TopADS3000产品-技术白皮书.docx

天融信异常流量管理与抗拒绝服务系统(TopADS系列)
技术白皮书
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:(86)10-82776666
传真:(86)10-82776677
服务热线:400-610-5119
800-810-5119
Http: //
目录
1 拒绝服务攻击背景 1
拒绝服务攻击定义 1
分布式拒绝服务攻击现状 2
僵尸网络现状 3
典型DDoS攻击原理 4
2 产品概述 7
3 产品技术架构 8
4 产品主要功能 9
5 产品优势与特点 11
先进的新一代SmartAMP并行处理技术架构 11
全面的拒绝服务攻击防御能力 12
全64位的原生ipv6支持 12
完善的应用层攻击防御功能 12
灵活多样的部署方式 13
针对运营需求的大客户两级保护对象策略 13
高可靠的业务保障能力 14
可视化的实时报表功能 14
6 产品典型部署方案 14
在线串接部署方式 15
旁路部署方式 15
7 产品型号和规格 16
8 产品资质 17
拒绝服务攻击背景
拒绝服务攻击定义
拒绝服务攻击(DOS)定义。DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
在CNCERT出版的《2012年中国互联网网络安全报告》中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。
拒绝服务攻击的典型场景如下图,通常由攻击者、受攻击服务器和僵尸网络三个要素组成。攻击者只对僵尸控制机发起指令,由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作,也有利于隐藏攻击者,使其很难被追踪到。
受攻击服务器
僵尸网络
僵尸主机
攻击者
僵尸主机
僵尸主机
僵尸主机
僵尸主机
僵尸主机
僵尸控制机
僵尸控制机
图1-1 典型DDoS攻击场景
分布式拒绝服务攻击现状
有关统计显示,政治动机、恶意竞争、经济犯罪、敲诈***是黑客发起DDoS攻击的主要目的。在国内,北京、上海、广州、深圳的DDoS攻击事件最多,%。这四个地区的近百个典型数据中心的2013年1~6月攻击统计数据显示,单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务,攻击目标主要为电子商务、在线游戏、DNS授权服务、网银支付系统、社交网站、论坛、博客、门户网站。恶意竞争是主要攻击动机,利润越高的在线业务系统,遭受攻击的频率越高,攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年1~6月份,国内几乎没有数据中心能免遭DDoS攻击,事实上数据中心已经成为DDoS攻击的重灾区。
从统计数据上显示(如下图所示),SYN Flood、UDP Flood依然是DDoS攻击的常见手段,同时随着基于HTTP协议的各类互联网应用的快速发展,HTTP Get Flood已经成为仅次于SYN Flood的最常见的DDoS攻击手段。
图1-2 攻击类型统计图
僵尸网络现状
据有关统计,从全球来看,僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制,主机规模在1000台以内的僵尸网络仍是主流。
国内流行的用于实施DDoS攻击的僵尸工具包括:傀儡僵尸、风云、狂人、;流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos等。
另外值得一提的是,Fast-Flux作为一种隐藏C&C服务器以延长僵尸网络生命周期的技术,已成为当前大部分僵尸网络的必备功能。借助该技术,僵尸网络的制造者们向互联网安全发起了新一轮的挑战。
%%,远高于其他国家;从控制者来看,美国境内的控制者最多,%,%,