联想网御异常流量管理系统助力网安运维

　　DDoS (分布式拒绝服务攻击)是目前黑客经常采用且难以防范的攻击手段。资料显示，从2000年以来，几乎每年都有影响巨大的大规模DDoS攻击事件发生。

　　由于DDoS攻击往往采取合法的数据请求技术，利用网络通讯协议本身固有的缺陷，通过伪造超过服务器处理能力的请求数据，造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。再加上一些傀儡机器，这就使得DDoS攻击成为目前最难防御的互联网攻击之一。如何有效地抵御DDos威胁,已成为诸多信息安全厂商共同面临的要题与难题。

　　商业利益作祟，DDoS攻击变本加剧

　　进入2007年以来，DDoS攻击更为有恃无恐。7月下旬，北京市海淀区宣布破获一起以DDoS手段实施的黑客攻击案，这次攻击给完美时空、联众等几家国内知名网络游戏厂商造成的经济损失数额已达近千万元之巨。

　　网游厂商完美时空遭受的攻击力度十分猛烈。据完美时空当时发表的声明称，这是一场“中国网络史上最大规模的黑客DDoS攻击，”同时，公司因此“遭受了数百万元的经济损失。”该公司随即向北京市海淀区警方报案。令人啼笑皆非的是，该起黑客攻击的目的竟然是某公司为推销其防火墙产品蓄意谋划的商业行为。

　　“黑客攻击目前已经形成了一条隐蔽的产业链，目前我国网络安全黑色产业链产值已超过2.38亿元，造成的损失则超过76亿元，已经形成了不可忽视的地下经济力量。”国家计算机网络应急技术处理协调中心的一份研究报告指出。

　　正是由于商业利益作祟，DDoS 已从早期单纯的娱乐或个人恶意报复演变成为集团化、有预谋的犯罪行为。赛门铁克发布的《互联网安全威胁》报告指出：“僵尸网络”越来越多地被用作敲诈工具。报告称，由于宽带互联网连接的普及非常迅速，去年下半年，来自中国的“僵尸网络”攻击增长了153%。

　　从攻击手法上看，DDoS攻击规模越来越大，由大量“肉鸡”组成的“僵尸网络”，很容易就达到数十G的攻击流量，不仅使被攻击的服务器无法服务，甚至严重影响网络接入服务的提供者--电信运营商的网络。DDoS攻击占用带宽资源，使网络拥塞，造成网络丢包、时延增大，严重时甚至导致电信运营商的网络不可用。

　　随着DDoS攻击复杂性日益增加，传统的安全防御手段已明显力不足心。无疑，用户迫切需要的是安全厂商能够提供一套针对DDoS攻击的完整解决方案，高性能异常流量管理系统应运而生。

　　助力电信用户，快速消除异常流量危害

　　在海量DDoS攻击泛滥的情况下，作为抗攻击设备如果性能不高，不仅不能起到保护服务器的作用，甚至该设备本身也会成为被攻击的目标。因此，抗DDoS攻击设备必须在抗攻击性上具有超强能力。

　　作为国内信息安全领军企业，联想网御凭借五年多来对网络处理器应用技术的研究积累，结合多年对网络攻击和防护的深刻理解，倾力打造了异常流量管理系统。该系统包括异常流量分析(Leadsec-Detector)和异常流量过滤(Leadsec -Guard)两个模块。

　　Leadsec－Detector可对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Leadsec-Guard，Leadsec-Guard对异常流量完成牵引和过滤，系统通过Leadsec-Detector和Leadsec-Guard的协同工作，完成全网的流量分析、异常流量牵引、DDOS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时地了解网络运行状况，及时地发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。

　　不久前，在某省网通组织的抗DDoS产品测试中，联想网御Leadsec－Guard表现突出，从国内外多家同行中一举胜出。测试结果显示，Leadsec-Guard可同时抵御300万pps的SYN flood攻击，性能高出其他厂商参测产品两倍以上。

　　经多位专家现场反复测试和抓包验证，Leadsec-Guard可实现防御2G的SYN flood攻击，满足电信运营商对海量DDoS攻击防护的迫切需要。在随后的多机集群测试中，面对电信复杂的网络拓扑和以前较少接触的高端网络设备，Leadsec-Guard也都圆满完成了测试项目。

　　近日，Leadsec-Guard又成功中标一大型电信数据中心的行业单。中标产品采用国际上领先的网络处理器，同时驱动32个硬件微引擎并行工作，达到了整机4G的处理能力，通过自主创新的并行处理算法，单台设备具有高达2.5G大流量攻击防御能力。当攻击流量到峰值时接近2G，经Leadsec-Guard过滤后，干净的流量仅为20M左右，正常访问不受影响，完全消除了DDoS攻击的影响，显著提高了客户满意度。

　　8月初，Leadsec-Guard系列新品Leadsec-Guard-5000/6000/7000/8000等四个型号全新上市，可广泛应用于电信、教育、IDC、企业、政府等行业，保障用户网络的持续稳定运行。

　　魔高一尺、道高一丈

　　“正是基于这种攻击的隐蔽性、危害性以及背后潜在的黑色利益，才导致目前整个互联网上DDoS泛滥成灾，甚至一些安全公司为了攻击对手或推销产品，也会请一些黑客高手向既定目标发动攻击。”一位业内人士指出。

　　但由于国内互联网立法的局限，也从一定程度上纵容了黑客的攻击行为。显然，在相关法律法规尚未健全的情况下，主流安全厂商“魔高一尺、道高一丈”、通过持续提升产品性能护航网络安全的使命自然责无旁贷；而对于众多的行业用户，也应“与时俱进”地不断加强自我防范意识。为有效防御DDoS攻击，业内专家给出了几点建议：

　　首先用户应当定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行补丁修复；其次在发现受到攻击时，将攻击导向一些不重要的主机、可以暂时保护真正的主机维持正常工作；第三充分利用现有网络设备保护网络资源；此外更重要的一点是要加强与专业安全厂商合作，对自身网络进行安全检查和升级，将未知的DDoS攻击率降到最低、将可能因此受到的损失降到最小。

　　延伸阅读：DoS/DDoS

　　DoS（Denial of Service，即“拒绝服务”）：从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的攻击方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。

　　DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

　　DDoS(Distributed Denial of Service，分布式拒绝服务)：它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司、搜索引擎和政府部门的站点。DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。