【51CTO.com 綜合消息】黑洞是綠盟科技抗拒絕服務(wù)攻擊（DDoS）的產(chǎn)品名字，也稱為ADS（Anti-DDoS System），是專門用于清洗網(wǎng)絡(luò)上DDoS攻擊的一款硬件設(shè)備，也有朋友叫它DDoS防火墻。網(wǎng)絡(luò)上大量泛濫的拒絕服務(wù)攻擊，可以輕易地讓W(xué)eb、DNS等應(yīng)用的服務(wù)器、路由器甚至網(wǎng)絡(luò)鏈路阻塞和癱瘓，因此，架設(shè)在網(wǎng)絡(luò)出口的黑洞，將那些惡意流量精確的除掉，只讓正常的訪問(wèn)流量進(jìn)入，成了黑洞的主要功能。

黑洞的生日是2002年10月25日，比綠盟科技公司小了將近2歲，不過(guò)要是把前面將近兩年的對(duì)DDoS攻擊算法的研究和產(chǎn)品開(kāi)發(fā)的時(shí)間算上，黑洞今天倒也有理由慶祝一下自己的十周年紀(jì)念日了。2002年在中國(guó)，大部分人都還是用電話線模擬撥號(hào)上網(wǎng)，大家對(duì)于網(wǎng)絡(luò)安全，最多停留在安裝殺毒軟件的級(jí)別上，今天已經(jīng)耳熟能詳?shù)木W(wǎng)絡(luò)硬件防火墻在當(dāng)時(shí)也是個(gè)新東西，至于黑洞這種專業(yè)抗DDoS的硬件設(shè)備，則更是只有安全專家才能搞清楚了。

事實(shí)上，在那個(gè)時(shí)候，在國(guó)內(nèi)市面上，綠盟科技的黑洞是沒(méi)有同類產(chǎn)品的，很多時(shí)候，遭遇拒絕服務(wù)攻擊的用戶會(huì)直接電話找到綠盟科技，希望借一臺(tái)設(shè)備臨時(shí)頂一下。綠盟科技黑洞產(chǎn)品線經(jīng)理葉曉虎博士，經(jīng)常會(huì)回憶起當(dāng)時(shí)的情況，那時(shí)綠盟科技的開(kāi)發(fā)人員同時(shí)也做著技術(shù)支持的工作，葉博士就經(jīng)常親自扛著一臺(tái)非常笨重的黑洞設(shè)備，跑到用戶的機(jī)房，將設(shè)備安裝上線，調(diào)試好?！昂芏喾?wù)器被拒絕服務(wù)攻擊纏上，非常麻煩，一天24小時(shí)，沒(méi)完沒(méi)了的打，服務(wù)器要么就是關(guān)機(jī)，要么就是在那里半死不活，那些維護(hù)工程師非常頭痛”，“我們?cè)O(shè)備一上線，服務(wù)器就活了，效果非常明顯”，“就因?yàn)槲覀儙兔鉀Q攻擊，以前都是用戶請(qǐng)我吃飯的”，葉博士經(jīng)常會(huì)回憶那段令人激動(dòng)的時(shí)刻。

可惜的是，黑洞組沒(méi)有留下最早的產(chǎn)品照片，也沒(méi)有留下樣機(jī)，不過(guò)，在綠盟科技的生產(chǎn)中心，在備件庫(kù)里，筆者找到了2003年左右的黑洞。

圖1 早期的綠盟科技黑洞產(chǎn)品圖片

設(shè)備給人一種很滄桑、很古老的感覺(jué)，重量很重，一個(gè)人搬起來(lái)非常吃力，仔細(xì)看一下，上面竟然還有個(gè)3.5寸軟盤(pán)驅(qū)動(dòng)器。據(jù)說(shuō)這臺(tái)早期的黑洞相當(dāng)原始，就有幾種防攻擊算法，處理性能在現(xiàn)在看來(lái)也是小得可憐——是10Mbps流量級(jí)別的。但就是這臺(tái)古董級(jí)設(shè)備，當(dāng)年不知擋住了多少次拒絕服務(wù)攻擊，讓那些黑客們摸不著頭腦，不知道為什么百試百靈的攻擊手段，突然失靈了。

黑洞上市后，很長(zhǎng)一段時(shí)期，在網(wǎng)絡(luò)安全的論壇上，黑洞經(jīng)常就等同于抗DDoS產(chǎn)品，黑洞經(jīng)常也等同于抗DDoS技術(shù)，很多網(wǎng)友會(huì)在網(wǎng)站上發(fā)表自己對(duì)黑洞、對(duì)抗DDoS算法的理解，例如有人很嚴(yán)肅地討論黑洞的反向探測(cè)技術(shù)，并且寫(xiě)到（原文大意如此）：“黑洞不斷向流量的來(lái)向發(fā)送大量的反向數(shù)據(jù)，將來(lái)向數(shù)據(jù)報(bào)文消滅掉……”。文中描述的黑洞，給人的感覺(jué)不像是一臺(tái)網(wǎng)絡(luò)安全設(shè)備，倒是更像是一臺(tái)天文物理學(xué)的正負(fù)粒子對(duì)撞機(jī)，正在制造正負(fù)質(zhì)子的對(duì)撞和湮滅。事實(shí)上，綠盟科技的黑洞是有反向探測(cè)技術(shù)的，但是無(wú)法像帖中所述消滅已經(jīng)發(fā)送過(guò)來(lái)的DDoS報(bào)文，只是經(jīng)過(guò)反向探測(cè)，可以明確區(qū)分正常報(bào)文和惡意報(bào)文，從而在后續(xù)的處理中，才能非常高效而準(zhǔn)確地丟棄惡意報(bào)文，放行正常報(bào)文，只是，這絕不是正負(fù)質(zhì)子的關(guān)系。

當(dāng)然，除去這些軼聞趣事，還有很多對(duì)黑洞的惡意研究。黑客論壇上，不斷有人公布自己的發(fā)現(xiàn)，宣稱他們發(fā)現(xiàn)了黑洞的弱點(diǎn)，反向推測(cè)黑洞的抗DDoS算法，并且研討在黑洞防護(hù)下的攻擊改進(jìn)方法。面對(duì)這些，有時(shí)黑洞研發(fā)人員一笑而過(guò)，但也有些時(shí)候，綠盟科技的黑洞也面臨非常棘手的一個(gè)又一個(gè)挑戰(zhàn)。

這些挑戰(zhàn)里面，最著名的就是CC攻擊了，事實(shí)上，CC攻擊最直觀的名字應(yīng)該叫做Http Get Flood攻擊，它是專門針對(duì)Web服務(wù)器，由大量的代理服務(wù)器或者僵尸主機(jī)對(duì)Web服務(wù)器發(fā)起，不斷對(duì)某個(gè)頁(yè)面進(jìn)行Http Get請(qǐng)求，消耗Web服務(wù)器的資源，最終導(dǎo)致Web服務(wù)器無(wú)法響應(yīng)正常用戶的請(qǐng)求。

圖2 CC攻擊原理示意圖

但是這類攻擊卻被稱為CC攻擊——Challenge Collapsar，挑戰(zhàn)黑洞，在DDoS攻擊領(lǐng)域，Collapsar黑洞就是綠盟科技的抗拒絕服務(wù)產(chǎn)品。事實(shí)上，CC也是黑客在利用新的攻擊向抗DDoS廠商發(fā)起挑戰(zhàn)：你能戰(zhàn)勝我們嗎？

早期綠盟科技黑洞的防護(hù)算法大多集中在抗四層攻擊上，如著名的SYN Flood攻擊，以及其他一些類型如UDP Flood、ICMP Flood等，對(duì)于應(yīng)用層攻擊，特別是不再偽造IP地址的真實(shí)主機(jī)訪問(wèn)，很難區(qū)分每個(gè)報(bào)文的真?zhèn)?，而且隨著CC攻擊工具的發(fā)展，報(bào)文的特征字段幾乎不再存在，傳統(tǒng)的特征庫(kù)的作用也越來(lái)越小。直到今天，對(duì)于防火墻、IPS等一般安全產(chǎn)品，CC等應(yīng)用級(jí)別的DDoS依舊是一個(gè)很難解決的難題，因此 CC以及其變形攻擊也至今是黑客的重要DDoS攻擊手段。

還好，經(jīng)歷過(guò)前期一段艱苦的研究后，黑洞很快找到了應(yīng)對(duì)CC攻擊的算法，而且隨著CC攻擊手法的變化，黑洞自身的防護(hù)算法不斷改進(jìn)，到今天為止，綠盟科技黑洞的抗CC防護(hù)算法已經(jīng)有6種，用戶可以根據(jù)自己實(shí)際的情況，選擇任何一種方便的方式進(jìn)行防護(hù)，CC對(duì)于黑洞來(lái)說(shuō)，已經(jīng)不再是挑戰(zhàn)了，只有CC的名字，依舊記錄了那段攻防雙方的博弈經(jīng)歷。

當(dāng)然，挑戰(zhàn)也不都全是來(lái)自黑客攻擊者，也有來(lái)自同行業(yè)產(chǎn)品的競(jìng)爭(zhēng)、技術(shù)對(duì)比測(cè)試。最讓黑洞產(chǎn)品難忘的一次是在2006年，東南某省電信的產(chǎn)品對(duì)比測(cè)試，除了綠盟科技的黑洞，競(jìng)爭(zhēng)對(duì)手全部來(lái)自美國(guó)，都是著名的抗DDoS公司：IPS廠商R公司、IPS廠商T公司、網(wǎng)絡(luò)廠商C公司、以及病毒廠商M公司。特別是R公司，更是由亞太區(qū)技術(shù)總監(jiān)親自從香港趕來(lái)壓陣，但最終看到的卻是黑洞的完勝。當(dāng)然，那位技術(shù)總監(jiān)也沒(méi)有白來(lái)，在黑洞測(cè)試ICMP Flooding等幾個(gè)防護(hù)的過(guò)程中，他用手機(jī)悄悄地拍下了黑洞的測(cè)試界面，因?yàn)閷?duì)于這些攻擊的防護(hù)，R公司只頂住了其標(biāo)稱值的20%流量。黑洞的開(kāi)發(fā)人員也終于發(fā)現(xiàn)，原來(lái)，在網(wǎng)絡(luò)高科技領(lǐng)域，也有很多美國(guó)公司需要努力趕超中國(guó)廠商的時(shí)候，只是，那些是內(nèi)置的防護(hù)算法的功效，如何能用手機(jī)照片獲取到？

時(shí)間一天天過(guò)去，綠盟科技的黑洞也繼續(xù)用自己的防護(hù)效果去贏得用戶的信任，并且在業(yè)內(nèi)傳遞著黑洞的口碑。黑洞在電信運(yùn)營(yíng)商、銀行、證券、互聯(lián)網(wǎng)、政務(wù)辦公網(wǎng)，都有著國(guó)內(nèi)最廣泛的應(yīng)用，在北京奧運(yùn)會(huì)、六十周年國(guó)慶、在國(guó)家級(jí)領(lǐng)導(dǎo)人同網(wǎng)友對(duì)話等重大事件中，都有綠盟科技的黑洞產(chǎn)品在默默看護(hù)著網(wǎng)絡(luò)的安全。很多用戶，在黑洞防護(hù)住攻擊后，給綠盟科技技術(shù)人員致以感謝和贊賞。其實(shí)，依我看來(lái)，黑洞產(chǎn)品的防護(hù)效果應(yīng)該首先感謝這些使用黑洞的用戶，正是由于這些分布全國(guó)、遍布各個(gè)行業(yè)的廣泛的應(yīng)用和復(fù)雜的網(wǎng)絡(luò)環(huán)境，使得黑洞每天都在面對(duì)各種各樣的新型DDoS攻擊，遍布全國(guó)的黑洞部署也成了綠盟科技發(fā)現(xiàn)、收集新型DDoS攻擊的巨大平臺(tái)，幾乎任何一種新出現(xiàn)的DDoS攻擊，都會(huì)很快反映到全國(guó)的某些黑洞上，為黑洞研發(fā)人員提供算法研究的素材，并督促黑洞研發(fā)人員快速改進(jìn)算法，提高防護(hù)效果。

抗DDoS防護(hù)算法成了綠盟科技黑洞的最寶貴的資本，這不同于做路由器和應(yīng)用服務(wù)，可以根據(jù)RFC規(guī)定做路由協(xié)議，或者根據(jù)用戶的需求分析可完成應(yīng)用的開(kāi)發(fā)。對(duì)于黑客攻防產(chǎn)品、特別是DDoS攻防的算法，有時(shí)候，防護(hù)算法的小小一個(gè)字節(jié)的不同，對(duì)于整個(gè)防護(hù)效果則是差之千里，而對(duì)攻防的算法的效果提升，是沒(méi)有什么文檔可以依賴的，只能立足于廣泛的攻防積累，沒(méi)有時(shí)間、沒(méi)有大量的客戶群，黑洞無(wú)法達(dá)到其現(xiàn)在的防護(hù)能力，從這點(diǎn)來(lái)說(shuō)，黑洞是應(yīng)該真心感謝那些使用黑洞的客戶的。

有了DDoS防護(hù)算法的核心技術(shù)，綠盟科技的黑洞產(chǎn)品線也在不斷的壯大，在抗DDoS領(lǐng)域，黑洞傳統(tǒng)的抗DDoS清洗設(shè)備擁有了最全的產(chǎn)品系列——從最低端百兆級(jí)別的企業(yè)級(jí)清洗設(shè)備，到電信級(jí)數(shù)十G清洗能力的高端集群設(shè)備；流量檢測(cè)分析領(lǐng)域，推出了專業(yè)的NTA流量分析產(chǎn)品；在僵尸網(wǎng)絡(luò)發(fā)現(xiàn)領(lǐng)域，推出了蜜罐系統(tǒng)，自動(dòng)捕獲那些惡意攻擊者和被感染的僵尸主機(jī)。全面的產(chǎn)品能力，讓綠盟科技可以進(jìn)一步為行業(yè)客戶提供完善的抗DDoS流量清洗解決方案，在運(yùn)營(yíng)商，借助旁路算法技術(shù)、借助流量牽引技術(shù)、借助流量回注技術(shù)，形成了安全島解決方案在骨干網(wǎng)絡(luò)中，建立一個(gè)以黑洞為核心的安全島嶼，任何的異常流量都要進(jìn)入這個(gè)安全島內(nèi)部去審核一遍，清除異常，讓正常訪問(wèn)暢通無(wú)阻……

綠盟科技始終相信，過(guò)硬的技術(shù)、良好的服務(wù)才應(yīng)該是最終極、最好的營(yíng)銷宣傳手段，而綠盟科技黑洞團(tuán)隊(duì)也在持續(xù)不斷地進(jìn)行著攻防研究，憑借這些抗DDoS技術(shù)及經(jīng)驗(yàn)積累，未來(lái)的一段時(shí)間里，黑洞將繼續(xù)做中國(guó)最好的抗DDoS產(chǎn)品，讓綠盟科技再多幾件黑洞那些事兒。