独特的Anti-DoS网关防御技术
.pic/016.jpg' border=0>
dos(denial of service)和ddos
(distributed denial of service)是未来几年中internet 上黑客最常用的也是最难防御的攻击方式。在2001 年,世界许多知名机构和网站都不同程度的遭受了它的攻击,世界最大的门户网站雅虎(yahoo.com)遭受损失高达上亿美元。拒绝服务方式的攻击行为使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的服务,最常见的dos 攻击有网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过,比如smurf 攻击。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,比如synflood 攻击,在此基础之上的分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动dos 攻击,从而成倍地提高拒绝服务攻击的威力。网络入侵检测工具(nids)只能检测到dos 攻击,并不能有效的阻止它的破坏行为,因此在网关的anti-dos 技术成为当前网络安全厂商的攻坚课题。linktrust. cyberwall 防火墙在国内率先实现了针对多种dos 或ddos 的攻击防范,在攻击包进入企业网络之前将其堵在门外,系统可以根据用户的设置对访问信息进行检查,从而抵挡住以下类型的dos 或ddos 攻击:
synflood 攻击:synflood 是当今最常见的dos 攻击,它通过向服务器发送大量的虚假syn请求包耗尽服务器资源,导致合法用户无法访问。linktrust. cyberwall 防火墙通过增强的syn-cookie 技术实现了对synflood 攻击的防范。在收到客户端的syn 包后,防火墙代替服务器向客户端发送syn-ack 包,如果客户端在一段时间内没有应答或中间的网络设备发回了icmp错误消息,防火墙则丢弃此状态信息;如果客户端的ack 到达,防火墙代替客户端向服务器发送syn 包,并完成后续的握手最终建立客户端到服务器的连接。通过这种syn-cookie 技术,保证了每个syn 包源的真实有效性,确保服务器不被虚假请求浪费资源,从而彻底防范了对服务器的synflood 攻击。
land 攻击:在land 攻击(一种syn 攻击的简单混合)中,大量的syn 数据包发送到目标系统,这些特别打造的syn 包中的原地址和目标地址都伪装成目标系统的网络地址。这时将导致目标系统向它自己的地址发送syn 一ack消息,结果这个地址又发回ack 消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,即使在修正了syn 漏洞的系统上,有些系统也会被land 攻击以至出现问题。linktrust. cyberwall 防火墙通过丢弃所有源地址和目的地址相同的数据包实现对land 攻击的防范。
tear drop 攻击:ip 数据包在internet 上传递时,数据包可以分成更小的片断。每个片断看起来都象原来的ip 数据包,不同之处在于,每个片断里都包含一个偏移字段,说明这个片断是原来数据包的哪一部分, teardrop 程序可以生成一系列ip 片断,这些ip 片断的偏移字段彼此重叠。当这些ip 片断到达目标主机,进行重组的时候,某些系统就会崩溃、挂起或重启动。
linktrust cyberwall 防火墙通过识别分片包的偏移量来实现对tear drop 攻击和其它ip 碎片攻击的防范。
ping of death 攻击:由于在早期的阶段,路由器对所传输的文件包最大尺寸都有限制,许多操作系统对tcp/ip 的实现在icmp 包上都是规定64kb,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,一旦产生畸形即声称自己的尺寸超过icmp 上限的包,也就是加载的尺寸超过64kb 上限时,就会出现内存分配错误,导致tcp/ip 堆栈崩溃,致使接收方当机。一般这种字节数大于64kb 的包都是通过ip 分片发送,linktrust. cyberwall 防火墙通过重组分片包来识别并挫败这种攻击。
smurf 攻击:smurf 是一种强力攻击,它向路由器发送大量目标地址为广播地址的icmp echo 请求包,路由器会把icmp echo 请求以广播形式发给网络上的所有主机,如果有大量主机,那么这种广播就会造成巨大的icmp echo 请求及响应流量,如果攻击时使用了虚假的源地址,那么攻击所造成的流量不仅会阻塞目标网络,还会阻塞被冒用源地址所在的网络。,linktrust cyberwall 防火墙可以丢弃所有目标地址为广播地址的icmp 包,从而挫败smurf 攻击。
icmp flood 攻击:大量的icmp 包会造成网络堵塞或服务器资源耗尽,防火墙通过限制icmp 包的流量来实现对这种攻击的防范。