Chinaunix首页 | 论坛 | 博客
  • 博客访问: 205226
  • 博文数量: 41
  • 博客积分: 1102
  • 博客等级: 少尉
  • 技术积分: 553
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-23 10:06
文章分类
文章存档

2012年(1)

2011年(40)

分类: 网络与安全

2011-11-15 16:01:28

             抗DoSDDoS防火墙产品大检阅

DDoS(分布式拒绝服务)攻击是利用TCP/IP进行的一种简单而致命的网络攻击,由于TCP/IP的这种会话机制无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有设备还会因为有限的处理能力陷入瘫痪,成为运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。

  今天,我们就为大家介绍一下国内软件开发商针对这类攻击而开发的抗DoSDDoS软硬件产品,由于各个公司的硬件一般都是在LINUX主机上安装其相应的软件防火墙产品,所以两者就不进行区分介绍了。

  目前国内抗DDOS防火墙比较知名的,同时信誉度和使用效果也比较好的应该是黑洞、金盾和傲盾的产品。一些其他的所谓“XXDDoS防火墙多半是这些版本的抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西,我们无法对各款产品进行实际应用的考证,因此只能建议大家购买正规而专业的抗DDOS防火墙。

  黑洞抗DDoS防火墙

  黑洞抗DDoS防火墙是国内IDC中应用比较广泛的一款抗DoSDDoS攻击产品,其比较成熟,而且防护效果显著,已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器,使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率,核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN CookieRandom Drop等算法。

  黑洞所带来的防护:

  自身安全:IP地址,隐身。

  能够对SYN FloodUDP FloodICMP Flood(M)Stream Flood等各类DoS攻击进行防护。

  可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制蠕虫的扩散。

  可以防护DNS Query Flood,保护DNS服务器正常运行。

  可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。

  金盾抗DDOS防火墙

  金盾抗DDOS防火墙由合肥中新软件有限公司开发,是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户,尤其对一些大型的娱乐站点和重要企业站点的流畅起到了重要的安全保护作用。

  产品目前采用了最底层驱动,提供完善的面向连接操作。公司在长期ISP运营和致力于安全的研究过程中,研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明,目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。

  金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种,可防各类 DoS/DDoS攻击,如 SYN FloodTCP FloodUDP FloodICMP Flood及其各种变种如LandTeardropSmurfPing of Death等。

  傲盾ddos防火墙

  傲盾安全网的知名品牌傲盾防火墙是一套全面、创新、高安全性、高性能的安全。傲盾ddos防火墙具有DDOSDOS攻击防御、NAT地址转换功能、特有TCP标志位检测功能,傲盾ddos防火墙具有世界领先的数据流指纹检测、独立开发的高效率核心等特点,是国内一家可完全抵御ACKDOSDDOSSYNFLOODFATBOY及各种变种如LandTeardropSmurfPing of DeathFATBOY等攻击的全防御安全产品,致力于为个大企业、事业机关及服务商提供完整的信息安全的解决方案及全面的支持服务!

  傲盾ddos防火墙特点:

  阻止DOS攻击:TearDropLandJoltIGMP NukerBoinkSmurfBonkBigPingOOB等数百种

  抵御DDOS攻击:SYN/ACK FloodUDPFloodICMP FloodTCP Flood等所有流行的DDOS攻击

  拒绝TCP全连接攻击:某一IP对服务器特定端口的大量连接资源耗尽攻击

  防止脚本攻击:专业防范ASPPHPPERLJSP 等脚本程序的Flood攻击

  对付DDOS工具:XDOSHGODSYNKILLERCCGZDOSPKDOSJDOSKKDOSSUPERDDOSFATBOYSYNKFW等数十种

  超强Web过滤:过滤URL关键字、Unicode恶意编码、脚本、防上传

  侦测黑客:智能检测Port扫描、SQL注入、密码猜测、Expolit利用等2000多种黑客行为并阻断。

  天傲防火墙

  天傲防火墙目前是国内一家可完全抵御ACKDOS/DDOSSYNFLOODFATBOYCCdrdos及各种变种如LandTeardropSmurfPing of DeathFATBOY等攻击的全防御安全产品,致力于为各大企业、事业机关、服务商及游戏运营商,提供完整的信息安全解决方案及全面的支持服务,天傲软件抗DDOS版防火墙是采用的算法,可以在丢弃上百万攻击包的同时采用底层驱动丢包模式,丢弃上百万攻击包,不耗费任何系统资源。防御100M攻击流量同时CPU耗费不会超过3%

  天傲硬件防火墙置于交换机前面独立存在,可保护防火墙后挂接的所有交换机和服务器,硬件防火墙采用透明模式,无I址限定,即插即用,百兆硬防拥有6个标准网卡接口,不限制连接数,千兆防火墙拥有四个光电接口,4个网卡接口。

  以下产品在我们撰写本文时并未得到大部分人员的肯定,简介摘自产品开发者官方网站,不敢保证其信息的完全正确,资料仅供读者参考,大家可以根据各自的了解进行判断选择。

  冰盾抗DDOS防火墙

  冰盾抗DDOS防火墙(Bingdun Anti-DDOS Firewall)来自IT技术世界一流的美国硅谷,由华人留学生Mr.Bingle WangMr.Buick Zhang设计开发,采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客行为,防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明:在抗DDOS攻击方面,工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击,工作于1000M网卡冰盾约可抵御160万个SYN攻击包;在防黑客入侵方面,冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan上传、Exploit利用等2000多种黑客入侵行为并自动阻止,是迄今为止在抗DDOS领域功能最为强大的防火墙产品之一。

  冰盾是专业级别抗DDOS防火强,在阻止DOS攻击、抵御DDOS攻击 、拒绝TCP全连接攻击、防止脚本攻击、安全Web过滤和侦测并阻止黑客入侵方面有其独到的特色,冰盾抗DDOS防火墙工作在系统的最底层,采用ActiveDefense微内核防御技术和基于生物基因的智能识别,从低到高,细粒度逐层控制,从而真正意义上防御了各个层次的DOSDDOS攻击。

  天盾Xddos防火墙

  天盾Xddos防火墙是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙,适用于保护各类互联网服务器。Ddos

  是互联网上对网络服务器威胁最大的攻击,随着攻击软件网上随意下载的越来越多(google和百度搜索比比皆是),广大服务器管理者越来越需要一种专门的防御ddos攻击的防火墙。天盾Xddos防火墙基于网卡驱动底层开发,使用了最先进的算法,标准版就可以防御各类ddos攻击(包括最新的cc),高级版更可以DIY千兆的网桥式防火墙。

  天盾硬件防火墙抗DDOS版不会有占用系统资源的问题,他的工作原理是当你的网站不被DDOS攻击的时候防火墙本身并不工作,不对任何一个数据包进行验证或者拦截,所以更不会给的质量和速度带来丝毫的影响,防火墙采用底层TC/IP内核开发,从设计原理上来说就已经把占用系统资源降低到了最小,内置强大的IDS模块在你的网站一旦受到DDOS攻击的时候立刻投入工作处理一切非法的请求包,但是不会丢掉任何一个正常合法的数据包。即使在大量处理攻击包的时候,合法数据包会也成功连接100%,响应时间不会超过1秒,所以即便在这个时候正常客户浏览你的网站也不会感觉到慢,FTP下载也是正常。硬件防火墙置于交换机前面独立存在,对硬件环境无特殊要求。

  网盾软件DDOS防火墙

  网盾防火墙是一款全功能并带有DOS攻击防护,DDOS攻击防护,SYN攻击防护等功能的防火墙产品,完全不限制服务器连接数,功能更胜一筹,目前多数防DDOS软件防火墙,仅有防御DOS攻击的功能,而没有其他防火墙应该必备的一些功能.遇到针对你服务器攻击的黑客,仍然无任何作用.网盾防火墙拥有强大的网络解析能力。可过滤经过精心伪装的恶意代码和攻击,有效阻止和预警各种攻击行为,对DDOS攻击和SQL注入等入侵的防护处于世界领先位置,这是其他安全软件 所无法做到的。

  网盾防火墙可全面应用在IDC机房托管、虚拟主机、游戏站、聊天站、音乐站、电影站、电子商务站、企业站、邮件服务器,私服等服务器上。

  总结:

  对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。

阅读(2442) | 评论(4) | 转发(0) |
给主人留下些什么吧!~~

wojiaohesen2011-11-28 23:52:07


太对了.

IT小虾2011-11-21 11:06:24

wojiaohesen: 能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护
似乎这些产品都能干这个事情, 可是我怎么就老是觉得他们就是改装了iptables呢.....
现在各个设备的主要的防护功能都声称具备,但是使用起来就差距很大,这就需要通过测试来体现了...是吧是吧.

IT小虾2011-11-21 10:59:28

现在各个设备的主要的防护功能都声称具备,但是使用起来就差距很大,这就需要通过测试来体现了...是吧是吧...

wojiaohesen2011-11-18 19:59:40

能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护
似乎这些产品都能干这个事情, 可是我怎么就老是觉得他们就是改装了iptables呢. 还有他们的算法真的就那么有效, 比方说slab内存管理算法, 当处理成均匀散列分布的大小的时候, 还那么有效吗?任何算法就怕出现最差情景