綠盟科技:黑洞那些事兒
【51CTO.com 綜合消息】黑洞是綠盟科技抗拒絕服務攻擊(DDoS)的產品名字,也稱為ADS(Anti-DDoS System),是專門用于清洗網絡上DDoS攻擊的一款硬件設備,也有朋友叫它DDoS防火墻。網絡上大量泛濫的拒絕服務攻擊,可以輕易地讓Web、DNS等應用的服務器、路由器甚至網絡鏈路阻塞和癱瘓,因此,架設在網絡出口的黑洞,將那些惡意流量精確的除掉,只讓正常的訪問流量進入,成了黑洞的主要功能。
黑洞的生日是2002年10月25日,比綠盟科技公司小了將近2歲,不過要是把前面將近兩年的對DDoS攻擊算法的研究和產品開發的時間算上,黑洞今天倒也有理由慶祝一下自己的十周年紀念日了。2002年在中國,大部分人都還是用電話線模擬撥號上網,大家對于網絡安全,最多停留在安裝殺毒軟件的級別上,今天已經耳熟能詳的網絡硬件防火墻在當時也是個新東西,至于黑洞這種專業抗DDoS的硬件設備,則更是只有安全專家才能搞清楚了。
事實上,在那個時候,在國內市面上,綠盟科技的黑洞是沒有同類產品的,很多時候,遭遇拒絕服務攻擊的用戶會直接電話找到綠盟科技,希望借一臺設備臨時頂一下。綠盟科技黑洞產品線經理葉曉虎博士,經常會回憶起當時的情況,那時綠盟科技的開發人員同時也做著技術支持的工作,葉博士就經常親自扛著一臺非常笨重的黑洞設備,跑到用戶的機房,將設備安裝上線,調試好。“很多服務器被拒絕服務攻擊纏上,非常麻煩,一天24小時,沒完沒了的打,服務器要么就是關機,要么就是在那里半死不活,那些維護工程師非常頭痛”,“我們設備一上線,服務器就活了,效果非常明顯”,“就因為我們幫忙解決攻擊,以前都是用戶請我吃飯的”,葉博士經常會回憶那段令人激動的時刻。
可惜的是,黑洞組沒有留下最早的產品照片,也沒有留下樣機,不過,在綠盟科技的生產中心,在備件庫里,筆者找到了2003年左右的黑洞。
圖1 早期的綠盟科技黑洞產品圖片
設備給人一種很滄桑、很古老的感覺,重量很重,一個人搬起來非常吃力,仔細看一下,上面竟然還有個3.5寸軟盤驅動器。據說這臺早期的黑洞相當原始,就有幾種防攻擊算法,處理性能在現在看來也是小得可憐——是10Mbps流量級別的。但就是這臺古董級設備,當年不知擋住了多少次拒絕服務攻擊,讓那些黑客們摸不著頭腦,不知道為什么百試百靈的攻擊手段,突然失靈了。
黑洞上市后,很長一段時期,在網絡安全的論壇上,黑洞經常就等同于抗DDoS產品,黑洞經常也等同于抗DDoS技術,很多網友會在網站上發表自己對黑洞、對抗DDoS算法的理解,例如有人很嚴肅地討論黑洞的反向探測技術,并且寫到(原文大意如此):“黑洞不斷向流量的來向發送大量的反向數據,將來向數據報文消滅掉……”。文中描述的黑洞,給人的感覺不像是一臺網絡安全設備,倒是更像是一臺天文物理學的正負粒子對撞機,正在制造正負質子的對撞和湮滅。事實上,綠盟科技的黑洞是有反向探測技術的,但是無法像帖中所述消滅已經發送過來的DDoS報文,只是經過反向探測,可以明確區分正常報文和惡意報文,從而在后續的處理中,才能非常高效而準確地丟棄惡意報文,放行正常報文,只是,這絕不是正負質子的關系。
當然,除去這些軼聞趣事,還有很多對黑洞的惡意研究。黑客論壇上,不斷有人公布自己的發現,宣稱他們發現了黑洞的弱點,反向推測黑洞的抗DDoS算法,并且研討在黑洞防護下的攻擊改進方法。面對這些,有時黑洞研發人員一笑而過,但也有些時候,綠盟科技的黑洞也面臨非常棘手的一個又一個挑戰。
這些挑戰里面,最著名的就是CC攻擊了,事實上,CC攻擊最直觀的名字應該叫做Http Get Flood攻擊,它是專門針對Web服務器,由大量的代理服務器或者僵尸主機對Web服務器發起,不斷對某個頁面進行Http Get請求,消耗Web服務器的資源,最終導致Web服務器無法響應正常用戶的請求。
圖2 CC攻擊原理示意圖
但是這類攻擊卻被稱為CC攻擊——Challenge Collapsar,挑戰黑洞,在DDoS攻擊領域,Collapsar黑洞就是綠盟科技的抗拒絕服務產品。事實上,CC也是黑客在利用新的攻擊向抗DDoS廠商發起挑戰:你能戰勝我們嗎?
早期綠盟科技黑洞的防護算法大多集中在抗四層攻擊上,如著名的SYN Flood攻擊,以及其他一些類型如UDP Flood、ICMP Flood等,對于應用層攻擊,特別是不再偽造IP地址的真實主機訪問,很難區分每個報文的真偽,而且隨著CC攻擊工具的發展,報文的特征字段幾乎不再存在,傳統的特征庫的作用也越來越小。直到今天,對于防火墻、IPS等一般安全產品,CC等應用級別的DDoS依舊是一個很難解決的難題,因此 CC以及其變形攻擊也至今是黑客的重要DDoS攻擊手段。
還好,經歷過前期一段艱苦的研究后,黑洞很快找到了應對CC攻擊的算法,而且隨著CC攻擊手法的變化,黑洞自身的防護算法不斷改進,到今天為止,綠盟科技黑洞的抗CC防護算法已經有6種,用戶可以根據自己實際的情況,選擇任何一種方便的方式進行防護,CC對于黑洞來說,已經不再是挑戰了,只有CC的名字,依舊記錄了那段攻防雙方的博弈經歷。
當然,挑戰也不都全是來自黑客攻擊者,也有來自同行業產品的競爭、技術對比測試。最讓黑洞產品難忘的一次是在2006年,東南某省電信的產品對比測試,除了綠盟科技的黑洞,競爭對手全部來自美國,都是著名的抗DDoS公司:IPS廠商R公司、IPS廠商T公司、網絡廠商C公司、以及病毒廠商M公司。特別是R公司,更是由亞太區技術總監親自從香港趕來壓陣,但最終看到的卻是黑洞的完勝。當然,那位技術總監也沒有白來,在黑洞測試ICMP Flooding等幾個防護的過程中,他用手機悄悄地拍下了黑洞的測試界面,因為對于這些攻擊的防護,R公司只頂住了其標稱值的20%流量。黑洞的開發人員也終于發現,原來,在網絡高科技領域,也有很多美國公司需要努力趕超中國廠商的時候,只是,那些是內置的防護算法的功效,如何能用手機照片獲取到?
時間一天天過去,綠盟科技的黑洞也繼續用自己的防護效果去贏得用戶的信任,并且在業內傳遞著黑洞的口碑。黑洞在電信運營商、銀行、證券、互聯網、政務辦公網,都有著國內最廣泛的應用,在北京奧運會、六十周年國慶、在國家級領導人同網友對話等重大事件中,都有綠盟科技的黑洞產品在默默看護著網絡的安全。很多用戶,在黑洞防護住攻擊后,給綠盟科技技術人員致以感謝和贊賞。其實,依我看來,黑洞產品的防護效果應該首先感謝這些使用黑洞的用戶,正是由于這些分布全國、遍布各個行業的廣泛的應用和復雜的網絡環境,使得黑洞每天都在面對各種各樣的新型DDoS攻擊,遍布全國的黑洞部署也成了綠盟科技發現、收集新型DDoS攻擊的巨大平臺,幾乎任何一種新出現的DDoS攻擊,都會很快反映到全國的某些黑洞上,為黑洞研發人員提供算法研究的素材,并督促黑洞研發人員快速改進算法,提高防護效果。
抗DDoS防護算法成了綠盟科技黑洞的最寶貴的資本,這不同于做路由器和應用服務,可以根據RFC規定做路由協議,或者根據用戶的需求分析可完成應用的開發。對于黑客攻防產品、特別是DDoS攻防的算法,有時候,防護算法的小小一個字節的不同,對于整個防護效果則是差之千里,而對攻防的算法的效果提升,是沒有什么文檔可以依賴的,只能立足于廣泛的攻防積累,沒有時間、沒有大量的客戶群,黑洞無法達到其現在的防護能力,從這點來說,黑洞是應該真心感謝那些使用黑洞的客戶的。
有了DDoS防護算法的核心技術,綠盟科技的黑洞產品線也在不斷的壯大,在抗DDoS領域,黑洞傳統的抗DDoS清洗設備擁有了最全的產品系列——從最低端百兆級別的企業級清洗設備,到電信級數十G清洗能力的高端集群設備;流量檢測分析領域,推出了專業的NTA流量分析產品;在僵尸網絡發現領域,推出了蜜罐系統,自動捕獲那些惡意攻擊者和被感染的僵尸主機。全面的產品能力,讓綠盟科技可以進一步為行業客戶提供完善的抗DDoS流量清洗解決方案,在運營商,借助旁路算法技術、借助流量牽引技術、借助流量回注技術,形成了安全島解決方案在骨干網絡中,建立一個以黑洞為核心的安全島嶼,任何的異常流量都要進入這個安全島內部去審核一遍,清除異常,讓正常訪問暢通無阻……
綠盟科技始終相信,過硬的技術、良好的服務才應該是最終極、最好的營銷宣傳手段,而綠盟科技黑洞團隊也在持續不斷地進行著攻防研究,憑借這些抗DDoS技術及經驗積累,未來的一段時間里,黑洞將繼續做中國最好的抗DDoS產品,讓綠盟科技再多幾件黑洞那些事兒。
