千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

国内首家全面抵挡ddos攻击的硬件防火墙:DosNipe...

[复制链接]
dayangma 发布于: 2006-6-7 16:26 532 次浏览 0 位用户参与讨论
跳转到指定楼层

针对目前大流量DDOS攻击的猖獗现象,本公司经过紧张的研发及实点测试,现隆重推出DS1200产品,并成功在上海、广州、重庆等大型骨干机房成功应用。其防御量可达2G。支持多网段防护,跨路由模式,跨网段模式,跨VLAN等模式的防护,该产品采用最高端的硬件产品以及最先进的核心专利技术,性能值真实稳定,价格超底。欢迎测试选购。
以下是公司产品的性能和测试结果:


1.硬件架构部分

主体采取工业计算机(工控机),可以承受恶劣的运行环境,保障设备稳定运行。

2.软件核心部分

研究过FreeBSD,OpenBSD,Linux,NetBSD等诸多OpenSouce的OS的核心代码以及其防火墙机制。如:IPFW,IPFW2,Ipfilter,Netfilter,PF..权衡了种种因素(如:bridge性能,中断机制,POLLing等等),最终决定采用FreeBSD的核心,然后取众家之所长。事实上,测试结果表明:FreeBSD官方的申明绝非吹嘘之言(
FreeBSD offers advanced networking, performance, security and compatibility features today
which are still missing in other operating systems, even some of the best commercial ones)
有兴趣的朋友可以自行测试看看。或者跟我们联系,索取测试方法和一系列针对性优化的文档。

3.算法实现部分

我们不是采用单一的SYNPROXY,SYNCOOKIES,或者所谓的等待重传机制.他们各自都有自己的优缺点.
我们研究了所有的传统防火墙的算法,也是取众家之所长,并且研发出了属于自己的专利算法:单向一次性非法数据包识别方法。我们所有的Filter机制都是在挂在驱动级的。

4.防护攻击部分

彻底解决所有dos/ddos攻击(synflood,ackflood,udpflood,icmpflood,igmpflood,arpflood,全连接,等),无效可立刻退款。

针对于最近比较流行的CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。其基本原理是:攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。

本公司经过紧张的研发, 已推出DosNipe V8.0版本.此核心极其高效安全,在以往抵御一切拒绝服务攻击的基础上,新增加了抵挡CC攻击。

特别是针对CC攻击,新算法可以高效的抵御所有CC攻击及其变种,识别准确率为100%,没有任何误判的可能性。成为国内第一款在硬件上彻底解决CC攻击的防火墙。


5.更智能:

自动识别所有主机,按协议类型给出流量报表
自动防护所有攻击,按攻击类型给出流量报表
自动调整核心参数,按优先级别给出用户接口
自动升级核心模块,按升级时间给出日志报表

6.更专业:

我们的防火墙只做抗DDOS,
效率和通用是一对双刃剑,也是一对矛盾,在通用和效率面前,我们选择了后者。


2006-4-19升级通告升级内容:
彻底解决最新的M2攻击。
支持多线路,多路由接入功能。
支持流量控制功能。
更强大的过滤功能。


最新升级,彻底高效的解决所有DDOS攻击,cc攻击的识别率为100%


以下是dosnipe的测试环境及相关数据 

测试目标:真实的得出本防火墙的各种性能数据 

测试型号:DOSNIPE110 

测试环境:LAN内、100M交换环境,测试所用报文皆为64字节大小的SYN报文 

发包器配置 

名称IP地址操作系统配置 

发包器1192.168.1.111LINUX 2.6.12双X2.4/1G/36scsi 
发包器2192.168.1.112LINUX 2.6.12双X2.8/2G/36scsi 
发包器3192.168.1.113FreeBSD 4.10单P4 3.0/512M/80 
发包器4192.168.1.114FreeBSD 4.10单P4 2.4/512M/80 
网管控制台192.168.1.254Winodws 2kIbm r50e Notebook 
受保护机器192.168.1.193FreeBSD 4.10P3 1.0G/128M/40G 
交换机无DCS3926S(百M) 

测试结果 

SYN发送量连接丢失率新连接成功率Ping值 
5288.89KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms 
6599.29 KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms 
8019.22 KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms 
9500.22 KB/s1%99%Minimum = 1ms, Maximum = 6ms, Average = 4ms(此时发包交换机已经丢包,到达其物理极限) 

注:4台发包器向192.168.1.193同时发起攻击,监控机器ping 192.168.1.193以确立其连通情况。 
根据严格的算法,百M线速=148100pps左右, 换算成KB的话,也就是等于:148100*64/1024=9256.25左右.所以,上海遐迩网络作为直接的防火墙研发的专业机构,在此提醒广大用户,不要被一些纯粹的销售商 慌称的”可以防护30万个包”而欺骗,一切结论必须要建立在科学的依据上 

附: 

发包器部分代码: 

tcp=(struct tcphdr *)(buffer +sizeof(struct ip)); 
tcp->dest=addr->sin_port; 
tcp->ack_seq=0; 
tcp->doff=5; 
tcp->syn=1; 
tcp->check=0; 

while(1) 

ip->ip_src.s_addr=random(); 
tcp->source=htons(random()); 
tcp->check=check_sum((unsigned short *)tcp,sizeof(struct tcphdr)); 
sendto(sockfd,buffer,head_len,0,addr,sizeof(struct sockaddr_in)); } 

 希望大家能够提出中肯的意见 如果觉得还可以的话 请帮忙顶顶 如果还有什么疑问请在论坛上说出或者联系我,谢谢!!!

上海遐迩科技http://www.sharesec.com
  
MSN:ysh@sharesec.com  QQ:522455227
相关文档及技术白皮书下载地址:http://www.sharesec.com/down.html
  
021-58513931

[此贴子已经被作者于2006-6-7 16:33:36编辑过]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城