在研究這個問題之前，我們先來談?wù)勈裁词荄DOS：

什么是DDOS：

DDoS(分布式拒絕服務(wù))攻擊是利用TCP/IP協(xié)議漏洞進(jìn)行的一種簡單而致命的網(wǎng)絡(luò)攻擊，由于TCP/IP協(xié)議的這種會話機(jī)制漏洞無法修改，因此缺少直接有效的防御手段。大量實例證明利用傳統(tǒng)設(shè)備被動防御基本是徒勞的，而且現(xiàn)有防火墻設(shè)備還會因為有限的處理能力陷入癱瘓，成為網(wǎng)絡(luò)運行瓶頸；另外，攻擊過程中目標(biāo)主機(jī)也必然陷入癱瘓。

DDOS主要采用的是SYN FLOOD及其變種的攻擊，現(xiàn)在新的比如CC的攻擊也屬于這個范疇但是CC更智能一些，它用的是多次讀取同一個服務(wù)器存在的文件的方式，現(xiàn)有的DDOS防火墻和防火墻軟件都是采用的防止SYN以及FLOOD的攻擊沒有做重復(fù)包的檢測，所以導(dǎo)致了大多數(shù)防火墻對CC造成的DDOS攻擊沒效果；防火墻是基于內(nèi)核的網(wǎng)橋式重復(fù)包檢測、SYN FLOOD過濾、ARP過濾，這樣即便你是偽造的包，但是因為防火墻沒這個存在的ARP地址而導(dǎo)致這個是一個不合法的包從而被防火墻過濾掉，如果一個數(shù)據(jù)包想通過這個防火墻就必須符合以下的特點，一是已經(jīng)存在的ARP這個可以被驗證是正確的ARP，二是這個數(shù)據(jù)包不是重復(fù)的包（200NS以內(nèi)），三是這個連接地址是存在的，四這個數(shù)據(jù)包的狀態(tài)是持續(xù)的連接，如果不是持續(xù)的連接一樣被過濾掉。

DDOS現(xiàn)在比較流行的一種方式是CC攻擊及CC變種攻擊，攻擊7000.7100端口，這往往發(fā)生在網(wǎng)絡(luò)游戲服務(wù)器上，導(dǎo)致玩家進(jìn)入游戲界面選擇和建立不了人物。其基本原理是：攻擊發(fā)起主機(jī)(attacker host) 多次通過網(wǎng)絡(luò)中的HTTP代理服務(wù)器(HTTP proxy) 向目標(biāo)主機(jī)(target host) 上開銷比較大的CGI頁面發(fā)起HTTP請求造成目標(biāo)主機(jī)拒絕服務(wù)( Denial of Service ) 。這是一種很聰明的分布式拒絕服務(wù)攻擊( Distributed Denial of Service ) 與典型的分布式拒絕服務(wù)攻擊不同，攻擊者不需要去尋找大量的傀儡機(jī)，代理服務(wù)器充當(dāng)了這個角色。

那么，機(jī)房采用的硬件防火墻能不能很好的防御DDOS攻擊呢？

要研究這個問題，還是先來看看國內(nèi)的機(jī)房都采用哪些硬件防火墻：其實目前國內(nèi)抗DDOS防火墻比較知名的，同時信譽(yù)度和使用效果也比較好的應(yīng)該是黑洞、金盾和Dosnipe的產(chǎn)品。一些其他的所謂“XX盾DDoS防火墻”多半是抄襲篡改或者完全就是沒有實際效果只是用來騙錢的東西。

Dosnipe防火墻：

Dosnipe防火墻硬件架構(gòu)部分主體采取工業(yè)計算機(jī)(工控機(jī))，可以承受惡劣的運行環(huán)境，保障設(shè)備穩(wěn)定運行；軟件平臺是FreeBSD，核心部分算法是自主研發(fā)的單向一次性非法數(shù)據(jù)包識別方法，所有的Filter機(jī)制都是在掛在驅(qū)動級。可以徹底解決所有dos/ddos攻擊(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全連接等)，針對CC攻擊，已推出DosNipe V8.0版本，此核心極其高效安全，在以往抵御一切拒絕服務(wù)攻擊的基礎(chǔ)上，新增加了抵擋CC攻擊，新算法可以高效的抵御所有CC攻擊及其變種，識別準(zhǔn)確率為100%，沒有任何誤判的可能性。

Dosnipe防火墻去年升級之后，具備更多的新特性：

·徹底解決最新的M2攻擊。

·支持多線路，多路由接入功能。

·支持流量控制功能。

·更強(qiáng)大的過濾功能。

·最新升級，徹底高效的解決所有DDOS攻擊，cc攻擊的識別率為100％

黑洞抗DDoS防火墻

黑洞抗DDoS防火墻是國內(nèi)IDC中應(yīng)用比較廣泛的一款抗DoS、DDoS攻擊產(chǎn)品，其技術(shù)比較成熟，而且防護(hù)效果顯著，已經(jīng)得到各大IDC機(jī)構(gòu)的共同認(rèn)可。黑洞目前分百兆、千兆兩款產(chǎn)品，分別可以在相應(yīng)網(wǎng)絡(luò)環(huán)境下實現(xiàn)對高強(qiáng)度攻擊的有效防護(hù)，性能遠(yuǎn)遠(yuǎn)超過同類防護(hù)產(chǎn)品。千兆黑洞主要用于保護(hù)骨干線路上的網(wǎng)絡(luò)設(shè)備如防火墻、路由器，百兆黑洞主要用于保護(hù)子網(wǎng)和服務(wù)器，使用多種算法識別攻擊和正常流量，能在高攻擊流量環(huán)境下保證95%以上的連接保持率和95%以上的新連接發(fā)起成功率，核心算法由匯編實現(xiàn)，針對Intel IA32體系結(jié)構(gòu)進(jìn)行了指令集優(yōu)化。對標(biāo)準(zhǔn)TCP狀態(tài)進(jìn)行了精簡和優(yōu)化，效率遠(yuǎn)高于目前流行的SYN Cookie和Random Drop等算法。

黑洞所帶來的防護(hù)：

·自身安全:無IP地址，網(wǎng)絡(luò)隱身。

·能夠?qū)YN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS攻擊進(jìn)行防護(hù)。

·可以有效防止連接耗盡，主動清除服務(wù)器上的殘余連接，提高網(wǎng)絡(luò)服務(wù)的品質(zhì)、抑制網(wǎng)絡(luò)蠕蟲擴(kuò)散。

·可以防護(hù)DNS Query Flood，保護(hù)DNS服務(wù)器正常運行。

·可以給各種端口掃描軟件反饋迷惑性信息，因此也可以對其它類型的攻擊起到防護(hù)作用。

金盾抗DDOS防火墻

金盾抗DDOS防火墻由合肥中新軟件有限公司開發(fā)，是一款針對ISP接入商、IDC服務(wù)商開發(fā)的專業(yè)性比較強(qiáng)的專業(yè)防火墻。適用于Internet平臺所有企業(yè)與個人用戶，尤其對一些大型的娛樂站點和重要企業(yè)站點的網(wǎng)絡(luò)流暢起到了重要的安全保護(hù)作用。

產(chǎn)品目前采用了最底層驅(qū)動技術(shù)，提供完善的面向連接操作。公司在長期ISP運營和致力于網(wǎng)絡(luò)安全的研究過程中，研究和發(fā)明了一種防御和抵抗拒絕服務(wù)攻擊的解決辦法。測試的效果表明，目前的防御算法對所有已知的拒絕服務(wù)攻擊是免疫的，也就是說，是完全可以抵抗已知DoS/DDoS攻擊的。

金盾抗DDOS防火墻可以抵御多種拒絕服務(wù)攻擊及其變種，可防各類 DoS/DDoS攻擊，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各種變種如Land，Teardrop，Smurf，Ping of Death等。

據(jù)說全國有近半的電信和網(wǎng)通機(jī)房都有其產(chǎn)品，金盾防火墻是專門針對DDOS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻，該設(shè)備采用自主研發(fā)的新一代抗拒絕攻擊算法，可達(dá)到10萬－100萬個并發(fā)攻擊的防御能力，同時對正常用戶的連接和使用沒有影響。專用得體系結(jié)構(gòu)可改變TCP/IP的內(nèi)核，在系統(tǒng)核心實現(xiàn)防御拒絕攻擊的算法，并創(chuàng)造性的將算法實現(xiàn)在網(wǎng)絡(luò)驅(qū)動層，效率沒有受到限制。同時可防御多種拒絕服務(wù)攻擊及其變種，如：SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等。

分析：

當(dāng)然也有一些技術(shù)人員提出觀點，認(rèn)為從原則上說，上面類似產(chǎn)品不能說是防火墻，應(yīng)該說一種異常流量清洗系統(tǒng)；現(xiàn)在的DDoS防御技術(shù)在防火墻也有，但防火墻的能力有限，不能很深入的針對每一個閥值參數(shù)進(jìn)行分析和執(zhí)行，而只有一個執(zhí)行，而且執(zhí)行的度量是定死了；沒有一個學(xué)習(xí)后再細(xì)化，這就是防火墻的弱點，但這種產(chǎn)品一般是在高帶寬流量的環(huán)境應(yīng)用，說白一點，是放到運營商上面應(yīng)用，所以產(chǎn)品的性能要求十分嚴(yán)苛，要經(jīng)得起考驗，這不是鬧著玩；因為這套東西，運營商拿去也是給增值服務(wù)客戶應(yīng)用的，要收錢的，如果不能抵御一定流量的攻擊客戶肯定會翻臉。

那么，大家最關(guān)心的問題：這些硬件防火墻到底能不能防DDOS呢？

這些硬件防火墻到底能不能防DDOS：

大體上說是可以的，根據(jù)我們的了解，國內(nèi)大部分機(jī)房都是表示金盾效果還過得去，黑洞效果則更好一些，而Dosnipe由于合作的機(jī)房相對要少一些，所以收到的反饋意見不多，不過西南地區(qū)的一個電信機(jī)房代理商告訴我機(jī)房加裝Dosnipe防火墻之后確實杜絕了不少普通流量的攻擊。

但是，如果DDOS攻擊者加大攻擊的流量，大量消耗機(jī)房的出口總帶寬時，任何一款防火墻都相當(dāng)于擺設(shè)，因為不管防火墻處理能力有多強(qiáng)，出去的帶寬已經(jīng)被耗盡了，整個機(jī)房在外面看來就都是處于掉線狀態(tài)，就像一個大門已經(jīng)擠滿了人，不管你在門里安排多少個警衛(wèi)檢查都沒用，外面的人還是進(jìn)不來，而現(xiàn)在的攻擊者的行為大部分是出于商業(yè)目的，動輒G級別的攻擊，一些機(jī)房本來帶寬就不是很足夠，一遭到大流量的攻擊肯定是整個機(jī)房大面積掉線，防火墻雖然檢測到攻擊，也只能是過濾掉那些非法數(shù)據(jù)包，保護(hù)內(nèi)部的網(wǎng)絡(luò)設(shè)備和服務(wù)器不受重創(chuàng)，但掉線是機(jī)房總帶寬不足所導(dǎo)致，用再好的防火墻都無濟(jì)于事。

因此，即使很多機(jī)房都號稱采用多好的硬件防火墻，可以防御多大流量的攻擊，但如果你的服務(wù)器真的遭到大流量攻擊，機(jī)房還是不敢放你進(jìn)去，因為會影響到其他服務(wù)器的正常訪問，而且托管一臺服務(wù)器收取的費用本來就不多，為了做成這么一筆小生意而招惹大麻煩，運營商肯定覺得不劃算，最可憐的還是那些機(jī)房的網(wǎng)管人員，得手忙腳亂的封IP。

總結(jié)：

對付DDOS是一個比較復(fù)雜而龐大的系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0％的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。

所以，硬件防火墻是否能夠防DDOS這個問題的答案其實是非常令人心酸的，從理論上說，確實有效果，但是有效果又怎么樣，遭到攻擊的網(wǎng)站和服務(wù)器會被各個機(jī)房和運營商當(dāng)作瘟疫一樣防著，除了個別帶寬充足、比較有實力的運營商，基本上沒人敢接這樣的客戶。