機房的硬件防火牆到底能不能防DDOS？

在研究這個問題之前，我們先來談談什麼是DDOS：
什麼是DDOS：

        DDoS(分佈式拒絕服務)***是利用TCP/IP協議漏洞進行的一種簡單而致命的網絡***，由於TCP/IP協議的這種會話機制漏洞無法修改，因此缺少直接有效的防禦手段。大量實例證明利用傳統設備被動防禦基本是徒勞的，而且現有防火牆設備還會因爲有限的處理能力陷入癱瘓，成爲網絡運行瓶頸；另外，***過程中目標主機也必然陷入癱瘓。

        DDOS主要採用的是SYN FLOOD及其變種的***，現在新的比如CC的***也屬於這個範疇但是CC更智能一些，它用的是多次讀取同一個服務器存在的文件的方式，現有的DDOS防火牆和防火牆軟件都是採用的防止SYN以及FLOOD的***沒有做重複包的檢測，所以導致了大多數防火牆對CC造成的DDOS***沒效果；防火牆是基於內核的網橋式重複包檢測、SYN FLOOD過濾、ARP過濾，這樣即便你是僞造的包，但是因爲防火牆沒這個存在的ARP地址而導致這個是一個不合法的包從而被防火牆過濾掉，如果一個數據包想通過這個防火牆就必須符合以下的特點，一是已經存在的ARP這個可以被驗證是正確的ARP，二是這個數據包不是重複的包（200NS以內），三是這個連接地址是存在的，四這個數據包的狀態是持續的連接，如果不是持續的連接一樣被過濾掉。

        DDOS現在比較流行的一種方式是CC***及CC變種***，***7000.7100端口，這往往發生在網絡遊戲服務器上，導致玩家進入遊戲界面選擇和建立不了人物。其基本原理是：***發起主機(attacker host) 多次通過網絡中的HTTP代理服務器(HTTP proxy) 向目標主機(target host) 上開銷比較大的CGI頁面發起HTTP請求造成目標主機拒絕服務( Denial of Service ) 。這是一種很聰明的分佈式拒絕服務***( Distributed Denial of Service ) 與典型的分佈式拒絕服務***不同，***者不需要去尋找大量的傀儡機，代理服務器充當了這個角色。

        那麼，機房採用的硬件防火牆能不能很好的防禦DDOS***呢？

        要研究這個問題，還是先來看看國內的機房都採用哪些硬件防火牆：其實目前國內抗DDOS防火牆比較知名的，同時信譽度和使用效果也比較好的應該是黑洞、金盾和Dosnipe的產品。一些其他的所謂“XX盾DDoS防火牆”多半是抄襲篡改或者完全就是沒有實際效果只是用來騙錢的東西。

Dosnipe防火牆：

        Dosnipe防火牆硬件架構部分主體採取工業計算機(工控機)，可以承受惡劣的運行環境，保障設備穩定運行；軟件平臺是FreeBSD，核心部分算法是自主研發的單向一次性非法數據包識別方法，所有的Filter機制都是在掛在驅動級。可以徹底解決所有dos/ddos***(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全連接等)，針對CC***，已推出DosNipe V8.0版本，此核心極其高效安全，在以往抵禦一切拒絕服務***的基礎上，新增加了抵擋CC***，新算法可以高效的抵禦所有CC***及其變種，識別準確率爲100%，沒有任何誤判的可能性。

        Dosnipe防火牆去年升級之後，具備更多的新特性：

·徹底解決最新的M2***。
·支持多線路，多路由接入功能。
·支持流量控制功能。
·更強大的過濾功能。
·最新升級，徹底高效的解決所有DDOS***，cc***的識別率爲100％

黑洞抗DDoS防火牆

        黑洞抗DDoS防火牆是國內IDC中應用比較廣泛的一款抗DoS、DDoS***產品，其技術比較成熟，而且防護效果顯著，已經得到各大IDC機構的共同認可。黑洞目前分百兆、千兆兩款產品，分別可以在相應網絡環境下實現對高強度***的有效防護，性能遠遠超過同類防護產品。千兆黑洞主要用於保護骨幹線路上的網絡設備如防火牆、路由器，百兆黑洞主要用於保護子網和服務器，使用多種算法識別***和正常流量，能在高***流量環境下保證95%以上的連接保持率和95%以上的新連接發起成功率，核心算法由彙編實現，針對Intel IA32體系結構進行了指令集優化。對標準TCP狀態進行了精簡和優化，效率遠高於目前流行的SYN Cookie和Random Drop等算法。

        黑洞所帶來的防護:

·自身安全:無IP地址，網絡隱身。
·能夠對SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS***進行防護。
·可以有效防止連接耗盡，主動清除服務器上的殘餘連接，提高網絡服務的品質、抑制網絡蠕蟲擴散。
·可以防護DNS Query Flood，保護DNS服務器正常運行。
·可以給各種端口掃描軟件反饋迷惑性信息，因此也可以對其它類型的***起到防護作用。

金盾抗DDOS防火牆

        金盾抗DDOS防火牆由合肥中新軟件有限公司開發，是一款針對ISP接入商、IDC服務商開發的專業性比較強的專業防火牆。適用於Internet平臺所有企業與個人用戶，尤其對一些大型的娛樂站點和重要企業站點的網絡流暢起到了重要的安全保護作用。

        產品目前採用了最底層驅動技術，提供完善的面向連接操作。公司在長期ISP運營和致力於網絡安全的研究過程中，研究和發明了一種防禦和抵抗拒絕服務***的解決辦法。測試的效果表明，目前的防禦算法對所有已知的拒絕服務***是免疫的，也就是說，是完全可以抵抗已知DoS/DDoS***的。

        金盾抗DDOS防火牆可以抵禦多種拒絕服務***及其變種，可防各類 DoS/DDoS***，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各種變種如Land，Teardrop，Smurf，Ping of Death等。

        據說全國有近半的電信和網通機房都有其產品，金盾防火牆是專門針對DDOS***和******而設計的專業級防火牆，該設備採用自主研發的新一代抗拒絕***算法，可達到10萬－100萬個併發***的防禦能力，同時對正常用戶的連接和使用沒有影響。專用得體系結構可改變TCP/IP的內核，在系統核心實現防禦拒絕***的算法，並創造性的將算法實現在網絡驅動層，效率沒有受到限制。同時可防禦多種拒絕服務***及其變種，如：SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等。

分析：

        當然也有一些技術人員提出觀點，認爲從原則上說，上面類似產品不能說是防火牆，應該說一種異常流量清洗系統；現在的DDoS防禦技術在防火牆也有，但防火牆的能力有限，不能很深入的針對每一個閥值參數進行分析和執行，而只有一個執行，而且執行的度量是定死了；沒有一個學習後再細化，這就是防火牆的弱點，但這種產品一般是在高帶寬流量的環境應用，說白一點，是放到運營商上面應用，所以產品的性能要求十分嚴苛，要經得起考驗，這不是鬧着玩；因爲這套東西，運營商拿去也是給增值服務客戶應用的，要收錢的，如果不能抵禦一定流量的***客戶肯定會翻臉。

 &
nbsp;      那麼，大家最關心的問題：這些硬件防火牆到底能不能防DDOS呢？

這些硬件防火牆到底能不能防DDOS：

        大體上說是可以的，根據我們的瞭解，國內大部分機房都是表示金盾效果還過得去，黑洞效果則更好一些，而Dosnipe由於合作的機房相對要少一些，所以收到的反饋意見不多，不過西南地區的一個電信機房代理商告訴我機房加裝Dosnipe防火牆之後確實杜絕了不少普通流量的***。

        但是，如果DDOS***者加大***的流量，大量消耗機房的出口總帶寬時，任何一款防火牆都相當於擺設，因爲不管防火牆處理能力有多強，出去的帶寬已經被耗盡了，整個機房在外面看來就都是處於掉線狀態，就像一個大門已經擠滿了人，不管你在門裏安排多少個警衛檢查都沒用，外面的人還是進不來，而現在的***者的行爲大部分是出於商業目的，動輒G級別的***，一些機房本來帶寬就不是很足夠，一遭到大流量的***肯定是整個機房大面積掉線，防火牆雖然檢測到***，也只能是過濾掉那些非法數據包，保護內部的網絡設備和服務器不受重創，但掉線是機房總帶寬不足所導致，用再好的防火牆都無濟於事。

        因此，即使很多機房都號稱採用多好的硬件防火牆，可以防禦多大流量的***，但如果你的服務器真的遭到大流量***，機房還是不敢放你進去，因爲會影響到其他服務器的正常訪問，而且託管一臺服務器收取的費用本來就不多，爲了做成這麼一筆小生意而招惹大麻煩，運營商肯定覺得不划算，最可憐的還是那些機房的網管人員，得手忙腳亂的封IP。

總結：
　　對付DDOS是一個比較複雜而龐大的系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90％的DDOS***是可以做到的，基於***和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味着加大了***者的***成本，那麼絕大多數***者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS***。

　　所以，硬件防火牆是否能夠防DDOS這個問題的答案其實是非常令人心酸的，從理論上說，確實有效果，但是有效果又怎麼樣，遭到***的網站和服務器會被各個機房和運營商當作瘟疫一樣防着，除了個別帶寬充足、比較有實力的運營商，基本上沒人敢接這樣的客戶。