TopADS3000产品-技术白皮书

天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书i1拒绝服务攻击背景.......................................................................................................................11.1拒绝服务攻击定义....................................................................................................................11.2分布式拒绝服务攻击现状........................................................................................................21.3僵尸网络现状............................................................................................................................31.4典型DDOS攻击原理...............................................................................................................42产品概述.......................................................................................................................................83产品技术架构...............................................................................................................................94产品主要功能.............................................................................................................................105产品优势与特点.........................................................................................................................115.1先进的新一代SMARTAMP并行处理技术架构....................................................................125.2全面的拒绝服务攻击防御能力..............................................................................................135.3全64位的原生IPV6支持.......................................................................................................135.4完善的应用层攻击防御功能..................................................................................................135.5灵活多样的部署方式..............................................................................................................145.6针对运营需求的大客户两级保护对象策略..........................................................................145.7高可靠的业务保障能力..........................................................................................................155.8可视化的实时报表功能..........................................................................................................156产品典型部署方案.....................................................................................................................156.1在线串接部署方式..................................................................................................................166.2旁路部署方式..........................................................................................................................167产品型号和规格.........................................................................................................................178产品资质.....................................................................................................................................18目录天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信公司11拒绝服务攻击背景1.1拒绝服务攻击定义拒绝服务攻击(DOS)定义。DoS是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。在CNCERT出版的《2012年中国互联网网络安全报告》中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。拒绝服务攻击的典型场景如下图，通常由攻击者、受攻击服务器和僵尸网络三个要素组成。攻击者只对僵尸控制机发起指令，由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作，也有利于隐藏攻击者，使其很难被追踪到。天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信公司2图1-1典型DDoS攻击场景1.2分布式拒绝服务攻击现状有关统计显示，政治动机、恶意竞争、经济犯罪、敲诈勒索是黑客发起DDoS攻击的主要目的。在国内，北京、上海、广州、深圳的DDoS攻击事件最多，占全国总量的81.42%。这四个地区的近百个典型数据中心的2013年1～6月攻击统计数据显示，单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务，攻击目标主要为电子商务、在线游戏、DNS授权服务、网银支付系统、社交网站、论坛、博客、门户网站。恶意竞争是主要攻击动机，利润越高的在线业务系统，遭受攻击的频率越高，攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年1～6月份，国内几乎没有数据中心能免遭DDoS攻击，事实上数据中心已经成为DDoS攻击的重灾区。从统计数据上显示（如下图所示），SYNFlood、UDPFlood依然是DDoS攻击的常见手段，同时随着基于HTTP协议的各类互联网应用的快速发展，HTTPGetFlood已经成为仅次于SYNFlood的最常见的DDoS攻击手段。受攻击服务器僵尸网络僵尸主机攻击者僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸控制机僵尸控制机天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信公司3图1-2攻击类型统计图1.3僵尸网络现状据有关统计，从全球来看，僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制，主机规模在1000台以内的僵尸网络仍是主流。国内流行的用于实施DDoS攻击的僵尸工具包括：傀儡僵尸、风云、狂人、穿墙CC；流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos等。另外值得一提的是，Fast-Flux作为一种隐藏C&C服务器以延长僵尸网络生命周期的技术，已成为当前大部分僵尸网络的必备功能。借助该技术，僵尸网络的制造者们向互联网安全发起了新一轮的挑战。中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%，远高于其他国家；从控制者来看，美国境内的控制者最多，占总量的42.2%，而中国约占3.8%，其它所占比例较多的是德国（9.1%），法国（7%）和英国（5.8%）。僵尸网络控制服务器分布情况如下图所示：天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信公司4图1-3僵尸网络控制服务器分布图1.4典型DDoS攻击原理TCPSYNflood攻击基本原理要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：第一步，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）。如下图所示：问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或