【51CTO.com 綜合消息】黑洞是綠盟科技抗拒絕服務(wù)攻擊（DDoS）的產(chǎn)品名字，也稱為ADS（Anti-DDoS System），是專門用于清洗網(wǎng)絡(luò)上DDoS攻擊的一款硬件設(shè)備，也有朋友叫它DDoS防火墻。網(wǎng)絡(luò)上大量泛濫的拒絕服務(wù)攻擊，可以輕易地讓W(xué)eb、DNS等應(yīng)用的服務(wù)器、路由器甚至網(wǎng)絡(luò)鏈路阻塞和癱瘓，因此，架設(shè)在網(wǎng)絡(luò)出口的黑洞，將那些惡意流量精確的除掉，只讓正常的訪問流量進(jìn)入，成了黑洞的主要功能。

黑洞的生日是2002年10月25日，比綠盟科技公司小了將近2歲，不過要是把前面將近兩年的對DDoS攻擊算法的研究和產(chǎn)品開發(fā)的時間算上，黑洞今天倒也有理由慶祝一下自己的十周年紀(jì)念日了。2002年在中國，大部分人都還是用電話線模擬撥號上網(wǎng)，大家對于網(wǎng)絡(luò)安全，最多停留在安裝殺毒軟件的級別上，今天已經(jīng)耳熟能詳?shù)木W(wǎng)絡(luò)硬件防火墻在當(dāng)時也是個新東西，至于黑洞這種專業(yè)抗DDoS的硬件設(shè)備，則更是只有安全專家才能搞清楚了。

事實上，在那個時候，在國內(nèi)市面上，綠盟科技的黑洞是沒有同類產(chǎn)品的，很多時候，遭遇拒絕服務(wù)攻擊的用戶會直接電話找到綠盟科技，希望借一臺設(shè)備臨時頂一下。綠盟科技黑洞產(chǎn)品線經(jīng)理葉曉虎博士，經(jīng)常會回憶起當(dāng)時的情況，那時綠盟科技的開發(fā)人員同時也做著技術(shù)支持的工作，葉博士就經(jīng)常親自扛著一臺非常笨重的黑洞設(shè)備，跑到用戶的機(jī)房，將設(shè)備安裝上線，調(diào)試好。“很多服務(wù)器被拒絕服務(wù)攻擊纏上，非常麻煩，一天24小時，沒完沒了的打，服務(wù)器要么就是關(guān)機(jī)，要么就是在那里半死不活，那些維護(hù)工程師非常頭痛”，“我們設(shè)備一上線，服務(wù)器就活了，效果非常明顯”，“就因為我們幫忙解決攻擊，以前都是用戶請我吃飯的”，葉博士經(jīng)常會回憶那段令人激動的時刻。

可惜的是，黑洞組沒有留下最早的產(chǎn)品照片，也沒有留下樣機(jī)，不過，在綠盟科技的生產(chǎn)中心，在備件庫里，筆者找到了2003年左右的黑洞。

圖1 早期的綠盟科技黑洞產(chǎn)品圖片

設(shè)備給人一種很滄桑、很古老的感覺，重量很重，一個人搬起來非常吃力，仔細(xì)看一下，上面竟然還有個3.5寸軟盤驅(qū)動器。據(jù)說這臺早期的黑洞相當(dāng)原始，就有幾種防攻擊算法，處理性能在現(xiàn)在看來也是小得可憐——是10Mbps流量級別的。但就是這臺古董級設(shè)備，當(dāng)年不知擋住了多少次拒絕服務(wù)攻擊，讓那些黑客們摸不著頭腦，不知道為什么百試百靈的攻擊手段，突然失靈了。

黑洞上市后，很長一段時期，在網(wǎng)絡(luò)安全的論壇上，黑洞經(jīng)常就等同于抗DDoS產(chǎn)品，黑洞經(jīng)常也等同于抗DDoS技術(shù)，很多網(wǎng)友會在網(wǎng)站上發(fā)表自己對黑洞、對抗DDoS算法的理解，例如有人很嚴(yán)肅地討論黑洞的反向探測技術(shù)，并且寫到（原文大意如此）：“黑洞不斷向流量的來向發(fā)送大量的反向數(shù)據(jù)，將來向數(shù)據(jù)報文消滅掉……”。文中描述的黑洞，給人的感覺不像是一臺網(wǎng)絡(luò)安全設(shè)備，倒是更像是一臺天文物理學(xué)的正負(fù)粒子對撞機(jī)，正在制造正負(fù)質(zhì)子的對撞和湮滅。事實上，綠盟科技的黑洞是有反向探測技術(shù)的，但是無法像帖中所述消滅已經(jīng)發(fā)送過來的DDoS報文，只是經(jīng)過反向探測，可以明確區(qū)分正常報文和惡意報文，從而在后續(xù)的處理中，才能非常高效而準(zhǔn)確地丟棄惡意報文，放行正常報文，只是，這絕不是正負(fù)質(zhì)子的關(guān)系。

當(dāng)然，除去這些軼聞趣事，還有很多對黑洞的惡意研究。黑客論壇上，不斷有人公布自己的發(fā)現(xiàn)，宣稱他們發(fā)現(xiàn)了黑洞的弱點(diǎn)，反向推測黑洞的抗DDoS算法，并且研討在黑洞防護(hù)下的攻擊改進(jìn)方法。面對這些，有時黑洞研發(fā)人員一笑而過，但也有些時候，綠盟科技的黑洞也面臨非常棘手的一個又一個挑戰(zhàn)。

這些挑戰(zhàn)里面，最著名的就是CC攻擊了，事實上，CC攻擊最直觀的名字應(yīng)該叫做Http Get Flood攻擊，它是專門針對Web服務(wù)器，由大量的代理服務(wù)器或者僵尸主機(jī)對Web服務(wù)器發(fā)起，不斷對某個頁面進(jìn)行Http Get請求，消耗Web服務(wù)器的資源，最終導(dǎo)致Web服務(wù)器無法響應(yīng)正常用戶的請求。

圖2 CC攻擊原理示意圖

但是這類攻擊卻被稱為CC攻擊——Challenge Collapsar，挑戰(zhàn)黑洞，在DDoS攻擊領(lǐng)域，Collapsar黑洞就是綠盟科技的抗拒絕服務(wù)產(chǎn)品。事實上，CC也是黑客在利用新的攻擊向抗DDoS廠商發(fā)起挑戰(zhàn)：你能戰(zhàn)勝我們嗎？

早期綠盟科技黑洞的防護(hù)算法大多集中在抗四層攻擊上，如著名的SYN Flood攻擊，以及其他一些類型如UDP Flood、ICMP Flood等，對于應(yīng)用層攻擊，特別是不再偽造IP地址的真實主機(jī)訪問，很難區(qū)分每個報文的真?zhèn)危译S著CC攻擊工具的發(fā)展，報文的特征字段幾乎不再存在，傳統(tǒng)的特征庫的作用也越來越小。直到今天，對于防火墻、IPS等一般安全產(chǎn)品，CC等應(yīng)用級別的DDoS依舊是一個很難解決的難題，因此 CC以及其變形攻擊也至今是黑客的重要DDoS攻擊手段。

還好，經(jīng)歷過前期一段艱苦的研究后，黑洞很快找到了應(yīng)對CC攻擊的算法，而且隨著CC攻擊手法的變化，黑洞自身的防護(hù)算法不斷改進(jìn)，到今天為止，綠盟科技黑洞的抗CC防護(hù)算法已經(jīng)有6種，用戶可以根據(jù)自己實際的情況，選擇任何一種方便的方式進(jìn)行防護(hù)，CC對于黑洞來說，已經(jīng)不再是挑戰(zhàn)了，只有CC的名字，依舊記錄了那段攻防雙方的博弈經(jīng)歷。

當(dāng)然，挑戰(zhàn)也不都全是來自黑客攻擊者，也有來自同行業(yè)產(chǎn)品的競爭、技術(shù)對比測試。最讓黑洞產(chǎn)品難忘的一次是在2006年，東南某省電信的產(chǎn)品對比測試，除了綠盟科技的黑洞，競爭對手全部來自美國，都是著名的抗DDoS公司：IPS廠商R公司、IPS廠商T公司、網(wǎng)絡(luò)廠商C公司、以及病毒廠商M公司。特別是R公司，更是由亞太區(qū)技術(shù)總監(jiān)親自從香港趕來壓陣，但最終看到的卻是黑洞的完勝。當(dāng)然，那位技術(shù)總監(jiān)也沒有白來，在黑洞測試ICMP Flooding等幾個防護(hù)的過程中，他用手機(jī)悄悄地拍下了黑洞的測試界面，因為對于這些攻擊的防護(hù)，R公司只頂住了其標(biāo)稱值的20%流量。黑洞的開發(fā)人員也終于發(fā)現(xiàn)，原來，在網(wǎng)絡(luò)高科技領(lǐng)域，也有很多美國公司需要努力趕超中國廠商的時候，只是，那些是內(nèi)置的防護(hù)算法的功效，如何能用手機(jī)照片獲取到？

時間一天天過去，綠盟科技的黑洞也繼續(xù)用自己的防護(hù)效果去贏得用戶的信任，并且在業(yè)內(nèi)傳遞著黑洞的口碑。黑洞在電信運(yùn)營商、銀行、證券、互聯(lián)網(wǎng)、政務(wù)辦公網(wǎng)，都有著國內(nèi)最廣泛的應(yīng)用，在北京奧運(yùn)會、六十周年國慶、在國家級領(lǐng)導(dǎo)人同網(wǎng)友對話等重大事件中，都有綠盟科技的黑洞產(chǎn)品在默默看護(hù)著網(wǎng)絡(luò)的安全。很多用戶，在黑洞防護(hù)住攻擊后，給綠盟科技技術(shù)人員致以感謝和贊賞。其實，依我看來，黑洞產(chǎn)品的防護(hù)效果應(yīng)該首先感謝這些使用黑洞的用戶，正是由于這些分布全國、遍布各個行業(yè)的廣泛的應(yīng)用和復(fù)雜的網(wǎng)絡(luò)環(huán)境，使得黑洞每天都在面對各種各樣的新型DDoS攻擊，遍布全國的黑洞部署也成了綠盟科技發(fā)現(xiàn)、收集新型DDoS攻擊的巨大平臺，幾乎任何一種新出現(xiàn)的DDoS攻擊，都會很快反映到全國的某些黑洞上，為黑洞研發(fā)人員提供算法研究的素材，并督促黑洞研發(fā)人員快速改進(jìn)算法，提高防護(hù)效果。

抗DDoS防護(hù)算法成了綠盟科技黑洞的最寶貴的資本，這不同于做路由器和應(yīng)用服務(wù)，可以根據(jù)RFC規(guī)定做路由協(xié)議，或者根據(jù)用戶的需求分析可完成應(yīng)用的開發(fā)。對于黑客攻防產(chǎn)品、特別是DDoS攻防的算法，有時候，防護(hù)算法的小小一個字節(jié)的不同，對于整個防護(hù)效果則是差之千里，而對攻防的算法的效果提升，是沒有什么文檔可以依賴的，只能立足于廣泛的攻防積累，沒有時間、沒有大量的客戶群，黑洞無法達(dá)到其現(xiàn)在的防護(hù)能力，從這點(diǎn)來說，黑洞是應(yīng)該真心感謝那些使用黑洞的客戶的。

有了DDoS防護(hù)算法的核心技術(shù)，綠盟科技的黑洞產(chǎn)品線也在不斷的壯大，在抗DDoS領(lǐng)域，黑洞傳統(tǒng)的抗DDoS清洗設(shè)備擁有了最全的產(chǎn)品系列——從最低端百兆級別的企業(yè)級清洗設(shè)備，到電信級數(shù)十G清洗能力的高端集群設(shè)備；流量檢測分析領(lǐng)域，推出了專業(yè)的NTA流量分析產(chǎn)品；在僵尸網(wǎng)絡(luò)發(fā)現(xiàn)領(lǐng)域，推出了蜜罐系統(tǒng)，自動捕獲那些惡意攻擊者和被感染的僵尸主機(jī)。全面的產(chǎn)品能力，讓綠盟科技可以進(jìn)一步為行業(yè)客戶提供完善的抗DDoS流量清洗解決方案，在運(yùn)營商，借助旁路算法技術(shù)、借助流量牽引技術(shù)、借助流量回注技術(shù)，形成了安全島解決方案在骨干網(wǎng)絡(luò)中，建立一個以黑洞為核心的安全島嶼，任何的異常流量都要進(jìn)入這個安全島內(nèi)部去審核一遍，清除異常，讓正常訪問暢通無阻……

綠盟科技始終相信，過硬的技術(shù)、良好的服務(wù)才應(yīng)該是最終極、最好的營銷宣傳手段，而綠盟科技黑洞團(tuán)隊也在持續(xù)不斷地進(jìn)行著攻防研究，憑借這些抗DDoS技術(shù)及經(jīng)驗積累，未來的一段時間里，黑洞將繼續(xù)做中國最好的抗DDoS產(chǎn)品，讓綠盟科技再多幾件黑洞那些事兒。