黑洞所带来的防护
即插即用:无需配置即可实现全面防护(也可通过配置实现特殊防护策略)。
自身安全:无IP地址,网络隐身。
能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。
可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。
可以防护DNS Query Flood,保护DNS服务器正常运行。
可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。
黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器。
核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。
使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
图一、黑洞的核心技术架构示意图
能够保护网络主机、路由器、防火墙等网络设备,以及整个子网。
能够通过主机识别技术保护指定的主机和子网。
基于Web的纯中文操作界面,方便操作。
强大的日志审计功能(图二),可以清晰查询攻击类型和攻击来源,可以监控到整个网络的流量动态(图三),并进行分析。
图二、日志审计功能
图三、实时流量显示
自动提醒机制:在对攻击行为进行防御的同时,也可以通过电子邮件的方式向网络管理员进行报警。
五、性能指标
以下测试环境为:局域网、100M交换环境、黑洞百兆产品,测试所用报文皆为64字节大小的SYN报文。
测试网络拓扑图如图2所示。
|
第一次测试 |
Syn报文发送量 |
连接丢失率 |
发起连接成功率 |
响应时间 |
| Collapsar-200 |
2万pps |
0% |
100% |
小于1秒 |
| Collapsar-600 |
2万pps |
0% |
100% |
小于1秒 |
|
第二次测试 |
Syn报文发送量 |
连接丢失率 |
发起连接成功率 |
响应时间 |
| Collapsar-200 |
6万pps |
0% |
100% |
2-3秒 |
| Collapsar-600 |
6万pps |
0% |
100% |
2-3秒 |
|
第三次测试 |
Syn报文发送量 |
连接丢失率 |
发起连接成功率 |
响应时间 |
| Collapsar-200 |
12万pps |
0% |
100% |
3-5秒 |
| Collapsar-600 |
14万pps |
0% |
100% |
3-5秒 |
第三次测试为发包器直接连接到黑洞。
六、典型实施方法
下图1是没有接入黑洞的网络拓扑,图2是接入黑洞的网络拓扑。
图1 接入Collapsar之前
图2 接入Collapsar之后
使用黑洞保护网络
与第三方firewall组合使用的方法
可以把黑洞想象成一段网线,放在第三方Firewall的前面,便可提供Anti-DDoS功能,保护防火墙和服务器,如图3所示。
图3 与第三方Firewall组合
