绿盟科技八年DDos回忆之黑洞那些事
2010-09-08 eNet硅谷动力 编辑:崔云鹏
黑洞是绿盟科技抗拒绝服务攻击(DDoS)的产品名字,也称为ADS(Anti-DDoS System),是专门用于清洗网络上DDoS攻击的一款硬件设备,也有朋友叫它DDoS防火墙。网络上大量泛滥的拒绝服务攻击,可以轻易地让Web、DNS等应用的服务器、路由器甚至网络链路阻塞和瘫痪,因此,架设在网络出口的黑洞,将那些恶意流量精确的除掉,只让正常的访问流量进入,成了黑洞的主要功能。
黑洞的生日是2002年10月25日,比绿盟科技公司小了将近2岁,不过要是把前面将近两年的对DDoS攻击算法的研究和产品开发的时间算上,黑洞今天倒也有理由庆祝一下自己的十周年纪念日了。2002年在中国,大部分人都还是用电话线模拟拨号上网,大家对于网络安全,最多停留在安装杀毒软件的级别上,今天已经耳熟能详的网络硬件防火墙在当时也是个新东西,至于黑洞这种专业抗DDoS的硬件设备,则更是只有安全专家才能搞清楚了。
事实上,在那个时候,在国内市面上,绿盟科技的黑洞是没有同类产品的,很多时候,遭遇拒绝服务攻击的用户会直接电话找到绿盟科技,希望借一台设备临时顶一下。绿盟科技黑洞产品线经理叶晓虎博士,经常会回忆起当时的情况,那时绿盟科技的开发人员同时也做着技术支持的工作,叶博士就经常亲自扛着一台非常笨重的黑洞设备,跑到用户的机房,将设备安装上线,调试好。“很多服务器被拒绝服务攻击缠上,非常麻烦,一天24小时,没完没了的打,服务器要么就是关机,要么就是在那里半死不活,那些维护工程师非常头痛”,“我们设备一上线,服务器就活了,效果非常明显”,“就因为我们帮忙解决攻击,以前都是用户请我吃饭的”,叶博士经常会回忆那段令人激动的时刻。
可惜的是,黑洞组没有留下最早的产品照片,也没有留下样机,不过,在绿盟科技的生产中心,在备件库里,笔者找到了2003年左右的黑洞。
设备给人一种很沧桑、很古老的感觉,重量很重,一个人搬起来非常吃力,仔细看一下,上面竟然还有个3.5寸软盘驱动器。据说这台早期的黑洞相当原始,就有几种防攻击算法,处理性能在现在看来也是小得可怜——是10Mbps流量级别的。但就是这台古董级设备,当年不知挡住了多少次拒绝服务攻击,让那些黑客们摸不着头脑,不知道为什么百试百灵的攻击手段,突然失灵了。
黑洞上市后,很长一段时期,在网络安全的论坛上,黑洞经常就等同于抗DDoS产品,黑洞经常也等同于抗DDoS技术,很多网友会在网站上发表自己对黑洞、对抗DDoS算法的理解,例如有人很严肃地讨论黑洞的反向探测技术,并且写到(原文大意如此):“黑洞不断向流量的来向发送大量的反向数据,将来向数据报文消灭掉……”。文中描述的黑洞,给人的感觉不像是一台网络安全设备,倒是更像是一台天文物理学的正负粒子对撞机,正在制造正负质子的对撞和湮灭。事实上,绿盟科技的黑洞是有反向探测技术的,但是无法像帖中所述消灭已经发送过来的DDoS报文,只是经过反向探测,可以明确区分正常报文和恶意报文,从而在后续的处理中,才能非常高效而准确地丢弃恶意报文,放行正常报文,只是,这绝不是正负质子的关系。
当然,除去这些轶闻趣事,还有很多对黑洞的恶意研究。黑客论坛上,不断有人公布自己的发现,宣称他们发现了黑洞的弱点,反向推测黑洞的抗DDoS算法,并且研讨在黑洞防护下的攻击改进方法。面对这些,有时黑洞研发人员一笑而过,但也有些时候,绿盟科技的黑洞也面临非常棘手的一个又一个挑战。
这些挑战里面,最着名的就是CC攻击了,事实上,CC攻击最直观的名字应该叫做Http Get Flood攻击,它是专门针对Web服务器,由大量的代理服务器或者僵尸主机对Web服务器发起,不断对某个页面进行Http Get请求,消耗Web服务器的资源,最终导致Web服务器无法响应正常用户的请求。
图2 CC攻击原理示意图
但是这类攻击却被称为CC攻击——Challenge Collapsar,挑战黑洞,在DDoS攻击领域,Collapsar黑洞就是绿盟科技的抗拒绝服务产品。事实上,CC也是黑客在利用新的攻击向抗DDoS厂商发起挑战:你能战胜我们吗?
早期绿盟科技黑洞的防护算法大多集中在抗四层攻击上,如着名的SYN Flood攻击,以及其他一些类型如UDP Flood、ICMP Flood等,对于应用层攻击,特别是不再伪造IP地址的真实主机访问,很难区分每个报文的真伪,而且随着CC攻击工具的发展,报文的特征字段几乎不再存在,传统的特征库的作用也越来越小。直到今天,对于防火墙、IPS等一般安全产品,CC等应用级别的DDoS依旧是一个很难解决的难题,因此 CC以及其变形攻击也至今是黑客的重要DDoS攻击手段。
还好,经历过前期一段艰苦的研究后,黑洞很快找到了应对CC攻击的算法,而且随着CC攻击手法的变化,黑洞自身的防护算法不断改进,到今天为止,绿盟科技黑洞的抗CC防护算法已经有6种,用户可以根据自己实际的情况,选择任何一种方便的方式进行防护,CC对于黑洞来说,已经不再是挑战了,只有CC的名字,依旧记录了那段攻防双方的博弈经历。
当然,挑战也不都全是来自黑客攻击者,也有来自同行业产品的竞争、技术对比测试。最让黑洞产品难忘的一次是在2006年,东南某省电信的产品对比测试,除了绿盟科技的黑洞,竞争对手全部来自美国,都是着名的抗DDoS公司:IPS厂商R公司、IPS厂商T公司、网络厂商C公司、以及病毒厂商M公司。特别是R公司,更是由亚太区技术总监亲自从香港赶来压阵,但最终看到的却是黑洞的完胜。当然,那位技术总监也没有白来,在黑洞测试ICMP Flooding等几个防护的过程中,他用手机悄悄地拍下了黑洞的测试界面,因为对于这些攻击的防护,R公司只顶住了其标称值的20%流量。黑洞的开发人员也终于发现,原来,在网络高科技领域,也有很多美国公司需要努力赶超中国厂商的时候,只是,那些是内置的防护算法的功效,如何能用手机照片获取到?
时间一天天过去,绿盟科技的黑洞也继续用自己的防护效果去赢得用户的信任,并且在业内传递着黑洞的口碑。黑洞在电信运营商、银行、证券、互联网、政务办公网,都有着国内最广泛的应用,在北京奥运会、六十周年国庆、在国家级领导人同网友对话等重大事件中,都有绿盟科技的黑洞产品在默默看护着网络的安全。很多用户,在黑洞防护住攻击后,给绿盟科技技术人员致以感谢和赞赏。其实,依我看来,黑洞产品的防护效果应该首先感谢这些使用黑洞的用户,正是由于这些分布全国、遍布各个行业的广泛的应用和复杂的网络环境,使得黑洞每天都在面对各种各样的新型DDoS攻击,遍布全国的黑洞部署也成了绿盟科技发现、收集新型DDoS攻击的巨大平台,几乎任何一种新出现的DDoS攻击,都会很快反映到全国的某些黑洞上,为黑洞研发人员提供算法研究的素材,并督促黑洞研发人员快速改进算法,提高防护效果。
抗DDoS防护算法成了绿盟科技黑洞的最宝贵的资本,这不同于做路由器和应用服务,可以根据RFC规定做路由协议,或者根据用户的需求分析可完成应用的开发。对于黑客攻防产品、特别是DDoS攻防的算法,有时候,防护算法的小小一个字节的不同,对于整个防护效果则是差之千里,而对攻防的算法的效果提升,是没有什么文档可以依赖的,只能立足于广泛的攻防积累,没有时间、没有大量的客户群,黑洞无法达到其现在的防护能力,从这点来说,黑洞是应该真心感谢那些使用黑洞的客户的。
有了DDoS防护算法的核心技术,绿盟科技的黑洞产品线也在不断的壮大,在抗DDoS领域,黑洞传统的抗DDoS清洗设备拥有了最全的产品系列——从最低端百兆级别的企业级清洗设备,到电信级数十G清洗能力的高端集群设备;流量检测分析领域,推出了专业的NTA流量分析产品;在僵尸网络发现领域,推出了蜜罐系统,自动捕获那些恶意攻击者和被感染的僵尸主机。全面的产品能力,让绿盟科技可以进一步为行业客户提供完善的抗DDoS流量清洗解决方案,在运营商,借助旁路算法技术、借助流量牵引技术、借助流量回注技术,形成了安全岛解决方案在骨干网络中,建立一个以黑洞为核心的安全岛屿,任何的异常流量都要进入这个安全岛内部去审核一遍,清除异常,让正常访问畅通无阻……
绿盟科技始终相信,过硬的技术、良好的服务才应该是最终极、最好的营销宣传手段,而绿盟科技黑洞团队也在持续不断地进行着攻防研究,凭借这些抗DDoS技术及经验积累,未来的一段时间里,黑洞将继续做中国最好的抗DDoS产品,让绿盟科技再多几件黑洞那些事儿。