ddos硬件防火墙 防ddos的防火墙推荐

什么是DDOS?

本文开始之前,小编把小编的经验告诉大家

如果是公司或者托管到其他机房的网站,不需要自己假设。,只需要租用或者托管有防火墙的机房即可,如果没有怎么办?

那么就利用市场上领先的CDN吧,用了CDN,几十个IP,不可能各个打死吧,在说一般CDN商都会把节点放在抗攻击的机房里面。

这个是目前最省钱的方式。

而且市场上有免费的CDN防火墙。

1:上海云盾。

2:百度云加速。

3:360网站安全卫士

 

DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。

 

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。[1]

DDOS攻击

DDoS攻击通过大量合法的请求占用大量网络资源,以达到服务器瘫痪网络的目的,通过使网络过载来干扰甚至阻断正常的网络通讯;令瓦还可以向服务器提交大量请求,使服务器超负荷;或阻断某一用户访问服务器;甚至阻断某服务与特定系统或个人的通讯,达到破坏的作用。

通俗的说,DDoS攻击就指向一台性能与网络宽带有限的服务器短期发动大量的访问请求,直到服务器或者宽带承受极限,从而导致后期服务器无法正常运行的目的。

 

硬件防火墙品牌排名:
Juniper
华为赛门铁克
思科
H3C
天融信
山石网科
飞塔
联想网御
NETGEAR
启明星辰

热门防火墙排名:
Juniper SSG-140-SH
华为赛门铁克USG2210
CISCO ASA5510-K8
H3C SecPath U200-CS-AC
天融信NGFW4000-UF(TG-5130)
Hillstone SG-6000-M2105
FORTINET FortiGate-110C
NETGEAR FVS318
联想网御Power V-220UTM
启明星辰USG-FW-810C

 

 Dosnipe防火墙:

Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机),可以承受恶劣的运行环境,保障设备稳定运行;软件平台是FreeBSD,核心部分算法是自主研发的单向一次性非法数据包识别方法,所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/DDoS攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等),针对CC攻击,已推出DosNipe V8.0版本,此核心极其高效安全,在以往抵御一切拒绝服务攻击的基础上,新增加了抵挡CC攻击,新算法可以高效的抵御所有CC攻击及其变种,识别准确率为100%,没有任何误判的可能性。

Dosnipe防火墙去年升级之后,具备更多的新特性:

·彻底解决最新的M2攻击。

·支持多线路,多路由接入功能。

·支持流量控制功能。

·更强大的过滤功能。

·最新升级,彻底高效的解决所有DDoS攻击,cc攻击的识别率为100%

 黑洞抗DDOS防火墙

黑洞抗DDOS防火墙是国内IDC中应用比较广泛的一款抗DoS、DDoS攻击产品,其技术比较成熟,而且防护效果显著,已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器,使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率,核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。

  黑洞所带来的防护:

·自身安全:无IP地址,网络隐身。

·能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

·可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质、抑制网络蠕虫扩散。

·可以防护DNS Query Flood,保护DNS服务器正常运行。

·可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。

金盾抗DDOS防火墙

金盾抗DDOS防火墙由合肥中新软件有限公司开发,是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户,尤其对一些大型的娱乐站点和重要企业站点的网络流畅起到了重要的安全保护作用。

产品目前采用了最底层驱动技术,提供完善的面向连接操作。公司在长期ISP运营和致力于网络安全的研究过程中,研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明,目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。

金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种,可防各类 DoS/DDoS攻击,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各种变种如Land,Teardrop,Smurf,Ping of Death等。

据说全国有近半的电信和网通机房都有其产品,金盾防火墙是专门针对DDoS攻击和黑客入侵而设计的专业级防火墙,该设备采用自主研发的新一代抗拒绝攻击算法,可达到10万-100万个并发攻击的防御能力,同时对正常用户的连接和使用没有影响。专用得体系结构可改变TCP/IP的内核,在系统核心实现防御拒绝攻击的算法,并创造性的将算法实现在网络驱动层,效率没有受到限制。同时可防御多种拒绝服务攻击及其变种,如:SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。

  分析:

当然也有一些技术人员提出观点,认为从原则上说,上面类似产品不能说是防火墙,应该说一种异常流量清洗系统;现在的DDOS防御技术在防火墙也有,但防火墙的能力有限,不能很深入的针对每一个阀值参数进行分析和执行,而只有一个执行,而且执行的度量是定死了;没有一个学习后再细化,这就是防火墙的弱点,但这种产品一般是在高带宽流量的环境应用,说白一点,是放到运营商上面应用,所以产品的性能要求十分严苛,要经得起考验,这不是闹着玩;因为这套东西,运营商拿去也是给增值服务客户应用的,要收钱的,如果不能抵御一定流量的攻击客户肯定会翻脸。

那么,大家最关心的问题:这些硬件防火墙到底能不能防DDOS呢?

  这些硬件防火墙到底能不能防DDOS:

大体上说是可以的,根据我们的了解,国内大部分机房都是表示金盾效果还过得去,黑洞效果则更好一些,而Dosnipe由于合作的机房相对要少一些,所以收到的反馈意见不多,不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

但是,如果DDoS攻击者加大攻击的流量,大量消耗机房的出口总带宽时,任何一款防火墙都相当于摆设,因为不管防火墙处理能力有多强,出去的带宽已经被耗尽了,整个机房在外面看来就都是处于掉线状态,就像一个大门已经挤满了人,不管你在门里安排多少个警卫检查都没用,外面的人还是进不来,而现在的攻击者的行为大部分是出于商业目的,动辄G级别的攻击,一些机房本来带宽就不是很足够,一遭到大流量的攻击肯定是整个机房大面积掉线,防火墙虽然检测到攻击,也只能是过滤掉那些非法数据包,保护内部的网络设备和服务器不受重创,但掉线是机房总带宽不足所导致,用再好的防火墙都无济于事。

因此,即使很多机房都号称采用多好的硬件防火墙,可以防御多大流量的攻击,但如果你的服务器真的遭到大流量攻击,机房还是不敢放你进去,因为会影响到其他服务器的正常访问,而且托管一台服务器收取的费用本来就不多,为了做成这么一笔小生意而招惹大麻烦,运营商肯定觉得不划算,最可怜的还是那些机房的网管人员,得手忙脚乱的封IP。

现今的IDC市场基本上已经到了缺乏有效的拒绝服务攻击防御手段将无法进行稳定的IDC业务运营的境地。
近年来,随着木马、病毒的日益泛滥,互联网拒绝服务攻击的频度和攻击流量也随之急速增加,在攻击方式、攻击技术和攻击资源不断成熟的同时,抗拒绝服务的相关软硬件产品也获得了长足的发展。现今的IDC市场基本上已经到了缺乏有效的拒绝服务攻击防御手段将无法进行稳定的IDC业务运营的境地。
但拒绝服务防御产品种类繁多,价格差异也非常大,从几百元安装在目标服务器上对单台服务器进行保护的软件防火墙到几万甚至十几万元的百兆、千兆硬件防火墙,包括新出现的提供硬件防火墙方案并协助客户DIY硬件防火墙的实惠的替代方案等,客户往往无所适从,尤其对DIY硬件防火墙所使用的相关技术、防御能力等不了解,使其在选择时往往无所适从。
在使用过各种拒绝服务攻击DDOS防火墙防御产品和方案后,本文笔者将就现今主流的拒绝服务攻击方式、相应防御手段及对应的防御策略来剖析现今各种主流攻击防御手段的优劣因为拒绝服务攻击,IDC行业进入门槛无形被提升了许多。对IDC市场了解的投资者在进行IDC机房投资时时不得不考虑相应的拒绝服务攻击防御策略。目前可供选择的拒绝服务攻击(DDoS)解决方案大概分为:
1、 软件防火墙解决方案
2、 硬件防火墙解决方案
3、 DIY硬件防火墙解决方案
第一节 成本比较
对于IDC运营而言,从成本和防御特点上分线,其优缺点如下:
1、 软件防火墙解决方案因为是安装在被保护的服务器上,其防御能力和防御区域有限,在攻击流量稍大的情况下,对目标服务器硬件资源占用严重,且如果机房服务器数量较多,整体成本也很高。但软件防火墙安装方便,不用动硬件设备,部署很灵活。
2、 硬件防火墙是目前IDC广泛采用且能起到实际效果的防御方案,其缺点是投资成本过高,中小IDC很难接受,购买成本一般在百兆产品在2-4万元,千兆在6-8万元左右。如果需要对高带宽进行防御,群集成本更高。
3、 新出现的DIY硬件防火墙方案。和软件防火墙不同,DIY硬件防火墙方案是通过安装在客户自行准备的硬件平台上的内核软件实现和一般硬件防火墙相同的防御能力和防御功能。由于硬件平台有用户自行准备,所以可以利用现有设备,将整体拥有成本降至最低。一般而言,百兆防御成本大概为1000元每机房每月,千兆防御为1500元每月。
对于防御能力而言,软件防火墙因为其模式上的缺陷,无法对整个机柜或机房建立保护,过滤攻击数据包时消耗的系统资源也会影响目标系统的正常应用,所以在这里不予评价。
现在硬件防火墙全部是X86架构,通俗来说,防火墙硬件就是一台电脑,并不是专门用于网络处理的专用处理芯片,和DIY硬件防火墙防御模式相同,均能对整个机柜和机房进行保护,并能群集防御高流量攻击,所以我们将视线集中在硬件防火墙和DIY硬件防火墙上。
防御能力及整体拥有成本对比:
从拥有成本对表表格来看,硬件防火墙作为主流防御手段,其整体拥有成本也很高,作为折中方案的DIY硬件防火墙,其提供的按月收取服务费的方式倒是很好的解决了IDC面临的资金压力和投资风险等问题。
第二节 防御功能对比(攻击方式篇)
谈到防御功能,我们就不能不分析一下目前国内互联网上主要的拒绝服务攻击手段,现今互联网上主要使用的攻击手段有:SYN-FLOOD:老牌DDOS攻击方式,利用TCP协议三次握手的弱点发起的攻击,特点是攻击源地址是虚假地址,不容易跟踪到攻击源。攻击者在单位时间内构造的TCP-SYN数据包数量越多,其攻击效果就越显著。
单一原址SYN攻击:针对目前群集DDOS防火墙防御利用三层交换设备(如Cisco三层交换机)进行端口聚合和负载均衡时均衡算法的漏洞,使用真实的或者虚拟成单一源地址和相同的源端口进行攻击。此种攻击方式在大部分三层交换设备上会通过单一线路进行交换,从而削弱群集防御的效果。
真实原址SYN攻击:针对某些软件防火墙和硬件防火墙的防御原理,专门针对防火墙的反向寻址防御方式发起的攻击方式。最近两年网络傀儡机价值链的建立,使得真实原址SYN攻击成为现在互联网上较多的一种攻击方式,攻击者通过控制的众多的傀儡机进行攻击数据包的发送。
SYN大包攻击:和一般SYN攻击不同,SYN大包攻击是通过构造超大的TCP数据包,造成被攻击目标网络堵塞的方式达到攻击效果,和普通SYN不同,发起同样流量的攻击,发送超大数据包占用发送端的系统资源更少。
UDP大包攻击:相对于TCP协议数据包而言,攻击端仅需要更少的系统资源就能构建出UDP数据包,这也为攻击者大肆发送UDP攻击包提供了条件,UDP攻击一般是通过超大数据包堵塞网络带宽来实现。
代理CC攻击:最初由中华攻客的攻击软件引发的互联网大量代理CC攻击。通过收集互联网上出现的大量免费开放代理服务器,通过对这些服务器提交大量针对攻击目的地址的访问请求,由代理服务器中转进行的攻击。代理CC攻击因其发起端仅需要一条普通宽带线路,其攻击地址又是真实地址(代理服务器地址),曾一度使得众多网络运营者深受其害。
SYN-ACK、PSH-ACK等:针对TCP连接的各种弱点发起的攻击方式。
传奇DB攻击:专门针对传奇数据库的攻击方式,也是由中华攻客最先写的攻击程序,其攻击方式是模拟传奇客户段账号创建动作,使得传奇服务器瘫痪。
传奇刷小人攻击:通过不停的上下线和模拟登陆,使得传奇服务器瘫痪。
以上的相关内容就是对主流硬件DDOS防火墙防御功能对比的介绍,望你能有所收获。

在果壳网任职期间经历过多次DDoS攻击。那种绝望的心情,还历历在目。问题不是你能做什么,而是机房决定了其实你什么都做不了。

攻击者是控制一个足够大的分布式集群来发起攻击,各种杂七杂八的包,什么都会有。根本不在乎你开的什么服务,也没那耐心分析你有什么服务。比如哪怕你根本没开UDP的任何服务,但他就是发一大堆UDP的包,把你带宽占满。还有啥办法。

十多年前的OS还没法应付大量TCP并发连接,于是那个年代有个SYN flood攻击,就是一大堆SYN包尝试握手。现代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通信能力。

更现实的问题在于,机房的总带宽有限。当你的服务器IP段受到攻击时,他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击,但攻击包根本就没到机房,更别说服务器,于是只能是守着服务器,毫无流量,等待。

上级接入商大多是垄断国企,根本没耐心跟你做任何深层次合作,直接丢包是最简单方便的方法。同时,即便此时攻击者停止了攻击,你也不知道。而想要上级接入商重新开启给你的包转发,动则就是个一天的流程。而一旦发现攻击还没完,就立刻又是丢包。

那几年被攻击时,也火烧火燎的找办法。尝试将网站部署到云计算平台上,依靠对方提供的带宽冗余来顶。甚至可能只是拼短期带宽的费用。当时国内的云计算提供商试了好几家,最终都因为没有足够的带宽应对攻击而拒绝了我们。他们都是出于对果壳网的喜爱和免费帮忙的,能做到这一步也挺不容易了。

有人提到攻击弱点,我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点,比如很多网站的首页会做静态化,所以攻击首页就不划算。图片同理,对CPU消耗太小了。

几个常见的弱点:

1、登录认证
2、评论
3、用户动态
4、ajax api

总之涉嫌写数据库,联表查询,缓存涧出的都是好目标。

所以,回答就是:没有啥好办法,耐心等待吧。

看了其他几个回答提供的方案,分别分析一下:

1、拼带宽:或者说拼软妹币,这不是一点点钱能搞定的,果壳网彼时只买了不足100M带宽,所在早期机房总带宽也不足40G,攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深),带宽价格为100元/M*月,每月按峰值计费。则要买10G带宽顶一下,需要的月费是100万,100万……

2、流量清洗&封IP:如前述,要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房,无解

3、CDN服务:现代CDN提供商还没有完善的动态网页加速技术,所以结果就是,你充其量利用CDN保住静态化的主页可以访问,其他任何动态网站功能就只能呵呵了。

方法如下,自行选择:

1 砸带宽,超过D的就好了;
2 封ip,宁可错杀一千,不放过一个;
3 搞定实施D你的组织(一般不是竞争对手),让他停止D;
4 把服务器搞到让组织D你的人的(比如竞争对手)同一个机房。

上面方法,4的最奏效 @:@

---更新----
时间可以撕破任何装X,遇到CC之类的攻击,基本无解。

更多
  • 该日志由 于2017年12月14日发表在 未分类 分类下, 你可以发表评论,并在保留原文地址 及作者的情况下引用到你的网站或博客。
  • 本文链接: ddos硬件防火墙 防ddos的防火墙推荐 | 帮助信息-动天数据
  • 文章标签:
  • 版权所有: 帮助信息-动天数据-转载请标明出处
  • 【上一篇】 【下一篇】

    0 Comments.