网络安全 频道

黑洞成为绿盟抗拒绝服务攻击的产品名字

  黑洞是绿盟抗拒绝服务攻击的产品名字

  黑洞是绿盟科技抗拒绝服务攻击(DDoS)的产品名字,也称为ADS(Anti-DDoS System),是专门用于清洗网络上DDoS攻击的一款硬件设备,也有朋友叫它DDoS防火墙。网络上大量泛滥的拒绝服务攻击,可以轻易地让Web、DNS等应用的服务器、路由器甚至网络链路阻塞和瘫痪,因此,架设在网络出口的黑洞,将那些恶意流量精确的除掉,只让正常的访问流量进入,成了黑洞的主要功能。

  黑洞的生日是2002年10月25日,比绿盟科技公司小了将近2岁,不过要是把前面将近两年的对DDoS攻击算法的研究和产品开发的时间算上,黑洞今天倒也有理由庆祝一下自己的十周年纪念日了。2002年在中国,大部分人都还是用电话线模拟拨号上网,大家对于网络安全,最多停留在安装杀毒软件的级别上,今天已经耳熟能详的网络硬件防火墙在当时也是个新东西,至于黑洞这种专业抗DDoS的硬件设备,则更是只有安全专家才能搞清楚了。

  事实上,在那个时候,在国内市面上,绿盟科技的黑洞是没有同类产品的,很多时候,遭遇拒绝服务攻击的用户会直接电话找到绿盟科技,希望借一台设备临时顶一下。绿盟科技黑洞产品线经理叶晓虎博士,经常会回忆起当时的情况,那时绿盟科技的开发人员同时也做着技术支持的工作,叶博士就经常亲自扛着一台非常笨重的黑洞设备,跑到用户的机房,将设备安装上线,调试好。“很多服务器被拒绝服务攻击缠上,非常麻烦,一天24小时,没完没了的打,服务器要么就是关机,要么就是在那里半死不活,那些维护工程师非常头痛”,“我们设备一上线,服务器就活了,效果非常明显”,“就因为我们帮忙解决攻击,以前都是用户请我吃饭的”,叶博士经常会回忆那段令人激动的时刻。

  可惜的是,黑洞组没有留下最早的产品照片,也没有留下样机,不过,在绿盟科技的生产中心,在备件库里,笔者找到了2003年左右的黑洞。

黑洞是绿盟抗拒绝服务攻击的产品名字

  图1 早期的绿盟科技黑洞产品图片

  设备给人一种很沧桑、很古老的感觉,重量很重,一个人搬起来非常吃力,仔细看一下,上面竟然还有个3.5寸软盘驱动器。据说这台早期的黑洞相当原始,就有几种防攻击算法,处理性能在现在看来也是小得可怜——是10Mbps流量级别的。但就是这台古董级设备,当年不知挡住了多少次拒绝服务攻击,让那些黑客们摸不着头脑,不知道为什么百试百灵的攻击手段,突然失灵了。

  黑洞上市后,很长一段时期,在网络安全的论坛上,黑洞经常就等同于抗DDoS产品,黑洞经常也等同于抗DDoS技术,很多网友会在网站上发表自己对黑洞、对抗DDoS算法的理解,例如有人很严肃地讨论黑洞的反向探测技术,并且写到(原文大意如此):“黑洞不断向流量的来向发送大量的反向数据,将来向数据报文消灭掉……”。文中描述的黑洞,给人的感觉不像是一台网络安全设备,倒是更像是一台天文物理学的正负粒子对撞机,正在制造正负质子的对撞和湮灭。事实上,绿盟科技的黑洞是有反向探测技术的,但是无法像帖中所述消灭已经发送过来的DDoS报文,只是经过反向探测,可以明确区分正常报文和恶意报文,从而在后续的处理中,才能非常高效而准确地丢弃恶意报文,放行正常报文,只是,这绝不是正负质子的关系。

  当然,除去这些轶闻趣事,还有很多对黑洞的恶意研究。黑客论坛上,不断有人公布自己的发现,宣称他们发现了黑洞的弱点,反向推测黑洞的抗DDoS算法,并且研讨在黑洞防护下的攻击改进方法。面对这些,有时黑洞研发人员一笑而过,但也有些时候,绿盟科技的黑洞也面临非常棘手的一个又一个挑战。

  这些挑战里面,最著名的就是CC攻击了,事实上,CC攻击最直观的名字应该叫做Http Get Flood攻击,它是专门针对Web服务器,由大量的代理服务器或者僵尸主机对Web服务器发起,不断对某个页面进行Http Get请求,消耗Web服务器的资源,最终导致Web服务器无法响应正常用户的请求。

黑洞是绿盟抗拒绝服务攻击的产品名字

  图2 CC攻击原理示意图

  但是这类攻击却被称为CC攻击——Challenge Collapsar,挑战黑洞,在DDoS攻击领域,Collapsar黑洞就是绿盟科技的抗拒绝服务产品。事实上,CC也是黑客在利用新的攻击向抗DDoS厂商发起挑战:你能战胜我们吗?

0
相关文章