黑洞防护系统在互联网数据中心的应用

数据中心最注重服务可用性，分布式拒绝服务攻击（DDOS）将造成骨干网络资源浪费、链路带宽堵塞、服务器资源耗尽，导致业务中断。黑洞防护系统提供了业界领先的防拒绝服务攻击能力，弥补了目前安全设备对服务攻击防护能力的不足，通过多种机制分析检测及灵活部署的方式，有效阻断攻击、保证合法流量的正常传输，对保障互联网数据中心业务系统运行的可用性和连续性有着极为重要的意义。

一、黑洞防护系统技术原理分析

         对于拒绝服务攻击的防护，目前有手工防护、路由器封堵、防火墙防护、IDS等手段，而对付DDOS攻击较有成效的是黑洞防护技术，它可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络整体的安全和性能。

         黑洞防护系统最早是由国内安全厂商绿盟科技设计并推出，采用流量牵引技术将指向目标的各种数据包从上游引进“黑洞”，通过流量清洗，将合法、恶意数据包进行区分，合法数据包流向目的地、恶意数据包被丢弃，从而保全基础网络和客户的正常业务。

         1．黑洞防护系统的设计思想
         黑洞防护系统功能专一，追求效率和精准，通过智能的数据包识别算法降低拒绝服务攻击行为对网络的危害；具有全面防御能力，能抵御包括SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood、Connection Flood、HTTP Get Flood在内的各类DDOS攻击；提供防止多线程下载服务，有效减少大规模蠕虫爆发危害；能够针对复杂的网络环境灵活设置，支持多种网络协议，如OSPF、RIP、BCPv4、VRRP、VLAN等。

         2．黑洞防护系统的实现原理
         黑洞防护系统采用“算法+多重体系结构”的方式区分正常流量和攻击流量。

         关于算法，目前主要以“反向探测”和“指纹识别”算法为基础，可准确区分出恶意报文和正常访问数据报文。反向探测算法可针对TCP协议，验证数据包源地址和端口的正确性，在统计和分析流量的基础上，有针对性地使用反向探测；指纹识别算法则与协议无关，是一种通用算法，可采用自学习模式，取数据包PayLoad的固定位置进行比较，位置由1个Slide Window来控制。

         而多重防御检测是为了应对那些非流行的DOS攻击以及其他的变种攻击而设，黑洞技术架构中设计了4个专用引擎，以防止连接耗尽（用正常流量堵塞带宽），增强了对“以小吃大”资源比拼型攻击（包括大规模的多线程下载）的防护能力。

         黑洞的核心技术架构如图1所示，它是基于嵌入式系统设计，在系统核心实现防御拒绝服务攻击的算法。算法实现在网络协议栈的最底层，完全避免了TCP／UDP／IP等高层系统网络堆栈的处理，整个运算代价大大降低，系统效率较高。

         在正常情况下，核心技术架构只起网桥作用。它依据流量剃度算法或通过衡量承受能力的参照物，如SYNFlood、ACK Flood等每秒包的数量阈值，判断是否存在攻击。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文