DOS(Denial of Serviece 拒絕服務攻擊)由于攻擊簡單,容易達到目的,難于防止和追查越來越成為常見的攻擊方式。拒絕服務攻擊可以有各種分類方法,如果按照攻擊方式來分可以分為:資源消耗,服務中止和物理破壞。資源消耗指攻擊者試圖消耗目標的合法資源,例如:網絡帶寬,內存和磁盤空間,CPU使用率等等。通常,網絡層的拒絕服務攻擊利用了網絡協議的漏洞,或者搶占網絡或者設備有限的處理能力,造成網絡或者服務的癱瘓,而DDOS攻擊又可以躲過目前常見的網絡安全設備的防護,諸如防火墻,入侵監測系統等,這就使得對拒絕服務攻擊的防治,成為了一個令管理員非常頭疼的問題。
傳統的攻擊都是通過對業務系統的滲透,非法獲得信息來完成,而DDOS攻擊則是一種可以造成大規模破壞的黑客武器,它通過制造偽造的流量,使得被攻擊的服務器,網絡鏈路或是網絡設備(如防火墻,路由器等)負載過高,從而最終導致系統崩潰,無法提供正常的Internet服務。
由于防護手段較少同時發起DDOS攻擊也越來越容易,所以DDOS的威脅也在逐步增大,它們的攻擊目標不僅僅局限在Web服務器或是網絡邊界等單一的目標,網絡本身也漸漸成為DDOS攻擊的犧牲品。許多網絡基礎設施,諸如匯聚層/核心層的路由器和交換機,運營商的域名服務系統(DNS)都不同程度的遭受到了DDOS攻擊的侵害。2009年5月,一次大規模黑客攻擊的前兆就是幾十臺根域名服務器遭受到“野蠻”的DDOS攻擊,從而影響了整個Internet的通訊。
隨著各種業務對Internet依賴程度的日益加強,DDOS攻擊所帶來的損失也愈加嚴重。包括運營商,企業及政府機構的各種用戶時刻都受到了DDOS攻擊的威脅,而未來更加強大的攻擊工具的出現,為日后發動數量更多,破壞力更強的DDOS攻擊帶來可能。
正是由于DDOS攻擊非常難于防御,以及其危害嚴重,所以如何有效的應對DDOS攻擊就成為Internet使用者所需面對的嚴峻挑戰。網絡設備或者傳統的邊界安全設備,諸如防火墻,入侵檢測系統,作為整體安全策略中不可缺少的重要模塊,都不能有效的提供針對DDOS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊,必須采用專門的機制,對攻擊進行有效檢測,進而遏制這類不斷增長的,復雜的且具欺騙性的攻擊形式。
針對目前流行的DDOS攻擊,包括未知的攻擊形式,中新軟件提供了自主研發的抗拒絕服務產品-----金盾。通過及時發現背景流量中各種類型的攻擊流量,金盾可以迅速對攻擊流量進行過濾或旁路,保證正常流量的通過。產品可以在多種網絡環境下輕松部署,不僅能夠避免單點故障的發生,同時也能保證網絡的整體性能和可靠性。
產品功能
攻擊檢測和防護
“金盾”系列抗拒絕服務產品應用了自主研發的抗拒絕服務攻擊算法,對SYN Flood,UDP Flood,ICMP Flood,HTTP Get Flood,DNS Flood,碎片攻擊,CC及其變種等等的攻擊行為能夠有效識別,并通過集成的機制實時對這些攻擊流量進行阻斷。