TopADS3000产品-技术白皮书.docVIP

天融信公司 PAGE 1 天融信异常流量管理与抗拒绝服务系统（TopADS系列） 技术白皮书 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话：(86)10传真：(86)10服务热线：400-610-5119 800-810-5119 Http: // 天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书 PAGE i 目 目录 TOC \o 1-3 \h \z \u 1 拒绝服务攻击背景 1 1.1 拒绝服务攻击定义 1 1.2 分布式拒绝服务攻击现状 2 1.3 僵尸网络现状 3 1.4 典型DDoS攻击原理 4 2 产品概述 7 3 产品技术架构 8 4 产品主要功能 9 5 产品优势与特点 11 5.1 先进的新一代SmartAMP并行处理技术架构 11 5.2 全面的拒绝服务攻击防御能力 12 5.3 全64位的原生ipv6支持 12 5.4 完善的应用层攻击防御功能 12 5.5 灵活多样的部署方式 13 5.6 针对运营需求的大客户两级保护对象策略 13 5.7 高可靠的业务保障能力 14 5.8 可视化的实时报表功能 14 6 产品典型部署方案 14 6.1 在线串接部署方式 15 6.2 旁路部署方式 15 7 产品型号和规格 16 8 产品资质 17 天融信公司 PAGE 10 拒绝服务攻击背景 拒绝服务攻击定义 拒绝服务攻击(DOS)定义。DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。 在CNCERT出版的《2012年中国互联网网络安全报告》中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。 拒绝服务攻击的典型场景如下图，通常由攻击者、受攻击服务器和僵尸网络三个要素组成。攻击者只对僵尸控制机发起指令，由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作，也有利于隐藏攻击者，使其很难被追踪到。 受攻击 受攻击服务器 僵尸网络 僵尸主机 攻击者 僵尸主机 僵尸主机 僵尸主机 僵尸主机 僵尸主机 僵尸控制机 僵尸控制机 图1-1 典型DDoS攻击场景 分布式拒绝服务攻击现状 有关统计显示，政治动机、恶意竞争、经济犯罪、敲诈勒索是黑客发起DDoS攻击的主要目的。在国内，北京、上海、广州、深圳的DDoS攻击事件最多，占全国总量的81.42%。这四个地区的近百个典型数据中心的2013年1～6月攻击统计数据显示，单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务，攻击目标主要为电子商务、在线游戏、DNS授权服务、网银支付系统、社交网站、论坛、博客、门户网站。恶意竞争是主要攻击动机，利润越高的在线业务系统，遭受攻击的频率越高，攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年1～6月份，国内几乎没有数据中心能免遭DDoS攻击，事实上数据中心已经成为DDoS攻击的重灾区。 从统计数据上显示（如下图所示），SYN Flood、UDP Flood依然是DDoS攻击的常见手段，同时随着基于HTTP协议的各类互联网应用的快速发展，HTTP Get Flood已经成为仅次于SYN Flood的最常见的DDoS攻击手段。 图1-2 攻击类型统计图 僵尸网络现状 据有关统计，从全球来看，僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制，主机规模在1000台以内的僵尸网络仍是主流。 国内流行的用于实施DDoS攻击的僵尸工具包括：傀儡僵尸、风云、狂人、穿墙CC；流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos等。 另外值得一提的是，Fast-Flux作为一种隐藏CC服务器以延长僵尸网络生命周期的技术，已成