中新金盾流量分析系統(tǒng)技術(shù)白皮書版本號：20140422 ,版權(quán)信息?安徽中新軟件有限公司，版權(quán)所有 2002－2014本文件所有內(nèi)容受版權(quán)保護(hù)并且歸中新軟件所有，未經(jīng)中新軟

中新金盾流量分析系統(tǒng)

技術(shù)白皮書

版本號：20140422

版權(quán)信息

?安徽中新軟件有限公司，版權(quán)所有 2002－2014

本文件所有內(nèi)容受版權(quán)保護(hù)并且歸中新軟件所有，未經(jīng)中新軟件明確書面許可，不得以任何形式復(fù)制、傳播本文件（全部或部分）。中新軟件、JDFW 、JDIS 、中新金盾抗拒絕服務(wù)系統(tǒng)及其它中新商標(biāo)均是安徽中新軟件有限公司注冊商標(biāo)，本文中涉及到的其它產(chǎn)品名稱和品牌為其相關(guān)公司或組織的商標(biāo)或注冊商標(biāo)，特此鳴謝。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 I ?2014 中新金盾

目錄

1 概述 ................................................................................................................................................................... 1

1.1

1.2

2 DDoS 對當(dāng)前網(wǎng)絡(luò)提出的挑戰(zhàn) ............................................................................................................ 1 常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足 ................................................................................................................... 1 攻擊分析 ........................................................................................................................................................... 2

2.1

2.2

2.3 常見的DDoS 原理簡介 ....................................................................................................................... 2 DDoS 分類 ............................................................................................................................................ 2 DDoS 攻擊發(fā)展趨勢 ............................................................................................................................ 3

攻擊目的產(chǎn)業(yè)化 --------------------------------------------------------------------------------------------------- 3

攻擊手段趨于復(fù)雜化 --------------------------------------------------------------------------------------------- 3

攻擊目標(biāo)趨于多樣化 --------------------------------------------------------------------------------------------- 3

攻擊流量趨于海量化 --------------------------------------------------------------------------------------------- 3 2.3.1 2.3.2 2.3.3 2.3.4

3 功能原理 ........................................................................................................................................................... 4

3.1 中新金盾流量分析系統(tǒng)功能簡介 ....................................................................................................... 4

精確智能的攻擊檢測及防護(hù) ----------------------------------------------------------------------------------- 4

簡潔豐富的WEB 管理-------------------------------------------------------------------------------------------- 4

專業(yè)健全的連接跟蹤機(jī)制 -------------------------------------------------------------------------------------- 4

通用方便的報文規(guī)則過濾 -------------------------------------------------------------------------------------- 5

便捷快速的抓包取證功能 -------------------------------------------------------------------------------------- 5 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5

4 產(chǎn)品優(yōu)勢 ........................................................................................................................................................... 5

4.1 技術(shù)優(yōu)勢 ............................................................................................................................................... 5

獨(dú)特的連接代理防護(hù)算法 -------------------------------------------------------------------------------------- 5

高效的連接數(shù)據(jù)轉(zhuǎn)發(fā)算法 -------------------------------------------------------------------------------------- 5

基于數(shù)據(jù)挖掘的通用防護(hù)算法 -------------------------------------------------------------------------------- 6

可擴(kuò)展的集群模式 ------------------------------------------------------------------------------------------------ 6

多平臺構(gòu)架支持及內(nèi)核防盜版技術(shù) ------------------------------------------------------------------------- 6

靈活多樣的部署方式 --------------------------------------------------------------------------------------------- 6 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6

4.2 服務(wù)優(yōu)勢 ............................................................................................................................................... 7

廣泛的行業(yè)解決方案 --------------------------------------------------------------------------------------------- 7

全面系統(tǒng)的專業(yè)培訓(xùn)服務(wù) -------------------------------------------------------------------------------------- 7

優(yōu)質(zhì)的售后服務(wù)體系 --------------------------------------------------------------------------------------------- 7 4.2.1 4.2.2 4.2.3

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 II ?2014 中新金盾

5 關(guān)于我們 ........................................................................................................................................................... 8 中新金盾流量分析系統(tǒng)-技術(shù)白皮書 III ?2014 中新金盾

1 概述

DDoS(Distributed Denial of Service)，即“分布式拒絕服務(wù)”，攻擊者通過控制多個傀儡主機(jī)向服務(wù)器發(fā)送大量請求，消耗網(wǎng)絡(luò)帶寬、占用服務(wù)資源，使服務(wù)器無法處理其他正常請求。

1.1 DDoS 對當(dāng)前網(wǎng)絡(luò)提出的挑戰(zhàn)

2009年5月19日，我國多地互聯(lián)網(wǎng)運(yùn)營商 DNS 服務(wù)器遭受拒絕服務(wù)攻擊，造成數(shù)以萬計用戶在數(shù)小時內(nèi)無法正常上網(wǎng)。2010年國內(nèi)某知名游戲公司驗(yàn)證服務(wù)器遭受惡意 DDoS 攻擊，造成游戲服務(wù)器中斷12小時。類似事件屢見不鮮，拒絕服務(wù)攻擊對當(dāng)前網(wǎng)絡(luò)的安全性已經(jīng)提出了嚴(yán)峻的挑戰(zhàn)。保證網(wǎng)絡(luò)環(huán)境有效運(yùn)行是互聯(lián)網(wǎng)業(yè)務(wù)提供商亟需解決的重要安全問題。而金盾抗拒絕服務(wù)產(chǎn)品以此為目標(biāo)，為您提供強(qiáng)有力的安全保障。

1.2 常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的種類非常多，但對DDoS 攻擊防護(hù)卻表現(xiàn)得非常薄弱。傳統(tǒng)防火墻、入侵檢測系統(tǒng)、路由器和交換機(jī)等，因其設(shè)計之初并未考慮對DDoS 的防護(hù)，而不能全面的對DDoS 攻擊進(jìn)行有效檢測和防護(hù)。

路由器的一些安全策略，如 ACL(訪問控制列表) 、QoS(服務(wù)質(zhì)量) 等，可以對非法的流量進(jìn)行過濾和對優(yōu)先服務(wù)提供保證。對于利用合法網(wǎng)絡(luò)訪問發(fā)動的拒絕服務(wù)攻擊，卻顯得無所適從。

防火墻是我們比較常用的網(wǎng)絡(luò)安全設(shè)備，它通過NAT 隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，通過設(shè)置DMZ 區(qū)(非軍事化區(qū)) 保護(hù)內(nèi)部網(wǎng)絡(luò)，通過三層數(shù)據(jù)包過濾非法數(shù)據(jù)。但防火墻的性能將成為瓶頸，若防火墻遭受海量拒絕服務(wù)攻擊，整個網(wǎng)絡(luò)必將陷入癱瘓。

IPS/IDS 作為當(dāng)前網(wǎng)絡(luò)攻擊防御和檢測的有力工具，主要基于特征規(guī)則庫檢測阻斷攻擊。但是常見的 DDoS 攻擊多以合法的數(shù)據(jù)包進(jìn)行流量攻擊，這樣IPS/IDS就很難通過規(guī)則對這些攻擊進(jìn)行檢測。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 1 ?2014 中新金盾

2 攻擊分析

2.1 常見的DDoS 原理簡介

對現(xiàn)有攻擊分析總結(jié)，可知常見的 DDoS 攻擊有 SYN Flood 、ACK Flood 、ICMP Flood 、UDP Flood 、DRDoS 、Land Flood、Fragments Flood、Fatboy 、DNS Query Flood 和CC 攻擊。本節(jié)將為您簡要介紹其中幾種攻擊的原理。

攻擊：利用 TCP 協(xié)議缺陷，發(fā)送海量偽造的 TCP 連接請求，從而使得被攻擊方資源耗

盡(CPU 滿負(fù)荷或內(nèi)存不足) 的攻擊方式。

攻擊：利用海量 ICMP 報文給服務(wù)器帶來較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于

目前很多抗拒絕服務(wù)產(chǎn)品直接過濾 ICMP 報文，因此 ICMP Flood出現(xiàn)的頻度較低，但變種偽造 IP 的 Flood ，Smurf 洪水攻擊(

反射攻擊) 卻愈發(fā)猛烈。

攻擊：向服務(wù)器發(fā)送具有 IP 源和目的地址甚至 TCP 源和目的端口完全一樣的偽造的 SYN

包，使服務(wù)器創(chuàng)建大量空連接而無法承受這么多流量癱瘓或重啟。

攻擊：CC 其前身名為Fatboy 攻擊，攻擊者借助代理服務(wù)器生成指向受害主機(jī)的合法請求, 實(shí)現(xiàn)對服務(wù)器資源的惡意消耗。

攻擊：利用向被攻擊的 DNS 服務(wù)器發(fā)送海量偽造域名的解析請求，以達(dá)到消耗

服務(wù)器系統(tǒng)資源的目的。

攻擊：利用 IGMP 協(xié)議漏洞(無需認(rèn)證) ，發(fā)送大量偽造的 IGMP 數(shù)據(jù)包造成路由器、

防火墻等網(wǎng)關(guān)設(shè)備內(nèi)存耗盡，CPU 過載。

以上是最為常見的拒絕服務(wù)攻擊，隨著時間的推移新的攻擊類型及其變種層出不窮。作為專業(yè)的 DDoS 解決方案提供商，中新軟件時刻關(guān)注此類攻擊動向，快速制定相應(yīng)的解決方案，為您的網(wǎng)絡(luò)安全提供實(shí)時的全方位服務(wù)。

2.2 DDoS 分類

拒絕服務(wù)攻擊手段繁多，基于網(wǎng)絡(luò)協(xié)議類型可劃分為TCP 攻擊、UDP 攻擊、ICMP 攻擊、IP 攻擊等。其中針對TCP 的拒絕服務(wù)攻擊主要有SYN Flood 攻擊、ACK Flood 攻擊、CC 攻擊、Land 攻擊等。針對UDP 的拒絕服務(wù)攻擊主要有UDP Flood 、DNS Query Flood 攻擊等。針對ICMP 的攻擊主要有ICMP Flood。針對IP 的攻擊主要有Fragments Flood 攻擊、IGMP Flood 攻擊等。

為了便于更好的理解中新金盾流量分析系統(tǒng)的工作原理。中新金盾對拒絕服務(wù)分為流量型攻擊和連接型攻擊。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 2 ?2014 中新金盾

流量型攻擊：使用大量的包含偽造信息的數(shù)據(jù)包，耗盡服務(wù)器資源。主要包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Fragment Flood 和NonIP Flood 等。

連接型攻擊：使用大量的傀儡機(jī)，頻繁的連接服務(wù)器，形成虛假的客戶請求，耗盡服務(wù)器資源。主要包括CC 攻擊、HTTP Get Flood、IDDB 攻擊(又稱Logindrv 攻擊) 、假人攻擊等。

2.3 DDoS 攻擊發(fā)展趨勢

中新軟件自2002 年以來扎根抗拒絕服務(wù)攻擊領(lǐng)域，多年來通過對國內(nèi)外拒絕服務(wù)攻擊情況實(shí)時跟蹤分析，總結(jié)拒絕服務(wù)攻擊發(fā)展趨勢如下：

2.3.1 攻擊目的產(chǎn)業(yè)化

DDoS 攻擊逐漸從偶然攻擊動機(jī)轉(zhuǎn)變?yōu)樽非蠼?jīng)濟(jì)利益的謀利手段，如產(chǎn)業(yè)競爭、經(jīng)濟(jì)敲詐等，并逐漸形成一個成熟的DDoS 攻擊市場及與之相對應(yīng)的地下產(chǎn)業(yè)鏈。

2.3.2 攻擊手段趨于復(fù)雜化

攻擊者通過組合多種攻擊方式，隨機(jī)偽造各種正常報文。如攻擊包有時隨機(jī)、有時固定、有時分片；攻擊報文長度有時超長、有時超短；寬帶型攻擊夾帶應(yīng)用型混合攻擊。

2.3.3 攻擊目標(biāo)趨于多樣化

從早前攻擊針對網(wǎng)絡(luò)層，消耗鏈路帶寬和被攻擊服務(wù)器系統(tǒng)資源，演變?yōu)獒槍Σ煌瑯I(yè)務(wù)特點(diǎn)進(jìn)行攻擊。如慢速向Web 服務(wù)器發(fā)送數(shù)據(jù)查詢請求、向游戲服務(wù)器發(fā)送虛假人物登錄請求。

2.3.4 攻擊流量趨于海量化

進(jìn)入21世紀(jì)國內(nèi)互聯(lián)網(wǎng)運(yùn)營商加速寬帶網(wǎng)絡(luò)建設(shè)，此后DDoS 攻擊逐漸活躍，單次攻擊規(guī)模逐年增大。如2002年中新軟件監(jiān)測到大規(guī)模攻擊流量不過千兆，而2011年監(jiān)測到單次攻擊最高已達(dá)到70G 。十年間攻擊規(guī)模的不斷遞增，攻擊流量海量化已成事實(shí)。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 3 ?2014 中新金盾

3 功能原理

中新軟件通過近十年的發(fā)展以及在抗拒絕服務(wù)產(chǎn)品研發(fā)、生產(chǎn)和部署中，形成了具有自主知識產(chǎn)權(quán)、性能優(yōu)越、品質(zhì)優(yōu)秀的金盾抗拒絕服務(wù)系統(tǒng)，可為您的信息系統(tǒng)提供完善的安全保護(hù)。一流的核心模塊，高效的防護(hù)算法使得本系列產(chǎn)品成為抗拒絕服務(wù)的防護(hù)金盾。

本章將介紹中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品實(shí)現(xiàn)的功能和工作原理。使您對本系列產(chǎn)品的性能優(yōu)勢有一個深入的了解。

3.1 中新金盾流量分析系統(tǒng)功能簡介

中新軟件金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，功能豐富，界面簡潔，便于管理。概括起來有以下主要功能和技術(shù)優(yōu)勢。

3.1.1 精確智能的攻擊檢測及防護(hù)

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，擁有智能參數(shù)閥值，對SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep 等流量型攻擊，HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted 等連接型攻擊和Smurf 、Land-based 、Teardrop 、Fragment Flood、Red Code 等漏洞型攻擊及其他各種常見的攻擊行為均可有效識別，并通過聯(lián)動金盾抗拒絕服務(wù)系統(tǒng)對這些攻擊流量進(jìn)行阻斷處理，保障業(yè)務(wù)系統(tǒng)正常運(yùn)行。

3.1.2 簡潔豐富的WEB 管理

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品具有豐富的設(shè)備管理功能，基于簡潔的Web 管理方式，支持本地或遠(yuǎn)程升級。同時，豐富的日志和審計功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對攻擊進(jìn)行實(shí)時監(jiān)測，還能對攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計分析，便于對攻擊事件進(jìn)行有效的跟蹤和追查。整個Web 界面主要有狀態(tài)監(jiān)控、攻擊防御、日志分析、系統(tǒng)配置和服務(wù)支持五個模塊。

3.1.3 專業(yè)健全的連接跟蹤機(jī)制

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，內(nèi)部實(shí)現(xiàn)了完整的TCP/IP 協(xié)議族，具有強(qiáng)大的連接跟中新金盾流量分析系統(tǒng)-技術(shù)白皮書 4 ?2014 中新金盾

蹤能力。每個進(jìn)出的連接，防火墻都會根據(jù)其源地址進(jìn)行分類，并顯示出來給用戶，方便用戶對受保護(hù)主機(jī)狀態(tài)的監(jiān)控。同時還提供連接超時，重置連接等輔助功能，彌補(bǔ)了TCP/IP 協(xié)議族本身的不足，使您的服務(wù)器在面對拒絕服務(wù)攻擊中游刃有余。

3.1.4 通用方便的報文規(guī)則過濾

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，除了提供專業(yè)的DoS/DDoS 攻擊檢測及防護(hù)外，還提供了面向報文的通用規(guī)則匹配功能，可設(shè)置的域，包括IP 地址、端口、TCP 標(biāo)志位、關(guān)鍵字、協(xié)議等，極大的提高了通用性及防護(hù)力度。同時內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測等多項(xiàng)功能，易于使用。

3.1.5 便捷快速的抓包取證功能

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，內(nèi)置抓包工具，具有數(shù)據(jù)包捕獲功能，依據(jù)自行設(shè)置的條件啟動抓包任務(wù)，針對DoS/DDoS 攻擊，獲取符合抓包條件的網(wǎng)絡(luò)數(shù)據(jù)包，為電子取證提供依據(jù)。

4 產(chǎn)品優(yōu)勢

通過多年市場發(fā)展，中新金盾流量分析系統(tǒng)擁有獨(dú)立自主的技術(shù)專利，具有優(yōu)秀的技術(shù)和系統(tǒng)的服務(wù)優(yōu)勢。為您的網(wǎng)絡(luò)提供系統(tǒng)的安全服務(wù)。

4.1 技術(shù)優(yōu)勢

4.1.1 獨(dú)特的連接代理防護(hù)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品中應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法。針對SYN 攻擊，采用SYN Proxy 連接代理防護(hù)模式，以代理模式處理客戶端與服務(wù)器之間的連接。

4.1.2 高效的連接數(shù)據(jù)轉(zhuǎn)發(fā)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用自主研發(fā)的TCP Fast Rechecksum 技術(shù)，高效的處理來自TCP 的連接數(shù)據(jù)及其校驗(yàn)和，并進(jìn)行快速轉(zhuǎn)發(fā)，而無需重新統(tǒng)計報文數(shù)據(jù)。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 5 ?2014 中新金盾

4.1.3 基于數(shù)據(jù)挖掘的通用防護(hù)算法

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Generic Protection Based On Data Mining 技術(shù)即基于數(shù)據(jù)挖掘的通用防護(hù)算法，對于開啟保護(hù)的服務(wù)器，防護(hù)模塊會自動對客戶端與服務(wù)器端的通信進(jìn)行數(shù)據(jù)統(tǒng)計與挖掘，察覺惡意流量，有效率高達(dá)90以上。

4.1.4 可擴(kuò)展的集群模式

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Extensible Firewall Cluster Mode 即可擴(kuò)展的集群模式，通過領(lǐng)先的數(shù)據(jù)分流技術(shù)，使得若干設(shè)備可組合形成更大的防護(hù)主體，提供海量攻擊的檢測解決方案。

4.1.5 多平臺構(gòu)架支持及內(nèi)核防盜版技術(shù)

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，采用Multiple Platform & Architecture Support技術(shù)，實(shí)現(xiàn)了基于Windows NDIS 的軟件產(chǎn)品，基于Linux 內(nèi)核的硬件產(chǎn)品，支持X86、AMD64、IA64、NP 架構(gòu)，擁有千兆級、萬兆級多種防護(hù)級別的產(chǎn)品。同時采用Anti-Cracking Mechanism In Kernel 技術(shù)，實(shí)現(xiàn)對系統(tǒng)核心的加密技術(shù)，使得本系統(tǒng)具有很強(qiáng)的防盜版、防拷貝能力。

4.1.6 靈活多樣的部署方式

中新金盾流量分析系統(tǒng)Detector 系列產(chǎn)品，支持IEEE802.3AD 和IEEE802.1Q 等其他路由交換協(xié)議。具備多種環(huán)境部署能力。

中新金盾流量分析系統(tǒng)-技術(shù)白皮書 6 ?2014 中新金盾