2007年4月27号由SWsoft、微软中国和铭格网讯主办的创新。发展——主机行业服务创新研讨会在大连富丽华酒店三楼国际会议厅隆重举行，中国IT实验室、中国IDC圈作为协办单位应邀对会议进行现场图文直播。

遐迩网络罗春

　　众所周知，拒绝服务攻击已经成为IDC行业的很重要的因素。接下来我们与大家分享一下遐迩网络在抗拒绝攻击方面的经验。首先我介绍一下我们公司，首先上海遐迩网络成立了2004年的，与多家网络公司成立了战略伙伴的关系。先看一下这是拒绝服务的图表，也是DDos的原理，这只是其中的一种攻击的原理，在目前来讲是比较困难的方法。总的来说，拒绝服务就是利用合理的理由来让拒绝用户合法的服务。我们来看一下DDos攻击事件回顾，1999年，雅虎被攻击，01年CERT被拒绝服务攻击，05年腾讯公司被拒绝服务攻击。到如今这一块户黑色的领域已经成了一定的规模了。

　　这是网络安全状况的图表，大家可以一目了然地看到，拒绝服务已经受到了危害，按照这样的趋势下去，07年的拒绝服务攻击将会是2006的150%以上。这是拒绝服务不可回避的现象，到目前为止仍然是互联网上的头号威胁。这黑色的产业链也具备了一定的规模，给我们的运营商造成了相当大的损失。而且它的实施简单，攻击软件广为广泛，技术门槛相当低。而且防护起来还比较困难。因为它对发出的"元"没有一个验证的过程，而且随着互联网的发展，它的攻击性也是日新月异。它还有一个特点难以追查，目前比较通用的一个方法叫Link  Tect.还有其他的方法，如概率取包这种的手段，但都没有一个行之有效的办法。所以追查是很困难的。大家可以设想一下，如果我们的Windows服务器被攻击了，怎么办？更甚者我们的Net服务器被攻击了，应该怎么办？还有你的财务这些金融接口被攻击了该怎么办？这都是摆在我们所有主机服务商面前的一个问题。

　　这里我介绍一下拒绝服务的一些传统的防护方法。第一种方法源头过滤，第二种方法中间路由器过滤。第三种指纹验证，第四种Syn代理。源头过滤是一个系统型的过程，就是在每个机房的路由器上，在边界路由器上分配原则，不允许分发出去。也就是说在转发之前，路由器要判断一下这个是不是本地的，优点可以断绝本地的IP地址进行攻击。但是工作量非常大。第二种办法中间路由器过滤，就是我们遇到拒绝服务的攻击的时候，通知机房管理员，在路由上做策略，对SL做一些策略。优点是高性能，带宽条件好，但是缺点也很大，实时性低，准备性低，能动性比较低。有一个共同的特征，虽然说目标是一样的，但是实际上是没有办法做策略的。第三种常用的方面就是指纹验证，大家从字面意义上理解，就是有唯一特征、唯一性的。每一种操作系统发出来的数据包，都有代表自己操作系统的特制在里面，比如说像Windows，BSD、MSS等等这样的信息都不一样，根据自己信息的组合形成一个一个的指纹。大家可以会猜到目标机器是什么样的系统。但是指纹验证也有它的缺点，误差现象比较严重，而且信息库也不一定全面。还有一种防护的办法就是Sy，所谓Sy代理就是防火墙在保护地址的前端，进行握手性的操作。优点可以断绝一些虚假的IB包文的到达，缺点是无法杜绝一些BerchVax等攻击行为，系统开销大。

　　接下来是我们提出来的一些解决方案，第一我们的技术介绍和主要特点，第二是我们一些部署方案，第三是操作的一些问题，第四我们如何进行技术支持。技术介绍我们是拥有技术知识产权的专利方法，解决了单一的Sy开销大的特点。我们也继承了它的一些优点。集群方法方面，我们有一些很人性化的方式，而且我们还推荐一种模式叫做旁路牵引模式。接下来是我们的一些特点，我们采用我们的专利办法，可以有效地防护拒绝服务攻击，进行一些连接状态的追踪，准确率是很高的，完全可以达到百分之百的比率。我们可以也可以达到防护Sy等一些攻击，还有一些非Http协议的一些攻击。正因为我们对包体内容进行分析，对于一些Http的防护也有比较明显的效果。我们融合了X86和np平台的两种优势，众所周知X86的平台比较灵活，然后np的平台是不够灵活，但是他的性能很好。我们把二者结合起来，以达到防护攻击的效果。

　　还有一个重要的特点，我们可以自动地识别所有的主机，你把一个防火墙设备加在一个网络骨干上，你不需要做任何手动的调配，我们可以自动地防护出所攻击还可以自动地态度核心的参数。还可以自动地参加参数。我们最大的特点是什么？就是方便，是一个透明的桥设备，对后面的网络透露设备不会有任何的要求。真正地做到了零管理、零配置。我们是一个技术型的公司，对技术型的研究的投入是非常地大，我们拥有各种能够满足客户需求的技术。

　　大家可以看一下，这是我们串行的集群的形式，这是防火墙拉出四条线到下面的主机，这个集群的原则是什么，有一个原则就是，我可以把它看成一台，这四台就是一台。你把任何一个断开，都不会影响到你线路的质量。接下来我会侧重介绍一下我们的旁路部署模式。大家可以看到，在国内常用的旁路牵引模式，是一种叫做通过跟路由进行配合的方式，也就是说在路由旁路，有一个类似ID设备，来进行操作的过程。但是在我们主机服务商这一块，可能有一些非技术类的问题，比如说我电信是否能够放心将你们的设备，与电信的路由进行配合。这是一个确实的问题。我们现在有这样一个解决方案，就是在路由下面创建一个转发器的设备，我们在旁路，不跟路由进行配合，跟转发器进行配合。配合完了以后进行一些流量牵引工作。这样我们的优势在哪里，可以在网络当中的任何一个结点进行牵引工作，不需要跟路由器进行配合。我们的牵引方式可以灵活多样，正常的没有被攻击的流量可以从原有线路流过。这是我们产品的一些外观，还有部分的操作界面。这是攻击日志，我们的设备的使用群体事实上可以用一句话来概括，需要对不可控网络提供实时性服务的一切群体。这是我们产品的一些指标。

　　接下来我要讲一下我们的典型客户，像网游娱乐这一块，上海的盛大网络对网络安全性的要求是比较高的，他们也经常会收到拒绝服务的攻击行为。我们为他们部署了南北互联、拒绝服务攻击等等的解决方案。还有杭州的天创网络，在06年12受到了大规模的攻击，我们在接到这样的求助的时候，我们第一时间给他们解决所有的问题。到目前为止，杭州的天创网络，已经把我们列为他们的安全顾问了。我们为他们提供了许多优质的服务。还有在金融行业，北京的网银在线，他们对南北互联的问题的要求很高，因为电信的用户要想把sogo放在网通上，南方的客户会出现很多的漏单的现象。我们为他们提供个南北互联的解决方案，并且到目前为止，在我们的防火墙设备里面，会有一些解决的方案在里面。我们会将两根线路进行融合，而不需要电信他们来做这个事情。IDC行业包括有中国能动网等等。

　　在这里我们说到，可能在座的有很多服务商，你们可能已经买了这样的设备，但是还会遇到这样的问题为什么呢？这里我们强调一个技术支持和售后服务的及时性。这是我们上海遐迩网络技术支持和售后服务及时性的一个流程示意图。那拒绝服务攻击的一级响应，在现场和远程都可以免费提供技术解决的方案，现场专家实施，以及针对客户的不同环境提供一些攻击的定制服务。我们进行一些设备的定期巡检。我这里着重强调一点，就是我们的有一个特色是什么，我们每购买一台我们的拒绝服务设备，我们会提供一个两/台/天的一个服务。就是一台的设备您可以使用两天。因为你们会有很多突发性的情况，而且你们不可能一下子购买很多的设备。所以你们只要是我们的客户，每一台的设备都有可以享受我们两/台/天的服务。这样就可以最大化地避免了一些应急问题。

　　最后我们上海遐迩网络非常希望为在座的主机服务商进行服务，谢谢！