當(dāng)前國內(nèi)主要的抗DOS設(shè)備主要有:
綠盟黑洞: X86架構(gòu),Linux內(nèi)核與自主專利的抗syn-flood算法。對抗單一類型的syn,udp,icmp dos效果很好,但是當(dāng)多種混合時(shí)效果就略差。優(yōu)點(diǎn)是更新快,技術(shù)支持比較好,在100M環(huán)境下對syn-flood有絕對優(yōu)勢。 缺點(diǎn)是文檔和信息缺乏,同時(shí)工作(軟硬件兩方面)不是很穩(wěn)定。
一己拙見: 作為應(yīng)急響應(yīng)時(shí)備用。
Radware fireproof: ASIC/NP架構(gòu),SynApps技術(shù),主要是基于簽名的4-7層過濾算法與補(bǔ)充的syn-cache技術(shù)。優(yōu)勢是對單一類型的拒絕服務(wù)攻擊效果比較好,效率也很高。缺點(diǎn)是由于目前的設(shè)計(jì),導(dǎo)致體系缺乏靈活性,當(dāng)出現(xiàn)特別類型的變種攻擊時(shí)可能無能為力。
一己拙見: 當(dāng)企業(yè)原本有計(jì)劃采購Radware 設(shè)備作為常規(guī)應(yīng)用是,可以考慮同時(shí)購入fireproof模塊作為備用。
F5 Big-IP: X86架構(gòu),基于FreeBSD的內(nèi)核,具有帶閥值隨機(jī)丟棄算法的syn-cache技術(shù)和針對icmp(可能還有udp?)的流量限制功能,因此可以在一定層次上緩解和抵抗syn類的拒絕服務(wù)攻擊,實(shí)際效果尚可。
一己拙見: 不適合作為專業(yè)抗拒絕服務(wù)產(chǎn)品采購,可以作為負(fù)載均衡設(shè)備的附加功能作為增值考慮。
天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核,X86架構(gòu),現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗syn-flood功能,實(shí)際應(yīng)該是syn-cache/syn-cookie的改進(jìn)或加強(qiáng)版。實(shí)際測試syn流量64B包抵抗極限大概是25M左右。當(dāng)小于20M是還是可以看到效果的。同時(shí)結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。
一己拙見: 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好,當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說,買個(gè)防火墻同時(shí)兼有簡單的抗syn功能倒也不錯(cuò)。
天元龍馬: 抗DOS產(chǎn)品沒用過,但是對他的防火墻產(chǎn)品印象比較不好,功能太簡陋了。
其他: 防火墻類產(chǎn)品,很多都聲稱自己也具有抗DOS功能,其中最著名的就是NetScreen和Nokia/Checkpoint。實(shí)測結(jié)果:
NetScreen 500 (ASIC架構(gòu)) 64B包SYN,當(dāng)打開SYN防護(hù)開關(guān)時(shí),攻擊流量> 18 M左右,系統(tǒng)資源消耗99%,網(wǎng)絡(luò)無法連通。初步判定netscreen 500 syn抗拒極限為20 M。 (多次多地點(diǎn)測試結(jié)果)
Nokia i740 (NP架構(gòu),低端和早期產(chǎn)品 - 340以下實(shí)際為X86架構(gòu),IPSO/基于BSD內(nèi)核) 64B包SYN, 自動(dòng)SYN防護(hù),攻擊流量......慘不忍睹...... > 10M就不行了,系統(tǒng)資源消耗99%,網(wǎng)絡(luò)無法連通,同時(shí)管理界面也失去響應(yīng)。但持續(xù)攻擊很久之后停止攻擊后恢復(fù)響應(yīng),說明系統(tǒng)工作穩(wěn)定性還是不錯(cuò)的(netscreen也一樣,在正常再現(xiàn)工作時(shí)間測試上這兩家的穩(wěn)定性表現(xiàn)也都很好,值得贊許)。
一己拙見: Nokia和NetScreen的抗拒絕服務(wù)性能,在得到大幅改進(jìn)之前還是不要提得好。
Arbor和Riverhead的產(chǎn)品尚未接觸過,可以請熟悉的朋友談?wù)劇?
其他的解決方案,還有在系統(tǒng)級的Linux/BSD的syncookie/syn-cache功能,AIX/NT的網(wǎng)絡(luò)緩沖隊(duì)列和網(wǎng)絡(luò)參數(shù)調(diào)整,以及網(wǎng)絡(luò)級的 4 - 7層交換處理,例如使用CSS11000等作負(fù)載均衡或者深層過濾等等,以及在網(wǎng)絡(luò)設(shè)備和網(wǎng)關(guān)上作流量速率限制。這些都可以在一定層次上緩解或減輕拒絕服務(wù)類攻擊的危害,但并不是根本的解決辦法,可以看情況考慮選擇。也許等到ip traceback和netflow等技術(shù)推廣的更廣泛一些時(shí),情況就好一點(diǎn)了,算是個(gè)黑夜夢吧。
最后一點(diǎn)看法,拒絕服務(wù)是一個(gè)麻煩又難纏的問題 -- 因?yàn)樗某梢蛱珡?fù)雜,在網(wǎng)絡(luò)的鏈路層、網(wǎng)絡(luò)層、應(yīng)用層都可能出現(xiàn),但大家都回避不了。作為網(wǎng)絡(luò)道德領(lǐng)域或文化領(lǐng)域的產(chǎn)物,僅僅在技術(shù)層面上是很難根治的。在應(yīng)對方法的選擇上,大家應(yīng)該牢記三個(gè)80/20規(guī)則:
1, 80%的正常時(shí)間和20%被攻擊時(shí)間。時(shí)間當(dāng)然會(huì)影響到損失,在你的損失和規(guī)避他所需要的花費(fèi)之間均衡考慮;
2, 80%的常規(guī)攻擊和20%的特別攻擊。任何設(shè)備都不可能處理所有的攻擊,那么當(dāng)出現(xiàn)特例部分的失效情況是如何應(yīng)對,以及從這一條結(jié)合第一條規(guī)則考慮你的投入產(chǎn)出比,也是一個(gè)重要的問題。
3, 80%的正常工作時(shí)間和20%的設(shè)備失敗時(shí)間。 設(shè)備都有它可能失效的時(shí)候,可能是軟件、硬件、邏輯或RP問題。例如我就采購了兩臺(tái)某廠商的專業(yè)抗拒絕服務(wù)產(chǎn)品,測試和驗(yàn)收時(shí)表現(xiàn)正常,但是當(dāng)某天受到攻擊我拿出來上線上架時(shí)我才發(fā)現(xiàn),一臺(tái)硬件失敗無法啟動(dòng)!而另一臺(tái)對這種攻擊沒有防護(hù)效用!這種情況怎么辦?是向領(lǐng)導(dǎo)承認(rèn)我失職,還是等待廠商慢慢研究出應(yīng)對方案?恐怕都很難解決.
就是這樣的三個(gè)原則,可能他出現(xiàn)的幾率并不是概數(shù)的80/20,但哪怕僅僅1%的幾率我們也要把它放大百倍看待。為了1%的事故考慮資產(chǎn)投入,然后還要擔(dān)心會(huì)不會(huì)因?yàn)檫@1%時(shí)間中的1%措施失敗幾率導(dǎo)致我們的投入全部付諸流水。
先進(jìn)的技術(shù)不一定能解決問題,合理的技術(shù)才是我們所事實(shí)需要的。