|
Internet上DOS攻击暴虐一时,由于可以通过使用一些公开的软件进行攻击,它的发动较为简单,同时要防止这种攻击又非常困难。DoS全称是Denial of Service,中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。
天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息,系统可以根据设置智能化地对访问信息进行检查,从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。
天网防火墙系统采用经过优化的TCP连接监控工作方式。该方式在处理TCP连接请求的时候,在确定连接请求是否合法以前,用户端Z与服务端A是隔断的。其工作流程如下图所示
防火墙接到来自用户端Z的SYN连接请求;
防火墙返回一个经过特殊处理的SYN/ACK至客户端Z以验证连接的合法性;
这时,根据连接请求是否合法,可能有以下两种情况发生:
a.防火墙接收到来自客户端Z的ACK回应,该连接请求合法。转至第4步继续;
b.防火墙没有接收到来自客户端Z的ACK回应,该连接请求非法,不进行处理;
防火墙在本地建立面向该连接的监控表项,并发送与该连接请求相关联的SYN至服务端A;
防火墙接到来自服务端A的SYN/ACK回应;
防火墙返回ACK以建立一个完整的TCP连接;
防火墙发送ACK至客户端Z,提示可以开始TCP传输过程。
其中,在第2/3/4/7步过程中,防火墙内部进行了如下操作:
在第2步中,为了验证连接的合法性,防火墙返回的SYN/ACK是经过特殊处理的,并提示客户端Z暂时不要传送有效数据;
在第3步中,防火墙接收到来自客户端Z的ACK,检验其合法性。
在第4步中,防火墙在本地建立面向该连接的监控表项,同时发送与该连接相关的SYN至服务端A;
在第7步中,防火墙通过将TCP数据传输与监控表项进行比对,并调整序列号和窗口以使之匹配。开始TCP数据传输。
在这里,天网防火墙通过高效的算法(64K位的Hash)提供了超过30万以上的同时连接数的容量,为数据传输的高效和可靠提供了强有力地保障。 |
|