綠盟黑洞:x86架構,linux核心與自主專利的抗syn-flood演算法。對抗單一型別的syn,udp,icmp dos效果很好,但是當多種混合時效果就略差。優點是更新快,技術支援比較好,在100m環境下對syn-flood有絕對優勢。 缺點是文件和資訊缺乏,同時工作(軟硬體兩方面)不是很穩定。
一己拙見: 作為應急響應時備用。
一己拙見: 當企業原本有計畫採購radware 裝置作為常規應用是,可以考慮同時購入fireproof模組作為備用。
f5 big-ip:x86架構,基於freebsd的核心,具有帶閥值隨機丟棄演算法的syn-cache技術和針對icmp(可能還有udp?)的流量限制功能,因此可以在一定層次上緩解和抵抗syn類的拒絕服務攻擊,實際效果尚可。
一己拙見: 不適合作為專業抗拒絕服務產品採購,可以作為負載均衡裝置的附加功能作為增值考慮。
天網防火牆:最早基於openbsd核心,x86架構,現在應該也是linux核心了。很早就加入了抗syn-flood功能,實際應該是syn-cache/syn-cookie的改進或加強版。實際測試syn流量64b包抵抗極限大概是25m左右。當小於20m是還是可以看到效果的。同時結合良好的防火牆策略應該也可以做到針對udp/icmp等型別的限制。
一己拙見: 防火牆一般來說還是讓它作為自己的專業用途(訪問控制)比較好,當然在網路業務不是很重要的生產類企業來說,買個防火牆同時兼有簡單的抗syn功能倒也不錯。
天元龍馬:抗dos產品沒用過,但是對他的防火牆產品印象比較不好,功能太簡陋了。
其他:防火牆類產品,很多都聲稱自己也具有抗dos功能,其中最著名的就是***screen和nokia/checkpoint。實測結果:
***screen 500 (asic架構) 64b包syn,當開啟syn防護開關時,攻擊流量》 18 m左右,系統資源消耗99%,網路無法連通。初步判定***screen 500 syn抗拒極限為20 m。 (多次多地點測試結果)
nokia i740 (np架構,低端和早期產品 - 340以下實際為x86架構,ipso/基於bsd核心) 64b包syn, 自動syn防護,攻擊流量......慘不忍睹...... > 10m就不行了,系統資源消耗99%,網路無法連通,同時管理介面也失去響應。但持續攻擊很久之後停止攻擊後恢復響應,說明系統工作穩定性還是不錯的(***screen也一樣,在正常再現工作時間測試上這兩家的穩定性表現也都很好,值得讚許)。
一己拙見: nokia和***screen的抗拒絕服務效能,在得到大幅改進之前還是不要提得好。
arbor和riverhead的產品尚未接觸過,可以請熟悉的朋友談談。
其他的解決方案,還有在系統級的linux/bsd的syncookie/syn-cache功能,aix/nt的網路緩衝佇列和網路引數調整,以及網路級的 4 - 7層交換處理,例如使用css11000等作負載均衡或者深層過濾等等,以及在網路裝置和閘道器上作流量速率限制。這些都可以在一定層次上緩解或減輕拒絕服務類攻擊的危害,但並不是根本的解決辦法,可以看情況考慮選擇。也許等到ip traceback和***flow等技術推廣的更廣泛一些時,情況就好一點了,算是個黑夜夢吧。
最後一點看法,拒絕服務是乙個麻煩又難纏的問題 -- 因為它的成因太複雜,在網路的鏈路層、網路層、應用層都可能出現,但大家都迴避不了。作為網路道德領域或文化領域的產物,僅僅在技術層面上是很難**的。在應對方法的選擇上,大家應該牢記三個80/20規則:
1、80%的正常時間和20%被攻擊時間。時間當然會影響到損失,在你的損失和規避他所需要的花費之間均衡考慮;
2、80%的常規攻擊和20%的特別攻擊。任何裝置都不可能處理所有的攻擊,那麼當出現特例部分的失效情況是如何應對,以及從這一條結合第一條規則考慮你的投入產出比,也是乙個重要的問題。
3、80%的正常工作時間和20%的裝置失敗時間。 裝置都有它可能失效的時候,可能是軟體、硬體、邏輯或rp問題。例如我就採購了兩台某廠商的專業抗拒絕服務產品,測試和驗收時表現正常,但是當某天受到攻擊我拿出來上線上架時我才發現,一台硬體失敗無法啟動!而另一台對這種攻擊沒有防護效用!這種情況怎麼辦?是向領導承認我失職,還是等待廠商慢慢研究出應對方案?恐怕都很難解決.
就是這樣的三個原則,可能他出現的機率並不是概數的80/20,但哪怕僅僅1%的機率我們也要把它放大百倍看待。為了1%的事故考慮資產投入,然後還要擔心會不會因為這1%時間中的1%措施失敗機率導致我們的投入全部付諸流水。
先進的技術不一定能解決問題,合理的技術才是我們所事實需要的
Hadoop國內主要發行版本
目前國內使用的不收費的hadoop版本主要包括以下3個 2008 年成立的 cloudera 是最早將 hadoop 商用的公司,為合作夥伴提供 hadoop 的商用解決方案,主要是包括支援,諮詢服務,培訓。2009年hadoop的創始人 doug cutting也任職於 cloudera 公司。c...
國內主要安全產品及廠商彙總
國內哪些公司在做企業版安全產品開發?國外的一些安全軟體是否在中國只做 銷售,基本不會在國內開發?國外的安全軟體除非個別的,基本在國內都有 銷售。有沒有國外的安全軟體開發公司在中國有分公司或辦事處?規模比較大的國外安全公司很多在國內有辦事處。防火牆類 utm fw ngfw 廠商 waf web 應用...
OTT 國內主要OTT平台背後的那些CDN服務商
2017年,以智慧型電視為核心的中國ott大屏生態市場規模將增長至550億元,2020 年將達 6,300 億元,接近 2016 年移動網際網路的生態規模,真正成為與 pc 端和移動端並駕齊驅的網際網路三架馬車之一。本文將從內容分發網路技術方面來分析當前國內眾多網際網路電視品牌的現狀,尋求下一步在c...