYNFlood攻击为例,分析DOS攻击的流程。SYN-Flood是目前最流行的DOS/DDOS攻击手段,其利用了TCP/IP协议固有的漏洞,形成大量虚假连接,造成服务器拒绝服务。众所周知,TCP是面向连接的协议类型,其建立连接的过程成为三次握手过程。在第一步握手时,客户端向服务端提出连接请求,此时SYN标

7、志置位;随后服务端在第二步回应该报文,此时SYN-ACK标志置位;在第三步中,客户端发送确认报文,此时ACK标志置位。至此,完整的TCP连接建立完成,数据传输过程开始。假设服务器在发出SYN-ACK应答报文后一段时间内没有收到客户端的ACK报文,则服务器一般会重试若干次,完全失败后才会彻底丢掉这个请求。这段时间称为SYNTimeout,一般来说这个时间是分钟的数量级。如果恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源——内存、CPU及网络带宽。最终形成拒绝服务状态或者死机。SYNFlood攻击之所以难于防护,其关键之处就

8、在于非法流量和合法流量相

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。