当今DDOS攻击以成为网上最流行、最有效的攻击方式、加上DDOS攻击工具的随手可得、使之发动一次DDOS攻击以成为一件最平凡不过的攻击!亿威科技新购黑洞防火墙防DDOS攻击，让你的服务器不再是DDOS的炮灰，亿威科技是您最值得信赖的网络安全运行维护专家！

Collapsar-1200-U 黑洞千兆无限IP ＋黑洞千兆双机热备模块
千兆版本的黑洞。适用于骨干网络和大型IDC。2U硬件，千兆多模光口。

黑洞防火墙租用价格：300元/月

DoS攻击简述

DoS攻击（拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。

由于一些网络通讯协议本身固有的缺陷，拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机付出很大的资源开销，因此攻击方往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击(分布式拒绝服务攻击)，通过控制多台傀儡主机策划进攻，更加强了攻击的破坏性，甚至可以造成一些包括防火墙、路由器在内的网络设备瘫痪。可以假想一个公用电话呼叫服务系统(如119报警台)，如果遭遇恶意地不间断拨打骚扰电话，就可能造成电话系统繁忙，从而阻塞正常的电话请求，造成呼叫中心无法为正常的用户请求服务。DoS攻击就是类似形式的恶意网络行为。

DoS攻击特点

　　 难于防范：最严重的拒绝服务攻击大都基于协议层缺陷，无法用系统升级和打补丁的方式预防。

　　 破坏力强：全球诸多大型网络服务商都曾饱受其害，包括Yahoo(雅虎)、Amazon(亚马逊)、Microsoft(微软)、Ebay、美国白宫等等，国内受害单位也不在少数。

　　 易于发动：攻击门槛低，攻击工具已经泛滥，具有初级安全知识的人就可以很容易策动和实施危害很大的攻击。

　　 追查困难：多数DoS攻击很难追查。

　　 危害面广：除了导致主机宕机外，还可能导致整个网络瘫痪。

目前的防护手段及局限性

防护手段 要求 局限性

系统优化 高水平的技术专家，能够根据攻击迅速确定攻击类型和通路，并对各种操作系统核心的配置了如指掌，同时能够根据己方所提供的服务类型和侧重点选择防护和退让策略。只能抵抗一些小规模的攻击。大部分保护主机的防护算法，如Random Drop是以牺牲部分甚至全部正常访问为代价的，对高可靠性商业网络而言是不能采纳的。
路由器优化 一些路由器自身的保护策略是以牺牲正常访问为代价的，并不能智能识别攻击和正常访问 。需要得到攻击路径中上级的网络设备服务商支持。
退让策略 采用DNS轮循，或者通过负载均衡、Cluster等技术增加响应主机数量，增加系统资源，从而提升抗打击能力。 需要相当大的资金投入和资源投入。
有抗DoS能力的防火墙 能够防护一些低规模的拒绝服务攻击，配置和操作相当简单。防火墙作为通用网络安全产品，在防DoS方面不可能达到专业产品的性能和效率，对大规模的DoS攻击是无能为力的，甚至会成为攻击目标。

黑洞所带来的防护

　　 即插即用：无需配置即可实现全面防护（也可通过配置实现特殊防护策略）。

　　自身安全：无IP地址，网络隐身。

　　 能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

　　 可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质；可以抑制网络蠕虫的扩散。

　　 可以防护DNS Query Flood，保护DNS服务器正常运行。

　　 可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。

　　黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器。
　　
　　核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　使用多种算法识别攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。