中新金盾流量分析系統(tǒng)技術(shù)白皮書版本號(hào)：20140422 ,版權(quán)信息?安徽中新軟件有限公司，版權(quán)所有 2002－2014本文件所有內(nèi)容受版權(quán)保護(hù)并且歸中新軟件所有，未經(jīng)中新軟

中新金盾流量分析系統(tǒng)

技術(shù)白皮書

版本號(hào)：20140422

版權(quán)信息

?安徽中新軟件有限公司，版權(quán)所有 2002－2014

本文件所有內(nèi)容受版權(quán)保護(hù)并且歸中新軟件所有，未經(jīng)中新軟件明確書面許可，不得以任何形式復(fù)制、傳播本文件（全部或部分）。中新軟件、JDFW 、JDIS 、中新金盾抗拒絕服務(wù)系統(tǒng)及其它中新商標(biāo)均是安徽中新軟件有限公司注冊(cè)商標(biāo)，本文中涉及到的其它產(chǎn)品名稱和品牌為其相關(guān)公司或組織的商標(biāo)或注冊(cè)商標(biāo)，特此鳴謝。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 I ?2014 中新金盾

目錄

1 概述 ................................................................................................................................................................... 1

1.1

1.2

2 DDoS 對(duì)當(dāng)前網(wǎng)絡(luò)提出的挑戰(zhàn) ............................................................................................................ 1 常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足 ................................................................................................................... 1 攻擊分析 ........................................................................................................................................................... 2

2.1

2.2

2.3 常見的DDoS 原理簡(jiǎn)介 ....................................................................................................................... 2 DDoS 分類 ............................................................................................................................................ 2 DDoS 攻擊發(fā)展趨勢(shì) ............................................................................................................................ 3

攻擊目的產(chǎn)業(yè)化 --------------------------------------------------------------------------------------------------- 3

攻擊手段趨于復(fù)雜化 --------------------------------------------------------------------------------------------- 3

攻擊目標(biāo)趨于多樣化 --------------------------------------------------------------------------------------------- 3

攻擊流量趨于海量化 --------------------------------------------------------------------------------------------- 3 2.3.1 2.3.2 2.3.3 2.3.4

3 功能原理 ........................................................................................................................................................... 4

3.1 中新金盾流量分析系統(tǒng)功能簡(jiǎn)介 ....................................................................................................... 4

精確智能的攻擊檢測(cè)及防護(hù) ----------------------------------------------------------------------------------- 4

簡(jiǎn)潔豐富的WEB 管理-------------------------------------------------------------------------------------------- 4

專業(yè)健全的連接跟蹤機(jī)制 -------------------------------------------------------------------------------------- 4

通用方便的報(bào)文規(guī)則過(guò)濾 -------------------------------------------------------------------------------------- 5

便捷快速的抓包取證功能 -------------------------------------------------------------------------------------- 5 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5

4 產(chǎn)品優(yōu)勢(shì) ........................................................................................................................................................... 5

4.1 技術(shù)優(yōu)勢(shì) ............................................................................................................................................... 5

獨(dú)特的連接代理防護(hù)算法 -------------------------------------------------------------------------------------- 5

高效的連接數(shù)據(jù)轉(zhuǎn)發(fā)算法 -------------------------------------------------------------------------------------- 5

基于數(shù)據(jù)挖掘的通用防護(hù)算法 -------------------------------------------------------------------------------- 6

可擴(kuò)展的集群模式 ------------------------------------------------------------------------------------------------ 6

多平臺(tái)構(gòu)架支持及內(nèi)核防盜版技術(shù) ------------------------------------------------------------------------- 6

靈活多樣的部署方式 --------------------------------------------------------------------------------------------- 6 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6

4.2 服務(wù)優(yōu)勢(shì) ............................................................................................................................................... 7

廣泛的行業(yè)解決方案 --------------------------------------------------------------------------------------------- 7

全面系統(tǒng)的專業(yè)培訓(xùn)服務(wù) -------------------------------------------------------------------------------------- 7

優(yōu)質(zhì)的售后服務(wù)體系 --------------------------------------------------------------------------------------------- 7 4.2.1 4.2.2 4.2.3

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 II ?2014 中新金盾

5 關(guān)于我們 ........................................................................................................................................................... 8 中新金盾流量分析系統(tǒng)-技術(shù)白皮書 III ?2014 中新金盾

1 概述

DDoS(Distributed Denial of Service)，即“分布式拒絕服務(wù)”，攻擊者通過(guò)控制多個(gè)傀儡主機(jī)向服務(wù)器發(fā)送大量請(qǐng)求，消耗網(wǎng)絡(luò)帶寬、占用服務(wù)資源，使服務(wù)器無(wú)法處理其他正常請(qǐng)求。

1.1 DDoS 對(duì)當(dāng)前網(wǎng)絡(luò)提出的挑戰(zhàn)

2009年5月19日，我國(guó)多地互聯(lián)網(wǎng)運(yùn)營(yíng)商 DNS 服務(wù)器遭受拒絕服務(wù)攻擊，造成數(shù)以萬(wàn)計(jì)用戶在數(shù)小時(shí)內(nèi)無(wú)法正常上網(wǎng)。2010年國(guó)內(nèi)某知名游戲公司驗(yàn)證服務(wù)器遭受惡意 DDoS 攻擊，造成游戲服務(wù)器中斷12小時(shí)。類似事件屢見不鮮，拒絕服務(wù)攻擊對(duì)當(dāng)前網(wǎng)絡(luò)的安全性已經(jīng)提出了嚴(yán)峻的挑戰(zhàn)。保證網(wǎng)絡(luò)環(huán)境有效運(yùn)行是互聯(lián)網(wǎng)業(yè)務(wù)提供商亟需解決的重要安全問(wèn)題。而金盾抗拒絕服務(wù)產(chǎn)品以此為目標(biāo)，為您提供強(qiáng)有力的安全保障。

1.2 常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的種類非常多，但對(duì)DDoS 攻擊防護(hù)卻表現(xiàn)得非常薄弱。傳統(tǒng)防火墻、入侵檢測(cè)系統(tǒng)、路由器和交換機(jī)等，因其設(shè)計(jì)之初并未考慮對(duì)DDoS 的防護(hù)，而不能全面的對(duì)DDoS 攻擊進(jìn)行有效檢測(cè)和防護(hù)。

路由器的一些安全策略，如 ACL(訪問(wèn)控制列表) 、QoS(服務(wù)質(zhì)量) 等，可以對(duì)非法的流量進(jìn)行過(guò)濾和對(duì)優(yōu)先服務(wù)提供保證。對(duì)于利用合法網(wǎng)絡(luò)訪問(wèn)發(fā)動(dòng)的拒絕服務(wù)攻擊，卻顯得無(wú)所適從。

防火墻是我們比較常用的網(wǎng)絡(luò)安全設(shè)備，它通過(guò)NAT 隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)設(shè)置DMZ 區(qū)(非軍事化區(qū)) 保護(hù)內(nèi)部網(wǎng)絡(luò)，通過(guò)三層數(shù)據(jù)包過(guò)濾非法數(shù)據(jù)。但防火墻的性能將成為瓶頸，若防火墻遭受海量拒絕服務(wù)攻擊，整個(gè)網(wǎng)絡(luò)必將陷入癱瘓。

IPS/IDS 作為當(dāng)前網(wǎng)絡(luò)攻擊防御和檢測(cè)的有力工具，主要基于特征規(guī)則庫(kù)檢測(cè)阻斷攻擊。但是常見的 DDoS 攻擊多以合法的數(shù)據(jù)包進(jìn)行流量攻擊，這樣IPS/IDS就很難通過(guò)規(guī)則對(duì)這些攻擊進(jìn)行檢測(cè)。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 1 ?2014 中新金盾

2 攻擊分析

2.1 常見的DDoS 原理簡(jiǎn)介

對(duì)現(xiàn)有攻擊分析總結(jié)，可知常見的 DDoS 攻擊有 SYN Flood 、ACK Flood 、ICMP Flood 、UDP Flood 、DRDoS 、Land Flood、Fragments Flood、Fatboy 、DNS Query Flood 和CC 攻擊。本節(jié)將為您簡(jiǎn)要介紹其中幾種攻擊的原理。

攻擊：利用 TCP 協(xié)議缺陷，發(fā)送海量偽造的 TCP 連接請(qǐng)求，從而使得被攻擊方資源耗

盡(CPU 滿負(fù)荷或內(nèi)存不足) 的攻擊方式。

攻擊：利用海量 ICMP 報(bào)文給服務(wù)器帶來(lái)較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于

目前很多抗拒絕服務(wù)產(chǎn)品直接過(guò)濾 ICMP 報(bào)文，因此 ICMP Flood出現(xiàn)的頻度較低，但變種偽造 IP 的 Flood ，Smurf 洪水攻擊(

反射攻擊) 卻愈發(fā)猛烈。

攻擊：向服務(wù)器發(fā)送具有 IP 源和目的地址甚至 TCP 源和目的端口完全一樣的偽造的 SYN

包，使服務(wù)器創(chuàng)建大量空連接而無(wú)法承受這么多流量癱瘓或重啟。

攻擊：CC 其前身名為Fatboy 攻擊，攻擊者借助代理服務(wù)器生成指向受害主機(jī)的合法請(qǐng)求, 實(shí)現(xiàn)對(duì)服務(wù)器資源的惡意消耗。

攻擊：利用向被攻擊的 DNS 服務(wù)器發(fā)送海量偽造域名的解析請(qǐng)求，以達(dá)到消耗

服務(wù)器系統(tǒng)資源的目的。

攻擊：利用 IGMP 協(xié)議漏洞(無(wú)需認(rèn)證) ，發(fā)送大量偽造的 IGMP 數(shù)據(jù)包造成路由器、

防火墻等網(wǎng)關(guān)設(shè)備內(nèi)存耗盡，CPU 過(guò)載。

以上是最為常見的拒絕服務(wù)攻擊，隨著時(shí)間的推移新的攻擊類型及其變種層出不窮。作為專業(yè)的 DDoS 解決方案提供商，中新軟件時(shí)刻關(guān)注此類攻擊動(dòng)向，快速制定相應(yīng)的解決方案，為您的網(wǎng)絡(luò)安全提供實(shí)時(shí)的全方位服務(wù)。

2.2 DDoS 分類

拒絕服務(wù)攻擊手段繁多，基于網(wǎng)絡(luò)協(xié)議類型可劃分為TCP 攻擊、UDP 攻擊、ICMP 攻擊、IP 攻擊等。其中針對(duì)TCP 的拒絕服務(wù)攻擊主要有SYN Flood 攻擊、ACK Flood 攻擊、CC 攻擊、Land 攻擊等。針對(duì)UDP 的拒絕服務(wù)攻擊主要有UDP Flood 、DNS Query Flood 攻擊等。針對(duì)ICMP 的攻擊主要有ICMP Flood。針對(duì)IP 的攻擊主要有Fragments Flood 攻擊、IGMP Flood 攻擊等。

為了便于更好的理解中新金盾流量分析系統(tǒng)的工作原理。中新金盾對(duì)拒絕服務(wù)分為流量型攻擊和連接型攻擊。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 2 ?2014 中新金盾

流量型攻擊：使用大量的包含偽造信息的數(shù)據(jù)包，耗盡服務(wù)器資源。主要包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Fragment Flood 和NonIP Flood 等。

連接型攻擊：使用大量的傀儡機(jī)，頻繁的連接服務(wù)器，形成虛假的客戶請(qǐng)求，耗盡服務(wù)器資源。主要包括CC 攻擊、HTTP Get Flood、IDDB 攻擊(又稱Logindrv 攻擊) 、假人攻擊等。

2.3 DDoS 攻擊發(fā)展趨勢(shì)

中新軟件自2002 年以來(lái)扎根抗拒絕服務(wù)攻擊領(lǐng)域，多年來(lái)通過(guò)對(duì)國(guó)內(nèi)外拒絕服務(wù)攻擊情況實(shí)時(shí)跟蹤分析，總結(jié)拒絕服務(wù)攻擊發(fā)展趨勢(shì)如下：

2.3.1 攻擊目的產(chǎn)業(yè)化

DDoS 攻擊逐漸從偶然攻擊動(dòng)機(jī)轉(zhuǎn)變?yōu)樽非蠼?jīng)濟(jì)利益的謀利手段，如產(chǎn)業(yè)競(jìng)爭(zhēng)、經(jīng)濟(jì)敲詐等，并逐漸形成一個(gè)成熟的DDoS 攻擊市場(chǎng)及與之相對(duì)應(yīng)的地下產(chǎn)業(yè)鏈。

2.3.2 攻擊手段趨于復(fù)雜化

攻擊者通過(guò)組合多種攻擊方式，隨機(jī)偽造各種正常報(bào)文。如攻擊包有時(shí)隨機(jī)、有時(shí)固定、有時(shí)分片；攻擊報(bào)文長(zhǎng)度有時(shí)超長(zhǎng)、有時(shí)超短；寬帶型攻擊夾帶應(yīng)用型混合攻擊。

2.3.3 攻擊目標(biāo)趨于多樣化

從早前攻擊針對(duì)網(wǎng)絡(luò)層，消耗鏈路帶寬和被攻擊服務(wù)器系統(tǒng)資源，演變?yōu)獒槍?duì)不同業(yè)務(wù)特點(diǎn)進(jìn)行攻擊。如慢速向Web 服務(wù)器發(fā)送數(shù)據(jù)查詢請(qǐng)求、向游戲服務(wù)器發(fā)送虛假人物登錄請(qǐng)求。

2.3.4 攻擊流量趨于海量化

進(jìn)入21世紀(jì)國(guó)內(nèi)互聯(lián)網(wǎng)運(yùn)營(yíng)商加速寬帶網(wǎng)絡(luò)建設(shè)，此后DDoS 攻擊逐漸活躍，單次攻擊規(guī)模逐年增大。如2002年中新軟件監(jiān)測(cè)到大規(guī)模攻擊流量不過(guò)千兆，而2011年監(jiān)測(cè)到單次攻擊最高已達(dá)到70G 。十年間攻擊規(guī)模的不斷遞增，攻擊流量海量化已成事實(shí)。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 3 ?2014 中新金盾

3 功能原理

中新軟件通過(guò)近十年的發(fā)展以及在抗拒絕服務(wù)產(chǎn)品研發(fā)、生產(chǎn)和部署中，形成了具有自主知識(shí)產(chǎn)權(quán)、性能優(yōu)越、品質(zhì)優(yōu)秀的金盾抗拒絕服務(wù)系統(tǒng)，可為您的信息系統(tǒng)提供完善的安全保護(hù)。一流的核心模塊，高效的防護(hù)算法使得本系列產(chǎn)品成為抗拒絕服務(wù)的防護(hù)金盾。

本章將介紹中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品實(shí)現(xiàn)的功能和工作原理。使您對(duì)本系列產(chǎn)品的性能優(yōu)勢(shì)有一個(gè)深入的了解。

3.1 中新金盾流量分析系統(tǒng)功能簡(jiǎn)介

中新軟件金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，功能豐富，界面簡(jiǎn)潔，便于管理。概括起來(lái)有以下主要功能和技術(shù)優(yōu)勢(shì)。

3.1.1 精確智能的攻擊檢測(cè)及防護(hù)

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，擁有智能參數(shù)閥值，對(duì)SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep 等流量型攻擊，HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted 等連接型攻擊和Smurf 、Land-based 、Teardrop 、Fragment Flood、Red Code 等漏洞型攻擊及其他各種常見的攻擊行為均可有效識(shí)別，并通過(guò)聯(lián)動(dòng)金盾抗拒絕服務(wù)系統(tǒng)對(duì)這些攻擊流量進(jìn)行阻斷處理，保障業(yè)務(wù)系統(tǒng)正常運(yùn)行。

3.1.2 簡(jiǎn)潔豐富的WEB 管理

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品具有豐富的設(shè)備管理功能，基于簡(jiǎn)潔的Web 管理方式，支持本地或遠(yuǎn)程升級(jí)。同時(shí)，豐富的日志和審計(jì)功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)，還能對(duì)攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。整個(gè)Web 界面主要有狀態(tài)監(jiān)控、攻擊防御、日志分析、系統(tǒng)配置和服務(wù)支持五個(gè)模塊。

3.1.3 專業(yè)健全的連接跟蹤機(jī)制

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，內(nèi)部實(shí)現(xiàn)了完整的TCP/IP 協(xié)議族，具有強(qiáng)大的連接跟中新金盾流量分析系統(tǒng)-技術(shù)白皮書 4 ?2014 中新金盾

蹤能力。每個(gè)進(jìn)出的連接，防火墻都會(huì)根據(jù)其源地址進(jìn)行分類，并顯示出來(lái)給用戶，方便用戶對(duì)受保護(hù)主機(jī)狀態(tài)的監(jiān)控。同時(shí)還提供連接超時(shí)，重置連接等輔助功能，彌補(bǔ)了TCP/IP 協(xié)議族本身的不足，使您的服務(wù)器在面對(duì)拒絕服務(wù)攻擊中游刃有余。

3.1.4 通用方便的報(bào)文規(guī)則過(guò)濾

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，除了提供專業(yè)的DoS/DDoS 攻擊檢測(cè)及防護(hù)外，還提供了面向報(bào)文的通用規(guī)則匹配功能，可設(shè)置的域，包括IP 地址、端口、TCP 標(biāo)志位、關(guān)鍵字、協(xié)議等，極大的提高了通用性及防護(hù)力度。同時(shí)內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測(cè)等多項(xiàng)功能，易于使用。

3.1.5 便捷快速的抓包取證功能

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，內(nèi)置抓包工具，具有數(shù)據(jù)包捕獲功能，依據(jù)自行設(shè)置的條件啟動(dòng)抓包任務(wù)，針對(duì)DoS/DDoS 攻擊，獲取符合抓包條件的網(wǎng)絡(luò)數(shù)據(jù)包，為電子取證提供依據(jù)。

4 產(chǎn)品優(yōu)勢(shì)

通過(guò)多年市場(chǎng)發(fā)展，中新金盾流量分析系統(tǒng)擁有獨(dú)立自主的技術(shù)專利，具有優(yōu)秀的技術(shù)和系統(tǒng)的服務(wù)優(yōu)勢(shì)。為您的網(wǎng)絡(luò)提供系統(tǒng)的安全服務(wù)。

4.1 技術(shù)優(yōu)勢(shì)

4.1.1 獨(dú)特的連接代理防護(hù)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品中應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法。針對(duì)SYN 攻擊，采用SYN Proxy 連接代理防護(hù)模式，以代理模式處理客戶端與服務(wù)器之間的連接。

4.1.2 高效的連接數(shù)據(jù)轉(zhuǎn)發(fā)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用自主研發(fā)的TCP Fast Rechecksum 技術(shù)，高效的處理來(lái)自TCP 的連接數(shù)據(jù)及其校驗(yàn)和，并進(jìn)行快速轉(zhuǎn)發(fā)，而無(wú)需重新統(tǒng)計(jì)報(bào)文數(shù)據(jù)。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 5 ?2014 中新金盾

4.1.3 基于數(shù)據(jù)挖掘的通用防護(hù)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Generic Protection Based On Data Mining 技術(shù)即基于數(shù)據(jù)挖掘的通用防護(hù)算法，對(duì)于開啟保護(hù)的服務(wù)器，防護(hù)模塊會(huì)自動(dòng)對(duì)客戶端與服務(wù)器端的通信進(jìn)行數(shù)據(jù)統(tǒng)計(jì)與挖掘，察覺惡意流量，有效率高達(dá)90以上。

4.1.4 可擴(kuò)展的集群模式

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Extensible Firewall Cluster Mode 即可擴(kuò)展的集群模式，通過(guò)領(lǐng)先的數(shù)據(jù)分流技術(shù)，使得若干設(shè)備可組合形成更大的防護(hù)主體，提供海量攻擊的檢測(cè)解決方案。

4.1.5 多平臺(tái)構(gòu)架支持及內(nèi)核防盜版技術(shù)

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Multiple Platform & Architecture Support技術(shù)，實(shí)現(xiàn)了基于Windows NDIS 的軟件產(chǎn)品，基于Linux 內(nèi)核的硬件產(chǎn)品，支持X86、AMD64、IA64、NP 架構(gòu)，擁有千兆級(jí)、萬(wàn)兆級(jí)多種防護(hù)級(jí)別的產(chǎn)品。同時(shí)采用Anti-Cracking Mechanism In Kernel 技術(shù)，實(shí)現(xiàn)對(duì)系統(tǒng)核心的加密技術(shù)，使得本系統(tǒng)具有很強(qiáng)的防盜版、防拷貝能力。

4.1.6 靈活多樣的部署方式

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，支持IEEE802.3AD 和IEEE802.1Q 等其他路由交換協(xié)議。具備多種環(huán)境部署能力。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 6 ?2014 中新金盾