2007年4月3号由SWsoft、微软中国和太阳网主办的创新·发展——主机行业服务创新研讨会在广州嘉逸国际酒店隆重举行，中国IT实验室、中国IDC圈作为协办单位应邀会议进行现场图文直播。

　　罗春：今天非常开心能够来到广州这个城市来跟大家分享一下我们上海遐迩网络在DDOS攻击行业多年的检验和我们一些技术。

　　实际上，大家也看到了，在太阳网的林总讲高了，影响IDC的两大总是因素。一个是IDC，一个是DDOS攻击的问题。我们在茶歇期间也了解到，在座各位当中，也有很多一部分做的比较好的IDC的服务商，还在被DDOS攻击的困扰。请允许我花一分钟的时间介绍一下我们的公司，我们上海遐迩网络科技有限公司成立于2004年5月份，是致力于网络安全产品研发的专业机构，具有在网络安全方面有比较丰富的处理经验，还有专业的技术背景。并且与国内多家的网络安全公司达成了战略合作伙伴关系，掌握了国内网络安全的趋势。

遐迩网络 罗春

　　DDOS到底是怎样一个东西呢？拒绝服务就是利用合理的服务请求来占用过多的服务资源，从而使用合法用户无法得到服务的响应。下面就是TPC的攻击从而无法获得服务。下面是一些DDOS攻击事件回顾：1999年Yahoo被拒绝服务攻击。2001年来CERT被拒绝服务攻击。2002年CNNIC被拒绝服务攻击。 2003面全球13台2根DNS中有8台被大规模拒绝服务。2005年腾讯公司遭受拒绝服务。2006年万网等国内知名网站被拒绝服务。目前的网络状况，大家可以从图片上很明显的看到，DDOS发展的趋势，07年，我们现在才4月份，它已经增长到了06年的一半了。按照这样的比例下去，今年的拒绝服务攻击比例将会超越以往任何一年，与06年大概增长150%以上。

　　DDOS攻击的特点：危害巨大，极大的降低了系统和网络的可用性。黑色产业链颇具规模。实施简单：免费攻击软件广为传播。技术门槛低。防范困难，攻击变种日新月异。攻击流量日益增大。难于追查。大家可以试想，你的Web、Mail服务器瘫痪了该怎么办？你的DNS服务器瘫痪该怎么办？支付平台被拒绝服务攻击该怎么办？游戏服务器瘫痪了该怎么办？你的机房瘫痪了怎么办？DDOS传播的防范方法有以下几种：一种是源头过滤，也就是ngress  Filter.一是是中间旅游器过滤。第三个方法就是指纹验证。第四个方面就是syn代理。源头过滤就是在边界网关上面做一些策略，非本地IP数据包，可以杜绝本地网络的及其对外防伪原地址发起攻击。但是它的成本增加了，路由器对每一个数据包，都要检查的及所以这个成本是很高的。对于路由器内部，无法杜绝攻击的产品。第二个是中间路由器过滤，同路由器管理员在路由上做ACL，对攻击行为都没有很好的效果。指纹验证，通俗一点讲，每一个系统发出的数据包都是带有指纹的，这是一个形象的比喻，实际上，可以通过TTL、MSS、Windows等等，来得到这些是什么操作系统。它的优点是，可以节省开销。但是这个有一个比较大的缺点。指纹验证比较容易出现误判。Syn代理，是目前用的比较多的，这个机制在Linuix系统里面也有相应的实现，只不过它是单机的。它的优点是可以杜绝虚假IP的报文到达目标机器。缺点是：无法杜绝BenchMark等攻击行为，系统开销大，在系统操作方面不是很好。

　　现在我们介绍一下我们公司的DosNipe的介绍与防御方案。主要是从技术方面，还有一些方案。技术介绍，我们拥有自主知识产权的“一次性单向非法数包识别方法”专利算法。解决了单一Syn代理的高开销。SynProxy延伸，解决了传统方法的判断，我们对它进行了改进和优化，比如说像指纹验证和漏判的问题都可以规避掉。最关键的一个是我们进入了网络处理器这一块，提升了小包的处理能力，可以达到线速处理。在集群方式，我们有一些很人性化的方式，不需要积数方式。可能国内的一些需要一些2、4、6、8台的方式叠加上去，我们不需要，2台就可以。而且我们提出了一个最新的模式，叫做旁路牵引模式，对于拒绝服务来讲，对于大流量的攻击包来堵塞和消耗目标的资源。对电信局提出的方法是“疏胜于堵”“疏”是为主的。将这些工具包牵引到一些旁路去处理，正常的数据流是合法的正常路径去走。

　　我们的DosNipe的主要特点：安全，拥有自主知识产权的“一次性单向非法数据报识别方法”专利算法，可以有效防护拒绝服务攻击，跟踪连接状况跃迁，进行包体内容的分析，准确率100%.第二个是高效，我们的核心精简高效，核心架构采用X86+NP的方式，采用了X86的编码灵活的特点，同时又继承了NP的高性能网络处理能力。过滤灵活，规划也很充分，在前期规避了很多的突发情况，对于大流量有很多的好处。而且我们公司有多年的DDos供基处理经验。智能这一块，我们可以自动识别所有的主机，防火墙下面有多少台主机，我们都可以知道。自动防护所有攻击，自动调整核心参数，按照供给时间来给出日志报表。还有自动添加攻击列表。下面一个是方便，我们是一个透明的bridge设备，对后面的网络拓扑结构没有任何要求。即插即用。自身系统耗尽或自身断电也不影响数据通讯。无需任何配置，真正的做到了“零管理，零配置”。我们的新技术，我们是国内售价提出的DDOS防火墙集群的厂商，拥有先进的路由模式集群，交换机模式集群等针对不同客户需求的无极限方案。

　　我们的单机部署，通过不可控网络进入到路由，进入到DDOS的过滤，然后部署。我们还有集体部署。在四川那边，已经有集团使用我们这个方案。这个是我们的旁路部署方案，我们是不需要跟路由器配合的，也就是说，目前市面上大家看到的旁路牵引，可能它有一个设备在跟路由器配合，通过路由器从旁边走，要让IDC的设备跟电信的设备配合，这个工作是很难开展的。所以，我们在链路上串联了一个DosNep的转发器，还有DosNipe-Probe来进行攻击行为检测。将攻击流量牵引至旁路，保证了网络链路的通畅。

　　这是我们产品的一些外型，这是我们操作界面的几幅图。我们这样一个Dos的使用群体是非常广泛的，凡是对不可控网络提供实时服务的，比如说大中型网络、门户，还有网上银行，流媒体服务，网络夜袭，在线证券交易，DNS服务器，防火墙、网络设备，等等一些应用，只要对要求服务质量很高的行业都可以。

　　这是我们的一些指标。接下来我给大家讲一下我们的一些典型客户，在网游娱乐这一块有：上海的盛大网络，杭州的天畅，上海的征途。金融证券有：网银在线，上海证大证券，石家庄的商业银行等等。IDC行业有：孚网络、中国E动网，四川商务互联，600IDC，上海众生网络等等。通信行业：哈尔滨省网通，重庆电信，杭州移动等等。网站：小熊在线，上海榕树下。

　　大家可能有这样一些现象，我领导也同意了买设备，要解决这一块的问题，资金也到位了，但是问题还是没有解决。为什么呢？还是出现在服务上，要第一时间服务，要及时。我们在售后服务这一块，我们非常注重这一块，这是我们售后服务的支持体系流程图，这是一些细则，我们可以远程对客户提供服务，还有一些产品的测试、现场实施、7×24小时的值守工作。售后服务的保障体系，我们会定期进行巡检，还有设备保修、紧急相应服务，进行一些远程的网络维护，包括保修其以后的维修，还可以给我们的用户提供一些免费的解决方案、技术指导，培训机会。应急服务这一块，我们给出了以下的一些方式，在接到相应之后，一个小时内作出回应，并确认是否需要进行现场应急相应服务，如果需要现场服务，我们会在3到4小时内到达用户现场进行处理。我们你买一台DosIipe设备，您将得到2天的免费应急服务，供在应急状态下使用。这个是其他服务商不可能提供的，你一台可以用2天，我们可以免费给客户提供这样的服务。

　　我的演讲就到这里，谢谢！