一、 国内外防御拒绝服务攻击的技术情况

　　根据美国计算机应急和响应中心的报告，到目前为止，还没有很好的解决办法来解决拒绝服务攻击问题。一般的专家认为，除非修改TCP/IP的内核，否则，从理论上没有办法彻底解决拒绝服务攻击，但通过一些技术手段，可以有效地阻止一些DoS/DdoS攻击，降低攻击的危害。

其中一些比较有前景的研究和技术包括如下：
　　1．采用下一代互联网IPv6地址；
　　2．网络采用IPSEC协议；
　　3．主机通信需要认证（HIP）；
　　4．ICMP反追溯协议（ICMP Traceback）；
　　5．回推协议（Pushback）；
　　6．网络全部采用BGP协议。
　　
　　二、国内外防御拒绝服务攻击的产品情况

　　根据调研，目前能够提供拒绝服务攻击防御的产品，可防御的并发攻击数目，改善过的操作系统所支持的数目从几百个到几千个，专用抗攻击设备大约支持两至三万个不等。
　　
　　据统计，拨号用户可以发出78个并发攻击，ISDN可以发出200个并发攻击，2兆专线可以发出3000个并发攻击，474个系统的DDoS攻击可以发出10万个并发攻击。因此，目前的防御产品还非常脆弱、不能满足当前应用的需要。特别是2M的ADSL宽带服务。

　　我国厂商主要是采用SYN代理和SYN缓存的办法，支持的并发数不高。抗小规模攻击有一定效果，抗大规模攻击，则比较困难。限制SYN的数目、SYNproxy、 SYNcache、SYN cookies和SYN defender等，这些办法只能改善，不能完全防止拒绝服务攻击。对这些技术的改进，可以提高一些效率，一般在50%左右。

　　三、中网公司抗DoS/DdoS的解决方案

　　中网公司在长期ISP运营和致力于网络安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，在理论上，中网的防御算法对目前已知的攻击是免疫的，也就是说，中网的拒绝服务防御网关，即宙斯盾抗攻击网关，是可以抵抗已知DoS/DDoS攻击的。

其主要特点包括：
　　1．专利算法
　　使用自主研发的新一代抗拒绝服务攻击算法，可达到10万至100万个并发攻击的防御能力。同时，对正常用户的连接和使用没有影响。

　　2．专用体系结构
　　改变TCP/IP的内核，在系统核心实现了防御拒绝服务攻击的算法，并创造性地将算法实现在网络驱动层，效率没有受到影响。

　　3．可以抵御多种拒绝服务攻击及其变种
　　可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

　　四、应用模式

　　中网公司防御和抵抗拒绝服务攻击的解决方案，目前已经成功地应用在多家ISP、ICP、电子商务、企业和政府网站上。

采用中网公司的宙斯盾抗攻击网关，有以下三种应用模式：

　　1．骨干网的保护模式。在每一个骨干主路由器的后面安装中网宙斯盾抗攻击网关。

　　2．局域网保护模式。在企业或政府局域网的入口设置中网宙斯盾抗攻击网关。

　　3．服务器保护模式。在重要服务器前设置中网宙斯盾抗攻击网关。

　　中网公司采用该产品参加了信息产业部支持的信息化大赛，成功守擂

联系方式:13811777523

咨询电话:010-87494812

邮件:white.lu@email.netchina.com.cn