国内第一家拥有自主知识产权的DDOS防火墙：dosnipe

   上海遐迩网络科技有限公司从2002年起就致力于抗拒绝服务系统的研究，经过一年多的紧张研发，已取得突破性技术成果，率先推出拥有自主知识产权的Dosnipe专业抗拒绝服务设备。本产品内核采用本公司自主研发的优秀算法(FPC)，独家设计的单向一次性包识别技术，同时精简优化了TCP的核心部分，目前该项技术已经申请国家专利。
    Dosnipe抗拒绝服务设备采用专业的硬件设计，无懈可击的系统安全内核，超大流量的访问控制，高效、安全、准确，完全能满足大流量、大规模攻击下的连通需求。经多次权威测试结果表明，Dosnipe抗拒绝服务设备能准确、迅速、全面的防御各种DoS/DDoS攻击，甚至能防御部分未知的DoS/DDoS攻击，同时也大大增加了黑客的攻击成本。
     
    传统的包识别算法（如Synproxy）基本原理是防火墙代替被攻击主机来完成three-way handshakes (三次握手)，从而达到验证源地址的可达性。在大流量高并发的情况下，效率低下，。在原有的数据报检测基础上，我们加入了独有的单向一次性包识别技术，对任何数据报只需一次“握手”便可检测IP地址真伪，无需返回地址源，与传统数据包检测技术相比，效率整整提高了一倍。测试表明，在拦截大流量攻击数据包时，Dosnipe抗拒绝服务设备的连通率和重新发起连接率分别达到了95%和100%。
    经测试，能完全抵御以下攻击：
1 ． 后门攻击
BO,SATANZ Portal of DOOM , Silencer , NetBus , Netspy , GirlFriend ,冰河等。
2 ． 拒绝服务攻击
SYN Flood , UDP Flood , winnuke , Kiss of Death , Wingate DoS , Land , con\con , ARP Spool 等。
3 ． 分布式拒绝服务攻击
Tfn2k , trinoo , stachel , mstream 等。
4 ． 扫描攻击
ISS 扫描, Nessus 扫描, nmap 扫描, Superscan 扫描, whisker 扫描, Webtrends 扫描, L3retriever 扫描, ipe-syn-scan 扫描等。
5 ． Web-cgi 攻击
Test-cgi , handler , count.cgi , phf , PHP , Websendmail , Webdist 等。
6 ． Web-IIS 攻击： NewDSN 等。
7 ． Web-FrontPage 攻击： Fpcount 等。
8 ． Web-ColdFusion 攻击： Openfile 等。
9. 缓冲区溢出攻击
包括 IMAP , Named , Qpop , FTP , mountd , Telnet 等服务程序的缓冲区溢出攻击。
10 ． RPC 攻击
包括对 sadmind , ttdbserver , nisd , amd 等 RPC 攻击。
11 ． ICMP 攻击
主要包括利用大量 ICMP Redirect 包修改系统路由表的攻击和使用 ICMP 协议实施的拒绝服务攻击。

12 ． SMTP 攻击（邮件攻击）
E-mail Debug 等，以及利用 SMTP 协议实现 HELO , RCPT TO , VRFY 等缓冲区漏洞实施攻击。
13 ． 前奏攻击： SourceRoute 等。
14 ． 病毒攻击： Happy 99 ,爱虫病毒, WinimDa 等。
15 ． 口令攻击： telnet 口令攻击, FTP 口令攻击。
16 ． 其他： IE5&ACCESS97 等。

详情请访问：www.sharesec.com
上海遐迩网络科技有限公司

联系方式：
咨询电话： 021-58211660 / 021-58513931
技术支持   QQ:56000204 / 453270817
24小时技术咨询电话:13122444520 / 13122877082
MSN:  xiyang@sharesec.com  / tonypys@sharesec.com
http://www.sharesec.com

有自主产权的多半不怎么样。唉

为什么有自主知识产权的就不怎么样？
看不起国内安全技术？呵呵
可以免费测试嘛。用数据说话。还有，你要相信公安部变态的检测能力，dosnipe已经被他们折腾好久了。。。。

不是OEM？产品功能具体如何，

看样子，不应该是简单的DDOS防火墙，应该是带入侵检测的

不是代工，但是已经有人做我们的代工了：）
具体厂商现在还不方便说。。。。还在洽谈中
具体功能请访问我们的主页www.sharesec.com
上面有详细的产品说明书和技术白皮书
谢谢斑竹不删哈：）

下一个试试先`是基于linux的那就更好了

耶。。原来是硬件的。
刚去google搜了一下自称国内第一家拥有自主知识产权的DDOS防火墙的品牌好像不只你一个哟

是硬件防火墙。。。。
软件我们目前正在开发中

DOSNIPE真的有那么神么？呵呵，你们帮谁家公司做OEM啊？我建议楼主发点你们的测试数据上来看看，毕竟要用数据说话嘛，我是做IDC的，公司也在上海，如果你们的东西真如你们说的那么好的话，我想我们应该需要你们的东西的。

我把测试数据贴一下哈

测试目标：真实的得出本防火墙的各种性能数据
测试型号：DOSNIPE110
测试环境：LAN内、100M交换环境，测试所用报文皆为64字节大小的SYN报文。
发包器配置：
名称IP地址操作系统配置
发包器1192.168.1.111LINUX 2.6.12双X2.4/1G/36scsi
发包器2192.168.1.112LINUX 2.6.12双X2.8/2G/36scsi
发包器3192.168.1.113FreeBSD 4.10单P4 3.0/512M/80
发包器4192.168.1.114FreeBSD 4.10单P4 2.4/512M/80
网管控制台192.168.1.254Winodws 2kIbm r50e Notebook
受保护机器192.168.1.193FreeBSD 4.10P3 1.0G/128M/40G
交换机无DCS3926S(百M)
测试结果:
SYN发送量连接丢失率新连接成功率Ping值
5288.89KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
6599.29 KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
8019.22 KB/s0%100%Minimum = 0ms, Maximum =  0ms, Average =  0ms
9500.22 KB/s1%99%Minimum = 1ms, Maximum =  6ms, Average =  4ms(此时发包交换机已经丢包,到达其物理极限)

注：4台发包器向192.168.1.193同时发起攻击，监控机器ping 192.168.1.193以确立其连通情况。
根据严格的算法，百M线速＝148100pps左右, 换算成KB的话,也就是等于:148100*64/1024=9256.25左右.所以,上海遐迩网络作为直接的防火墙研发的专业机构,在此提醒广大用户,不要被一些纯粹的销售商 慌称的”可以防护30万个包”而欺骗,一切结论必须要建立在科学的依据上.

附：

发包器部分代码：
tcp=(struct tcphdr *)(buffer +sizeof(struct ip));  
tcp->dest=addr->sin_port;
tcp->ack_seq=0;
tcp->doff=5;
tcp->syn=1;
tcp->check=0;
while(1)
{
ip->ip_src.s_addr=random();
tcp->source=htons(random());
tcp->check=check_sum((unsigned short *)tcp,sizeof(struct tcphdr));
sendto(sockfd,buffer,head_len,0,addr,sizeof(struct sockaddr_in));
}

相关文档下载地址：http://www.sharesec.com/down.html

所谓的抗DDOS根本不可能,因为当对方大于你的带宽就没办法

    事实上,目前的很多案例来看,在我们的防火墙没有到极限的时候,上层的router已经开始丢包了.
    99.99%的客户面临的不是流量的问题,流量不是真正的杀手.ddos攻击种类中,要以synflood最为典型,它之所以能够如此嚣张,就是因为他的半开式的"以小搏大"的优势以及socket raw的编程方式导致"socket的各个位可以任意填充"而使得追踪攻击源很麻烦的原因.
    我们可以做出承诺:
    假如说你有100M的带宽,这个时候有90M的攻击流量进来,那么,你的机柜我可以说基本不受影响,事实上,进来的往往都是syn等握手过程中的包.同时由于我们的防火墙的机制是单向不反追的算法,那么尽管有90M的攻击流量,你仍然可以正常使用下载服务.对流出的流量没有限制.

我们的选择每一步都是深思熟虑的:
硬件架构部分:
我们采取了工业计算机(工控机),可以承受恶劣的运行环境,稳定性非常好.
操作系统核心部分:
我们研究了FreeBSD,OpenBSD,Linux,NetBSD等诸多OpenSouce的OS的核心代码以及其防火墙机制.
如:IPFW,IPFW2,Ipfilter,Netfilter,PF..
权衡了各个因素(如:bridge性能,中断机制,POLLing等等),再三研究,最后决定采用FreeBSD的核心,
然后取众家之所长.事实上,测试结果表明:
FreeBSD官方的申明绝非吹嘘之言:
FreeBSD offers advanced networking, performance, security and compatibility features today
which are still missing in other operating systems, even some of the best commercial ones.
有兴趣的朋友可以自行测试看看.或者跟我公司联系,索取测试方法,和一系列针对性优化的文档
核心算法部分:
我们不是采用单一的SYNPROXY,SYNCOOKIES,或者所谓的等待重传机制.他们各自都有自己的优缺点.
我们研究了所有的传统防火墙的算法,也是取众家之所长,并且研发出了属于自己的专利算法:
单向一次性非法数据包识别方法
我们所有的Filter机制都是在挂在驱动级的.
至于说详细的原理,我大概提及一下:
我们采用了一系列的验证机制而形成的一套有机的体制,任何一项单一的机制都有其弊端
譬如说指纹验证等等.
专业:
我们的防火墙只做抗DDOS,
效率和通用是一把双刃剑,也是一对矛与盾,在通用和效率面前,我们选择了后者。