黑色海岸线论坛 - Powered by Discuz! Board

标题: 遐迩DosNipe抗DDOS防火墙 [打印本页]

作者: 吴广 时间: 2006-10-12 15:39 标题: 遐迩DosNipe抗DDOS防火墙

上海遐迩网络科技是一家位于上海陆家嘴金融中心的高科技网络公司，它很年轻，充满活力，全体员工平均年龄不足27岁，却拥有雄厚的技术力量和专业背景，有着一支技术过硬品质过硬的技术队伍。其中有多名国内安全领域的知名技术专家、硕士研究人员及各类安全专业人才。是一家专业的研发和生产网络安全设备的IT公司。
　　
　　该公司主要从事网络安全方面的研发和服务，凭借多年网络安全的研发经验，已在业界小有名气。研发小组经过艰苦紧张的研发，已经成功推出第一款抗拒绝服务设备Dosnipe。该设备核心部分完全采用自主研发成果，具有高效，准确，安全等特点，是一种全新的算法与理念，与传统的设计完全不同，从这点上来说，该设备填补了国内安全核心技术领域的一项空白。目前该项技术已申请国家软件专利，并已取得相关部门的认证。
　　
　　 Dosnipe抗拒绝服务设备，在国内专业抗拒绝服务设备奇缺的情况下，它的出现，无疑给市场，给用户注入一剂兴奋剂。本来专业生产抗拒绝服务设备厂商就少，加上抗拒绝服务攻击起点低，防御难等特点，使得这部分领域成为网络安全的老大难，已成为国内网络信息经济发展的瓶颈，众多IDC服务商及企业无不谈DDOS色变。绿盟，天网，天元龙马等厂商在抵挡拒绝服务攻击方面做出了积极的贡献，除此之外，这个领域的专业厂商还是显得少而杂。
　　
　　一种新技术的出现，从它出现到成熟，再到技术产品化，市场化，一般来说，需要一个漫长的过程，遐迩科技用短短不到两年的时间走完了这个过程。这不能不说是个奇迹，尤其是他们在独立自主的研发条件下开发的这个成熟产品，更是难能可贵。目前这项核心技术被命名为“一次性单向非法数据包识别方法”，是一种全新的算法和思维方式，国内以前没有过，国外以前也没有过，该项技术完全摈弃了传统算法的思维模式，是从无到有，从零到一的技术性突破。是业界的骄傲，也是国内安全技术领域的骄傲。
　　
　　 Dosnipe的技术优势主要体现在抵抗大流量攻击数据包下，所谓“一次性单向非法数据包识别方法”指的是攻击数据包只需被Dosnipe设备一次接受，就能判断识别它的真伪，并实时做出相应处理，无需返回地址源再识别，这就决定了在相同环境下，相同硬件条件下，Dosnipe抗拒绝服务设备的抵挡效果比其他同类产品高出一倍。举个例子，经过权威测试，同一级别的产品，绿盟黑洞在千兆环境下只能抵挡四，五百兆的攻击流量，而Dosnipe则能达到七，八百兆。新技术的使用，在提高效率的同时，无疑也能降低成本，这才是遐迩科技真正的优势所在。
　　
　　在应用方面，Dosnipe抗拒绝服务设备也取得了不错的成绩，从各个IDC服务商到各大中小型企业，银行，电信部分，网络游戏服务器，都活跃着Dosnipe的身影。其中典型的应用包括上海中国移动网络服务器安全解决方案，北京网银在线交易系统安全解决方案，某地方税务局局域网安全解决方案和上海易动网络安全解决方案等。值得一提的是，除Dosnipe抗拒绝服务设备的具体应用外，遐迩科技还提供安全评估，安全策划，安全审核，它优质的售后服务和应急响应措施已是有口皆碑，光受好评。
　　
　　
　　在这个核心技术的支持下，围绕它，遐迩科技相续开发了一些周边产品，譬如DOSNIPE NIPS 入侵防护系统、Dosnipe EM反垃圾反病毒网关、中央存储备份系统，还有一些其他的安全服务和应急响应措施。我们可以看到，遐迩科技虽然年轻，但它已经具备了一个成熟企业所有要素。技术是IT行业的生命线，科技要以人为本，从高科技转为产品，再把产品市场化，增值，扩大，衍生出周边产品，从而达到市场最大化，利益最大化。遐迩科技在这一步上迈得很坚实，很坚定，也很成功。
　　
　　科技以人为本，技术如果不能转化为具体的产品为民服务，那它就是屠龙之技，毫无用处。在目前整个IT业持续低迷的大环境下，尤其需要遐迩科技这样的新鲜血液的注入。我国的IT行业起步晚，技术上落后国外数年，很多核心技术都不是我们自己的。在这种情况下，尤其需要国内本土IT企业的大力发展。不光是新技术为国内广大用户带来的直接好处，遐迩科技的意义在于，它推动了我国IT高科技领域的发展，在核心技术上填补了国内一块空白，它独立自主，艰苦研发的精神让我们看到了国内年轻IT企业的新力量、新希望。
　　
　　
　　
上海遐迩科技http://www.sharesec.com

咨询电话: 021-58211660--12手机13636451261业务咨询: QQ：381414735 联系人：吴广  MSN：wuxinchang@sharesec.com
###########################################################################

###########################################################################
【上海遐迩网络】
我们的选择每一步都是深思熟虑的:
硬件架构部分:
我们采取了工业计算机(工控机),可以承受恶劣的运行环境,稳定性非常好.
操作系统核心部分:
我们研究了FreeBSD,OpenBSD,Linux,NetBSD等诸多OpenSouce的OS的核心代码以及其防火墙机制.
如:IPFW,IPFW2,Ipfilter,Netfilter,PF..
权衡了各个因素(如:bridge性能,中断机制,POLLing等等),再三研究,最后决定采用FreeBSD的核心,
然后取众家之所长.事实上,测试结果表明:
FreeBSD官方的申明绝非吹嘘之言:
FreeBSD offers advanced networking, performance, security and compatibility features today
which are still missing in other operating systems, even some of the best commercial ones.
有兴趣的朋友可以自行测试看看.或者跟我公司联系,索取测试方法,和一系列针对性优化的文档
核心算法部分:
我们不是采用单一的SYNPROXY,SYNCOOKIES,或者所谓的等待重传机制.他们各自都有自己的优缺点.
我们研究了所有的传统防火墙的算法,也是取众家之所长,并且研发出了属于自己的专利算法:
单向一次性非法数据包识别方法
我们所有的Filter机制都是在挂在驱动级的.
至于说详细的原理,我大概提及一下:
我们采用了一系列的验证机制而形成的一套有机的体制,任何一项单一的机制都有其弊端
譬如说指纹验证等等.
专业:
我们的防火墙只做抗DDOS,
效率和通用是一对双刃剑,也是一对矛盾,在通用和效率面前,我们选择了后者
智能化防御系统，无需任何烦琐操作：
自动识别所有主机，按协议类型给出流量报表
自动防护所有攻击，按攻击类型给出流量报表
自动调整核心参数，按优先级别给出用户接口
自动升级核心模块，按升级时间给出日志报表

测试目标：真实的得出本防火墙的各种性能数据
测试型号：DOSNIPE110
测试环境：LAN内、100M交换环境，测试所用报文皆为64字节大小的SYN报文
发包器配置
名称IP地址操作系统配置
发包器1192.168.1.111LINUX 2.6.12双X2.4/1G/36scsi
发包器2192.168.1.112LINUX 2.6.12双X2.8/2G/36scsi
发包器3192.168.1.113FreeBSD 4.10单P4 3.0/512M/80
发包器4192.168.1.114FreeBSD 4.10单P4 2.4/512M/80
网管控制台192.168.1.254Winodws 2kIbm r50e Notebook
受保护机器192.168.1.193FreeBSD 4.10P3 1.0G/128M/40G
交换机无DCS3926S(百M)
测试结果
SYN发送量连接丢失率新连接成功率Ping值
5288.89KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
6599.29 KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
8019.22 KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
9500.22 KB/s1%99%Minimum = 1ms, Maximum =  6ms, Average =  4ms(此时发包交换机已经丢包,到达其物理极限)
注：4台发包器向192.168.1.193同时发起攻击，监控机器ping 192.168.1.193以确立其连通情况。
根据严格的算法，百M线速＝148100pps左右, 换算成KB的话,也就是等于:148100*64/1024=9256.25左右.所以,上海遐迩网络作为直接的防火墙研发的专业机构,在此提醒广大用户,不要被一些纯粹的销售商慌称的”可以防护30万个包”而欺骗,一切结论必须要建立在科学的依据上
附：
发包器部分代码：
tcp=(struct tcphdr *)(buffer +sizeof(struct ip));
tcp->dest=addr->sin_port;
tcp->ack_seq=0;
tcp->doff=5;
tcp->syn=1;
tcp->check=0;
while(1)
{
ip->ip_src.s_addr=random();
tcp->source=htons(random());
tcp->check=check_sum((unsigned short *)tcp,sizeof(struct tcphdr));
sendto(sockfd,buffer,head_len,0,addr,sizeof(struct sockaddr_in)); }
事实上,目前的很多案例来看,在我们的防火墙没有到极限的时候,上层的router已经开始丢包了.
99.99%的客户面临的不是流量的问题,流量不是真正的杀手.ddos攻击种类中,要以synflood最为典型,它之所以能够如此嚣张,就是因为他的半开式的"以小搏大"的优势以及socket raw的编程方式导致"socket的各个位可以任意填充"而使得追踪攻击源很麻烦的原因.
我们可以做出承诺:
假如说你有100M的带宽,这个时候有90M的攻击流量进来,那么,你的机柜我可以说基本不受影响,事实上,进来的往往都是syn等握手过程中的包.同时由于我们的防火墙的机制是单向不反追的算法,那么尽管有90M的攻击流量,你仍然可以正常使用下载服务.对流出的流量没有任何限制.

相关文档下载地址：http://www.sharesec.com/resource_center.php
咨询电话: 021-58211660--12手机13636451261业务咨询: QQ：381414735 联系人：吴广  MSN：wuxinchang@sharesec.com
############################################################################

本次主要更新了以下内容：
提高防御能力和防御种类
禁止内网对外网发起的攻击
增加各种防火墙核心性能状态
增加用户态管理功能
引入人性化智能机制。以最小的开销取得最大的防护效果
引入各种流控机制，使网络性能更加优秀
1．主机保护
添加自动检测墙后主机，并以默认方式保护。默认保护为：WEB_CC，GAME防护和所有端口的DDOS防护。
WEB_CC：80端口的CC防护。
GAME：7000，7001，7002端口的CC和有关防护。
危机防护：达到核心参数限定时启动的紧急防护。
高级防护：达到核心参数限定时启动更高级识别。
切断：该主机是否被禁止与外网联系。
校验和：高级防护手段。
禁止ICMP：禁止对该主机ICMP信息包的通过。
禁止UDP：禁止对该主机UDP信息包的通过。
不保护：拒绝对该主机进行保护
并可以通过单击主机IP进入对主机的防护进行更改。
2.主机流量查看
对主机流量查看将原来以PPS为单位改为M/S的单位。并可以单击主机IP号进行一些流量的细节查看。增加了对单台主机的细节流量查看，能够很轻易的看出数据流量的大小，包含UDP，TCP和ICMP三种格式的数据。还对丢失多少数据也进行了统计，增强了多受到的攻击的种类的分析手段。
3．核心参数调整
调整3项目核心参数危机触发,高级防护,主机切断触发。
4．流量策略控制
增加对单台主机的流量控制手断：
单IP并发连接数：每个IP最大能与本IP的连接数（阀值）。
UDP和TCP流量的阀值：对单台主机的最大流量进行限制。
要更改该值可以单击主机IP号进入。
5.系统日志
增强了对系统的查看功能，有Hostname主机名，Current Time当前时间,Kernel Version当前版本号和更新时间，Uptime运行时长，CPU Usage CPU的使用率，ip_data_count总连接IP数和port_data_count端口连接总数。
  上海遐迩网络
                                 www.sharesec.com

咨询电话: 021-58211660--12手机13636451261业务咨询: QQ：381414735 联系人：吴广  MSN：wuxinchang@sharesec.com

作者: 小心土匪 时间: 2006-12-14 09:52 标题: 遐迩DosNipe抗DDOS防火墙

你他XX的`，就知道吹你们的东西`

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)