黑洞是绿盟抗拒绝服务攻击的产品名字

　　黑洞是绿盟科技抗拒绝服务攻击(DDoS)的产品名字，也称为ADS(Anti-DDoS System)，是专门用于清洗网络上DDoS攻击的一款硬件设备，也有朋友叫它DDoS防火墙。网络上大量泛滥的拒绝服务攻击，可以轻易地让Web、DNS等应用的服务器、路由器甚至网络链路阻塞和瘫痪，因此，架设在网络出口的黑洞，将那些恶意流量精确的除掉，只让正常的访问流量进入，成了黑洞的主要功能。

　　黑洞的生日是2002年10月25日，比绿盟科技公司小了将近2岁，不过要是把前面将近两年的对DDoS攻击算法的研究和产品开发的时间算上，黑洞今天倒也有理由庆祝一下自己的十周年纪念日了。2002年在中国，大部分人都还是用电话线模拟拨号上网，大家对于网络安全，最多停留在安装杀毒软件的级别上，今天已经耳熟能详的网络硬件防火墙在当时也是个新东西，至于黑洞这种专业抗DDoS的硬件设备，则更是只有安全专家才能搞清楚了。

　　事实上，在那个时候，在国内市面上，绿盟科技的黑洞是没有同类产品的，很多时候，遭遇拒绝服务攻击的用户会直接电话找到绿盟科技，希望借一台设备临时顶一下。绿盟科技黑洞产品线经理叶晓虎博士，经常会回忆起当时的情况，那时绿盟科技的开发人员同时也做着技术支持的工作，叶博士就经常亲自扛着一台非常笨重的黑洞设备，跑到用户的机房，将设备安装上线，调试好。“很多服务器被拒绝服务攻击缠上，非常麻烦，一天24小时，没完没了的打，服务器要么就是关机，要么就是在那里半死不活，那些维护工程师非常头痛”，“我们设备一上线，服务器就活了，效果非常明显”，“就因为我们帮忙解决攻击，以前都是用户请我吃饭的”，叶博士经常会回忆那段令人激动的时刻。

　　可惜的是，黑洞组没有留下最早的产品照片，也没有留下样机，不过，在绿盟科技的生产中心，在备件库里，笔者找到了2003年左右的黑洞。

▲

　　图1 早期的绿盟科技黑洞产品图片

　　设备给人一种很沧桑、很古老的感觉，重量很重，一个人搬起来非常吃力，仔细看一下，上面竟然还有个3.5寸软盘驱动器。据说这台早期的黑洞相当原始，就有几种防攻击算法，处理性能在现在看来也是小得可怜——是10Mbps流量级别的。但就是这台古董级设备，当年不知挡住了多少次拒绝服务攻击，让那些黑客们摸不着头脑，不知道为什么百试百灵的攻击手段，突然失灵了。

　　黑洞上市后，很长一段时期，在网络安全的论坛上，黑洞经常就等同于抗DDoS产品，黑洞经常也等同于抗DDoS技术，很多网友会在网站上发表自己对黑洞、对抗DDoS算法的理解，例如有人很严肃地讨论黑洞的反向探测技术，并且写到(原文大意如此)：“黑洞不断向流量的来向发送大量的反向数据，将来向数据报文消灭掉……”。文中描述的黑洞，给人的感觉不像是一台网络安全设备，倒是更像是一台天文物理学的正负粒子对撞机，正在制造正负质子的对撞和湮灭。事实上，绿盟科技的黑洞是有反向探测技术的，但是无法像帖中所述消灭已经发送过来的DDoS报文，只是经过反向探测，可以明确区分正常报文和恶意报文，从而在后续的处理中，才能非常高效而准确地丢弃恶意报文，放行正常报文，只是，这绝不是正负质子的关系。

　　当然，除去这些轶闻趣事，还有很多对黑洞的恶意研究。黑客论坛上，不断有人公布自己的发现，宣称他们发现了黑洞的弱点，反向推测黑洞的抗DDoS算法，并且研讨在黑洞防护下的攻击改进方法。面对这些，有时黑洞研发人员一笑而过，但也有些时候，绿盟科技的黑洞也面临非常棘手的一个又一个挑战。

　　这些挑战里面，最著名的就是CC攻击了，事实上，CC攻击最直观的名字应该叫做Http Get Flood攻击，它是专门针对Web服务器，由大量的代理服务器或者僵尸主机对Web服务器发起，不断对某个页面进行Http Get请求，消耗Web服务器的资源，最终导致Web服务器无法响应正常用户的请求。

▲

　　图2 CC攻击原理示意图

　　但是这类攻击却被称为CC攻击——Challenge Collapsar，挑战黑洞，在DDoS攻击领域，Collapsar黑洞就是绿盟科技的抗拒绝服务产品。事实上，CC也是黑客在利用新的攻击向抗DDoS厂商发起挑战：你能战胜我们吗?