黑洞那些事兒專家談抗拒絕服務攻擊防範

黑洞是綠盟科技抗拒絕服務攻擊（ddos）的產品名字，也稱為ads（anti-ddos system），是專門用於清洗網路上ddos攻擊的一款硬體裝置，也有朋友叫它ddos防火牆。網路上大量氾濫的拒絕服務攻擊，可以輕易地讓web、dns等應用的伺服器、路由器甚至網路鏈路阻塞和癱瘓，因此，架設在網路出口的黑洞，將那些惡意流量精確的除掉，只讓正常的訪問流量進入，成了黑洞的主要功能。

黑洞的生日是2023年10月25日，比綠盟科技公司小了將近2歲，不過要是把前面將近兩年的對ddos攻擊演算法的研究和產品開發的時間算上，黑洞今天倒也有理由慶祝一下自己的十週年紀念日了。2023年在中國，大部分人都還是用**線模擬撥號上網，大家對於網路安全，最多停留在安裝防毒軟體的級別上，今天已經耳熟能詳的網路硬體防火牆在當時也是個新東西，至於黑洞這種專業抗ddos的硬體裝置，則更是只有安全專家才能搞清楚了。

事實上，在那個時候，在國內市面上，綠盟科技的黑洞是沒有同類產品的，很多時候，遭遇拒絕服務攻擊的使用者會直接**找到綠盟科技，希望借一台裝置臨時頂一下。綠盟科技黑洞產品線經理葉曉虎博士，經常會回憶起當時的情況，那時綠盟科技的開發人員同時也做著技術支援的工作，葉博士就經常親自扛著一台非常笨重的黑洞裝置，跑到使用者的機房，將裝置安裝上線，除錯好。「很多伺服器被拒絕服務攻擊纏上，非常麻煩，一天24小時，沒完沒了的打，伺服器要麼就是關機，要麼就是在那裡半死不活，那些維護工程師非常頭痛」，「我們裝置一上線，伺服器就活了，效果非常明顯」，「就因為我們幫忙解決攻擊，以前都是使用者請我吃飯的」，葉博士經常會回憶那段令人激動的時刻。

可惜的是，黑洞組沒有留下最早的產品**，也沒有留下樣機，不過，在綠盟科技的生產中心，在備件庫里，筆者找到了2023年左右的黑洞。

圖1 早期的綠盟科技黑洞產品

裝置給人一種很滄桑、很古老的感覺，重量很重，乙個人搬起來非常吃力，仔細看一下，上面竟然還有個3.5寸軟盤驅動器。據說這台早期的黑洞相當原始，就有幾種防攻擊演算法，處理效能在現在看來也是小得可憐——是10mbps流量級別的。但就是這台古董級裝置，當年不知擋住了多少次拒絕服務攻擊，讓那些黑客們摸不著頭腦，不知道為什麼百試百靈的攻擊手段，突然失靈了。

黑洞上市後，很長一段時期，在網路安全的論壇上，黑洞經常就等同於抗ddos產品，黑洞經常也等同於抗ddos技術，很多網友會在**上發表自己對黑洞、對抗ddos演算法的理解，例如有人很嚴肅地討論黑洞的反向探測技術，並且寫到（原文大意如此）：「黑洞不斷向流量的來向傳送大量的反向資料，將來向資料報文消滅掉……」。文中描述的黑洞，給人的感覺不像是一台網路安全裝置，倒是更像是一台天文物理學的正負粒子對撞機，正在製造正負質子的對撞和湮滅。事實上，綠盟科技的黑洞是有反向探測技術的，但是無法像帖中所述消滅已經傳送過來的ddos報文，只是經過反向探測，可以明確區分正常報文和惡意報文，從而在後續的處理中，才能非常高效而準確地丟棄惡意報文，放行正常報文，只是，這絕不是正負質子的關係。

當然，除去這些軼聞趣事，還有很多對黑洞的惡意研究。黑客論壇上，不斷有人公布自己的發現，宣稱他們發現了黑洞的弱點，反向推測黑洞的抗ddos演算法，並且研討在黑洞防護下的攻擊改進方法。面對這些，有時黑洞研發人員一笑而過，但也有些時候，綠盟科技的黑洞也面臨非常棘手的乙個又乙個挑戰。

這些挑戰裡面，最著名的就是cc攻擊了，事實上，cc攻擊最直觀的名字應該叫做http get flood攻擊，它是專門針對web伺服器，由大量的**伺服器或者殭屍主機對web伺服器發起，不斷對某個頁面進行http get請求，消耗web伺服器的資源，最終導致web伺服器無法響應正常使用者的請求。

圖2 cc攻擊原理示意圖

但是這類攻擊卻被稱為cc攻擊——challenge collapsar，挑戰黑洞，在ddos攻擊領域，collapsar黑洞就是綠盟科技的抗拒絕服務產品。事實上，cc也是黑客在利用新的攻擊向抗ddos廠商發起挑戰：你能戰勝我們嗎？

早期綠盟科技黑洞的防護演算法大多集中在抗四層攻擊上，如著名的syn flood攻擊，以及其他一些型別如udp flood、icmp flood等，對於應用層攻擊，特別是不再偽造ip位址的真實主機訪問，很難區分每個報文的真偽，而且隨著cc攻擊工具的發展，報文的特徵字段幾乎不再存在，傳統的特徵庫的作用也越來越小。直到今天，對於防火牆、ips等一般安全產品，cc等應用級別的ddos依舊是乙個很難解決的難題，因此 cc以及其變形攻擊也至今是黑客的重要ddos攻擊手段。

還好，經歷過前期一段艱苦的研究後，黑洞很快找到了應對cc攻擊的演算法，而且隨著cc攻擊手法的變化，黑洞自身的防護演算法不斷改進，到今天為止，綠盟科技黑洞的抗cc防護演算法已經有6種，使用者可以根據自己實際的情況，選擇任何一種方便的方式進行防護，cc對於黑洞來說，已經不再是挑戰了，只有cc的名字，依舊記錄了那段攻防雙方的博弈經歷。

當然，挑戰也不都全是來自黑客攻擊者，也有來自同行業產品的競爭、技術對比測試。最讓黑洞產品難忘的一次是在2023年，東南某省電信的產品對比測試，除了綠盟科技的黑洞，競爭對手全部來自美國，都是著名的抗ddos公司：ips廠商r公司、ips廠商t公司、網路廠商c公司、以及病毒廠商m公司。特別是r公司，更是由亞太區技術總監親自從香港趕來壓陣，但最終看到的卻是黑洞的完勝。當然，那位技術總監也沒有白來，在黑洞測試icmp flooding等幾個防護的過程中，他用手機悄悄地拍下了黑洞的測試介面，因為對於這些攻擊的防護，r公司只頂住了其標稱值的20%流量。黑洞的開發人員也終於發現，原來，在網路高科技領域，也有很多美國公司需要努力趕超中國廠商的時候，只是，那些是內建的防護演算法的功效，如何能用手機**獲取到？

時間一天天過去，綠盟科技的黑洞也繼續用自己的防護效果去贏得使用者的信任，並且在業內傳遞著黑洞的口碑。黑洞在電信運營商、銀行、**、網際網路、政務辦公網，都有著國內最廣泛的應用，在北京奧運會、六十周年國慶、在國家級領導人同網友對話等重大事件中，都有綠盟科技的黑洞產品在默默看護著網路的安全。很多使用者，在黑洞防護住攻擊後，給綠盟科技技術人員致以感謝和讚賞。其實，依我看來，黑洞產品的防護效果應該首先感謝這些使用黑洞的使用者，正是由於這些分布全國、遍布各個行業的廣泛的應用和複雜的網路環境，使得黑洞每天都在面對各種各樣的新型ddos攻擊，遍布全國的黑洞部署也成了綠盟科技發現、收集新型ddos攻擊的巨大平台，幾乎任何一種新出現的ddos攻擊，都會很快反映到全國的某些黑洞上，為黑洞研發人員提供演算法研究的素材，並督促黑洞研發人員快速改進演算法，提高防護效果。

抗ddos防護演算法成了綠盟科技黑洞的最寶貴的資本，這不同於做路由器和應用服務，可以根據rfc規定做路由協議，或者根據使用者的需求分析可完成應用的開發。對於黑客攻防產品、特別是ddos攻防的演算法，有時候，防護演算法的小小乙個位元組的不同，對於整個防護效果則是差之千里，而對攻防的演算法的效果提公升，是沒有什麼文件可以依賴的，只能立足於廣泛的攻防積累，沒有時間、沒有大量的客戶群，黑洞無法達到其現在的防護能力，從這點來說，黑洞是應該真心感謝那些使用黑洞的客戶的。

有了ddos防護演算法的核心技術，綠盟科技的黑洞產品線也在不斷的壯大，在抗ddos領域，黑洞傳統的抗ddos清洗裝置擁有了最全的產品系列——從最低端百兆級別的企業級清洗裝置，到電信級數十g清洗能力的高階集群裝置；流量檢測分析領域，推出了專業的nta流量分析產品；在殭屍網路發現領域，推出了蜜罐系統，自動捕獲那些惡意攻擊者和被感染的殭屍主機。全面的產品能力，讓綠盟科技可以進一步為行業客戶提供完善的抗ddos流量清洗解決方案，在運營商，借助旁路演算法技術、借助流量牽引技術、借助流量回注技術，形成了安全島解決方案在骨幹網路中，建立乙個以黑洞為核心的安全島嶼，任何的異常流量都要進入這個安全島內部去審核一遍，清除異常，讓正常訪問暢通無阻……

綠盟科技始終相信，過硬的技術、良好的服務才應該是最終極、最好的營銷宣傳手段，而綠盟科技黑洞團隊也在持續不斷地進行著攻防研究，憑藉這些抗ddos技術及經驗積累，未來的一段時間裡，黑洞將繼續做中國最好的抗ddos產品，讓綠盟科技再多幾件黑洞那些事兒。

黑洞那些事兒專家談抗拒絕服務攻擊防範

開源縱橫談谷歌與開源那些事兒

鏈結那些事兒

指標那些事兒

黑洞那些事兒 專家談抗拒絕服務攻擊防範

開源縱橫談 谷歌與開源那些事兒

鏈結那些事兒

指標那些事兒

相關推薦

黑洞那些事兒專家談抗拒絕服務攻擊防範

開源縱橫談谷歌與開源那些事兒