UnityOne IPS与拒绝服务攻击防护

                                                        ——安全小组整理

前言 

拒绝服务 (Denial of Service, DoS) 攻击除了导致企业的服务质量下降和业务损失外，在遭受DoS攻击时和攻击后，还将使企业付出巨大的代价。对 eBay 或 ***.*** 这样的电子商务网站来说，因 DoS 攻击造成网站停机一天，就会让他们一年少赚近上千万美元。SQL Slammer 蠕虫病毒 — 一种导致承担关键业务的 Microsoft SQL 服务器无法访问的 DoS 攻击，它造成全球企业损失高达数十亿美元。除了蠕虫病毒之外，针对固定目标的 DoS 攻击也有逐年攀升的趋势。2004 年CSI/FBI 计算机犯罪和安全调查指出，针对固定目标的 DoS 攻击是去年受到的最惨重的计算机威胁，在受访企业中有 250 家遭受攻击，总损失超过 2,600 万美元，高达其它攻击种类的两倍有余。一次成功的 DoS 攻击除了带来即时的、直接的经济损失外，它还会对企业造成长期的伤害，其中包括客户的流失、客户对企业提供的服务可靠性丧失信心以及企业形象受损害。

最近流行的 DDoS 攻击则让企业与组织在已经很沉重的成本负担上雪上加霜。拒绝服务攻击开始发展成为黑客对大型网站的入侵工具，让人们闻之色变。而随着有组织集团犯罪的机会渐渐增加，他们把攻击的对象转向 IT 资产更大的网上银行、金融机构与服务提供商等，若攻击成功，将对这些企业造成更大程度上的业务损失和名誉伤害。

有组织的犯罪集团向在线服务公司勒索钱财，以钱财来保证公司的在线服务免受到他们持续的、猛烈的 DDoS 攻击。一旦这些公司没按照攻击者的要求去做，攻击者就会利用控制着的数以千计的“傀儡计算机”(zombie) 向这些公司的在线系统发起持续的大型的 DDOS 攻击，直至他们的电子商务瘫痪。

什么是拒绝服务攻击？

拒绝服务 (Denial of Service, DoS) 是一种基于网络的、阻止用户访问网络服务的攻击。DoS 攻击采用发起大量网络连接，使服务器或运在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止合法客户访问网络服务，藉此使网络服务无法正常运作甚至关闭。

DoS 攻击可从小至攻击服务器的单一数据包，大到利用多个主机联合对被攻击服务器发起“洪水”般数据包攻击。在单一数据包攻击中，攻击者将精心设计、利用已知操作系统或应用程序漏洞，通过网络把攻击性数据包送入被攻击的报务器，以实现关闭服务器、或者关闭服务器上执行的一些相关服务。Slammer 蠕虫就是利用此类漏洞进行攻击的。

而在“洪水”战术攻击中，服务器或网络资源被“洪水”般的数据包破坏或耗尽。由于从单一地点发动“洪水”般的攻击数据包很容易被辨别或被隔离出来，因此许多攻击者都采用一种称为分布式拒绝服务 (Distributed DoS, DDoS)的攻击方法进行“洪水”般数据报攻击。

“DoS 攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”— 2004 年CSI/FBI 计算机犯罪及安全调查。

“拒绝服务 (DoS) 攻击正呈现出攀升趋势，对DoS 攻击的防护是入侵防御系统 (IPS)功能的自然拓展，因为 IPS 是线内 (in-line)工作，同时它有能力对流量进行深层检测和分类，然后根椐分析结果迅速采取各种应对措施。”— Gartner Research 副总裁Richard Stiennon。

（出自美国网络安全公司 Cyota 首席执行官 Naftali Bennett，由 Robin Amfield 在为 NewsFactor 所撰的“Credit-Card Processor Hit by DDoS Attack”一文中引用。）

在 DDoS 攻击中，黑客使用多台机器来攻击一个目标。有些攻击者设计的攻击很简单，如不断地将“洪水”般的数据经由网络传给某台服务器。其它一些种类的攻击，如 SYN flood 则是利用特别设计的数据包耗尽关健服务器资源，以阻止合法客户端连接到该服务器。

撇开细节不谈，DDoS 攻击大量的计算机组织起来作为攻击平台。这些机器一般被称为“傀儡计算机” (zombie)，它们之前都已被入侵而受到控制。黑客经常炫耀有多少台计算机听命于他们指挥。黑客透过隐密的通信渠道对“傀儡计算机”下达命令，借此发动大规模的联合攻击。由于此类攻击是通过组织遍布于广大网络上的大量计算机所发动联合攻击，因此采用简单的辨别和隔离技术是不能找到它们的。大部份情况下，想把合法流量和攻击流量分开简直难如登天。

随着愈来愈多家用 PC 宽带连网，潜在的“傀儡计算机”就可能也愈来愈多。专家估计因特网上 1/3 的家用 PC 都已经被入侵了，另一方面，由于因特网上都可以下载免费的攻击工具（如 Tribe Flood Network 与 Stacheldracht），也大大降低了发起 DDoS 攻击的复杂程度与技术门槛。。

TippingPoint 解决方案

为应对愈来愈猖獗的 DoS 及 DDoS 攻击，TippingPoint 研发了一整套防护机制来对付攻击者所使用的各种手法。UnityOne 线内 (in-line)工作方式，通过检查流量中每个比特并且过滤掉不想要的流量，来保护与之连接的网络和服务器。

TippingPoint 的防护可分成两大类型：标准 DoS 防护及高级 DDoS 防护。标准 DoS 防护针对漏洞、攻击工具及异常流量提供基础的防护。高级 DDoS 防护则可防御 SYN flood、Established Connection Flood 以及 Connection-Per-Second Flood 的攻击。

TippingPoint 所有 UnityOne IPS 产品都提供标准 DoS 防护：

            ? 漏洞防护 ─ 防止 DoS 攻击者利用已知漏洞攻击服务器，使服务器瘫痪。

            ? “傀儡计算机”招募防护 ─ 防止木马程序入侵 PC 使其变成“傀儡计算机”。

            ? 攻击工具防护 ─ 阻止已知的 DDoS 攻击程序（TFN、Loki 和Stacheldraht等）使用的隐密通信通道。

            ? 带宽防护 ─ 防止 ICMP、TCP 或 UDP 等数据包的”洪水”攻击，以免耗尽网络带宽或服务器资源，进而避免合法数据包的丢失。这些过滤器会定出一个流量基线，在流量超过设定的比例时就会自动控制流量。

高级 DDoS 防护除上述功能外，还可提供以下防护：

            ? SYN Proxy ─ 攻击者以伪造的源 IP地址，对某台服务器发出大量的恶意联机请求 (TCP SYN)，使合法客户无法访问该服务器。

            ? Connection Per Second (CPS) Flood ─ 攻击者利用“傀儡计算机”军团，重复地向服务器资源请求，如网页请求。造成服务器负担过重，导致回应迟缓，甚至不可访问。

            ? Established Connection Flood ─ 攻击者利用“傀儡计算机”军团，与服务器建立大量（可能上百万）的恶意的 TCP 连接，从而是服务器不能接收合法客户新的连接请求。

标准或高级 DoS/DDoS 防护配合使用，以防止系统遭到野蛮粗暴的 DoS 攻击，或是新机器被吸收成为“傀儡计算机”。

7 种常见的 DoS攻击方法

黑客有大量的发动拒绝服务 (DoS) 攻击的方法。以下列出的 7 种方法，突出反应了企业在反 DoS 大战中面临的难题。TippingPoint 则分别为下面这些常见 DDoS 攻击提供了解决方案：

            ? 漏洞攻击

            ? 傀儡计算机招募

            ? 攻击工具

            ? 带宽攻击

            ? SYN Flood

            ? Established Connection Flood

            ? Connections-Per-Second Flood

方法 １：漏洞攻击

攻击者企图直接通过网络攻击，使服务或服务依赖的操作系统崩溃。这些攻击主要通过利用未设防服务器中的缓冲区溢出 (buffer overflow)漏洞 及其它实施中存在的漏洞使其服务不可用。漏洞攻击无需太多资源或带宽；攻击者只需要知道哪里有漏洞可利用，就可乘隙而入，造成重大破坏。

一旦攻击者控制了易受攻击的服务、应用程序或操作系统后，他们就开始利用这些漏洞破坏系统，直至最后导致整个网络崩溃。

UnityOne 提供的漏洞防护解决方案

UnityOne 强大的引擎可以针对所有进出流量检测其是否有利用漏洞的意图，并对于有利用漏洞进行攻击的流量加以阻挡。TippingPoint 安全小组同时也开发出可以修补网络服务与操作系统漏洞的漏洞过滤器，并将之集成至“数字疫苗”(Digital Vaccine) 之中。数字疫苗每周提供给客户，或在关键漏洞出现时则立即发送，它无需用户介入即可自动部署防护。

方法 2：“傀儡计算机”招募

可以利用一种漏洞攻垮服务器，也可以利用同一种漏洞，使有漏洞的 PC 成为黑客进行 DDoS攻击的“傀儡计算机”。一旦黑客利用漏洞取得某系统的控制权，他们就会在系统内安装后门程序，以便将来可用作发动 DDoS 攻击。木马程序或类似的受感染程序都可提供通往这种系统的路径。一旦攻击者取得这条路径，他就可以通过网络远程遥控此服务器即成为“傀儡计

黑客为了利用大量的计算机同时发动DDoS攻击，会先以“傀儡或代理程序感染主机，同时这种程序会联机到预先设定的主机系统。一旦成功联机后，黑客就可以将命令传到送整个网络“傀儡计算机”，发起DDoS攻击。

TippingPoint 可侦测和阻挡病毒进入，以防它带入“傀儡计算机”代理程序，借此防止“傀儡计算机”攻击。

算机”，使其等待黑客下达的DDoS攻击命令。利用这些“傀儡计算机”，黑客就能匿名发动大批 DoS 与 DDoS 攻击。

有些病毒也可被用来招募“傀儡计算机”，MyDoom 病毒就是其中一种，它即可将 PC 变成“傀儡计算机”，预设在某个时间对 SCO 与微软网站发动攻击。其它病毒则安装后门程序，以便黑客可以发动联合攻击，给全球网络带来更多的DDoS攻击，造成严重危害。

下图说明攻击者如何在网络上形成并发动此类攻击。

                黑客通过入侵无防护的计算机，以形成“傀儡计算机”军团。

                 “傀儡计算机”从四面八方涌向攻击目标，造成它响应迟缓，或无法被合法客户端访问。攻击者利用“傀儡计算机”对某个服务器/网络发动攻击，大规模攻击导致系统瘫痪，并使网络无法接收合法流量。

UnityOne 对“傀儡计算机”招募提供的解决方案

除了上述的漏洞防护外，UnityOne IPS 还具有检测与阻挡病毒的过滤器。病毒与漏洞双重过滤器保护，完全阻绝黑客招募“傀儡计算机”的成为可能。

            ? Trinoo－主要用于 UDP Flood 攻击。它将 UDP 数据包发送到任意的目标端口，而且它还可以调整数据包大小。

            ? Stacheldraht－这种软件工具主要用于 TCP、ACK、TCP NULL、HAVOC、DNS Flood 攻击，以及任意标头的TCP 数据包涌入攻击( TCP Packet Flood)。

DDoS 工具，无论采用建立秘密信道还是发送 DDoS 涌入攻击的，都日臻成熟。新型入侵工具可通过任意端口号或 IRC 发起进攻。另外一些改进的工具可以把涌入的攻击性数据包伪装成合法的服务请求，并有更高难度的随机性。增加了这些改进后，端口过滤装置若要将攻击数据包从合法流量中分离出来，可说是愈来愈难了。

针对 DDoS 工具的 UnityOne 解决方案

UnityOne 提供数百种过滤器，可以精准侦测并阻拦秘密传输信道，干扰 DDoS 军团黑客对网络的支配和控制。如果配合防毒与漏洞防护工具，UnityOne 还能防止新“傀儡计算机”的产生，阻挡与现有“傀儡计算机”的通信，并且为管理员提供清理受感染系统所需的详细信息。

方法 4：带宽攻击

黑客发动 DDoS 攻击时，通常可以统计侦测到网络流量的组成出现重大改变。例如，一般网络流量中，TCP 通常占 80%，UDP 与 ICMP共占 20%。统计流量组成的变化可能预示着新一轮的攻击。例如，Slammer 蠕虫病毒会导致 UDP 数据包大量增加，而 Welchi 蠕虫病毒则带来大量 ICMP 数据包涌入。某类数据包突然大量增加，可能表示发生 DDoS 攻击或所谓的零时差闪电(zero-day) 攻击─这种攻击入侵的是未被发现的漏洞。 、

针对带宽攻击的 UnityOne 解决方案

UnityOne IPS 具有统计异常 (statistical anomaly) 过滤器，能侦测大量涌入的数据包攻击，并利用流量整形 (rate-shaping) 减轻攻击带来的影响。UnityOne 同时具有协议与应用程序流量临界值过滤器。可为 TCP、UDP、ICMP 及其它 IP 协议设定协议流量临界值过滤器。应用程序流量临界值过滤器则可监控特定 TCP 与 UDP 端口的流量。这两种统计异常过滤器可以针对其中一种流量来设定正常值的基准线，并在该流量超过用户定义值时发出警告。例如，你可以用它的协议流量临界值过滤器为 ICMP 流量设定正常的基准线，一旦它超过正常值的 300% 就发出警告。

除了警示功能外，UnityOne IPS 也可以防止受监控的流量超过或占用多于预设值的网络带宽。比方说，如果 ICMP 流量超出正常值的 500%，它的速率就会被限制在 3Mbps 内。这一强大功能可以避免非关键性应用耗用过多带宽，从而为关键性流量保留足够的带宽。近来由于蠕虫病毒传播产生的大量流量，导致了针对路由器、防火墙及其它网络基础架构设备的 DoS 攻击。将此流量限制在一定带宽内，可确保网络正常运行，有效地抑制各种攻击行为。

流量临界值过滤器属边缘触发器。这些过滤器会在流量超过临界值时活动，并在流量不再超越临界值时，它会等待下一次被触发。这些触发活动也提供了每一次流量组成结构发生改变期间的信息。

UnityOne拥有协同工作的先进流量模式监控和过滤器，从而实时监控可能的异常流量并采取相应措施，从而为网络便提供更周全的防护。流量出现骤变即可能意味着有新攻击发生，有了这些先进功能，UnityOne就可以为企业的资产提供最好的保护。

方法 5：SYN Flood

SYN Flood 可算是最常见的一种 DoS 攻击型态。攻击者可以从单一或多个机器发动攻击，使目标服务器无法被访问。此类攻击利用的是TCP建立连接的机制。每个 TCP 连接的建立都需要完成“三次握手”(three-way handshake)才能传送资料：

            ? 连接请求(Connection Request) －第 1 个数据包是请求者向服务器发送的同步请求数据包(SYN)，以开始“三次握手”(handshake)的过程。

            ? 请求确认(Request Acknowledgement) － 第 2 个数据包是服务器传送给请求者的确认数据包(SYN+ACK)。

            ? 建立连接(Connetction Complete) － 第 3 个数据包是请求者向服务器发送的确认数据包(ACK)，完成“三向握手”(handshake)。

SYN Flood 攻击由大量包含伪造源 IP 地址的无效 SYN 数据包涌入组成的，伪造的源IP地址使得目标服务器向未知或不存在的来源机器发送对 SYN的响应包 SYN-ACK 。然后目标服务器就会长期等待来自伪源机器的确认ACK 数据包以便完成联机动作。但伪源机器确认ACK数据包肯定是永远不会来到的，这些无法完成的无效的联机请求一直占居在服务器连接表中。这样服务器的连接表会在很短时间内塞满无效的请求，并且因此耗尽所有可用资源。虽然每个服务器连接表的项目数量有所不同，但也只能容纳几百或几千个连接请求。一旦连接表被塞满，目标服务器就无法为合法的请求服务，导致拒绝服务。

SYN 攻击最可怕的是每个请求单独来看都像是良性的，你很难区分什么是无效请求，什么是合法请求。

图 1：SYN Flood 攻击      

使用假造 IP 的 SYN Flood 攻击占满了所有连线，阻止了有效请求者访问服务器

           SYN Flood 是存在最古老的DoS攻击方式之一。任何技巧娴熟的人都可以发动一个 TCP SYN Flood，因为它是最普通攻击。若没有采取适当防护，SYN Flood可能会让整个公司或单位陷于莫大灾难之中。 在网络遭受此类 DoS 攻击轰炸时，多数网络安全装置的连接表都会迅速被大量的联机请求所塞满。

          UnityOne- 100E 可以从网络删除所有的 DoS 攻击流量。当发现TCP SYN Flood攻击时，UnityOne-100E 可立即在连接表上扔掉所有的非法连接请求。IPS通过代理服务器(Proxy Server) 减轻 SYN FLOOD攻击.

针对 SYN Flood 的 UnityOne 解决方案

        UnityOne-100E 利用最先进的方法来侦测并防止企业网络遭受 SYN Flood 攻击。其 IPS 好比一个代理服务器 (Proxy)，生成 SYN/ACK 数据包并将它作为应答传给请求者，并等候最后的请求者的ACK 数据包。在 IPS 从请求者处接收到 ACK 数据包后，IPS 就会将这三次的握手过程“回放”给接收端。

完整的攻击与响应过程如下：

            1. 攻击者发送 SYN 数据包给目标服务器。UnityOne-100E 拦截到 SYN数据包后，开始判断目标是否受到 UnityOne 的保护。

            2. 若是，IPS 就代表目标服务器产生 SYN-ACK 响应数据包。

            3. 一旦 IPS 接到“三次握手”(handshake)过程中最后的 ACK，IPS 就会利最先    进的算法验证这个ACK数据包是不是对 IPS 产生的 SYN-ACK数据包的确认应答。若是，则 IPS 会与目标服务器建立这个TCP连接。

            4. 一旦建立连接，UnityOne 就会监视数据和连接，确保流量安全。如果是一个攻击者发起的请求不会完成TCP的“三次握手”(three-way handshake)，就不会有数据包传向目标服务器，UnityOne 上也就不必对其状态进行维护。

遇到 SYN Flood 时，由于 UnityOne-100E 可扫描、侦测和阻挡 SYN Flood，从而是服务器处于UnityOne-100E的完全保护之下。

UnityOne 允许用户指定信任的客户端，来自信任源的连接不会使用代理。

方法 6：Established Connection Flood

Established Connection Flood 是 SYN Flood 攻击的进化，它是利用各种各样的“傀儡计算机”对同一个目标进行 DDoS 攻击。表面上，“傀儡计算机”和目标服务器建立的是合法连接。黑客就是通过将大量“傀儡计算机”连接至目标服务器，从而是目标服务器生成大量的连接，以至于目标服务器无法再接受其它合法的联机请求。假设有一千台“傀儡计算机”都与目标服务器建立一千条连接，那么目标服务器就要管理一百万条开放连接。这样一来，服务器资源就会被消耗殆尽，这与 SYN Flood攻击产生的结果相似，但它又比 SYN Flood 更难侦测。

UnityOne 针对 Established Connection Flood 的解决方案

UnityOne Established Connection Flood 过滤器可以追踪每个请求者与受保护的服务器建立起的连线数量，要是某个请求者建立的连线超过一定数量，那么UnityOne会阻挡新的连接，直到请求者关闭一些己有的连接。比方说，UnityOne 可以限定每一个请求者和一台服务器之间最多只能建立 10 条开放连接。如此一来，1,000 台“傀儡计算机”和受保护的服务器之间建立的连接数就不会超过 10,000 条。

Established connection Flood可以说是最难以侦测与防御的攻击方式之一。这些攻击来自已被代理服务器检查并接受的IP地址，并已完成完整的“三次握手”(handshake) 过程。

Established Connection Flood一旦进入网络就会攻击代理服务器，企图将之击溃。而如果代理服务器被击溃，合法用户就再也无法访问它后方的系统及服务器。

UnityOne侦测到DoS攻击时，它会依据用户定义的设置激活一系列动作和通知。管理者可以设置该系统阻挡、允许或通知系统和用户，并加以记录。

UnityOne中的每个过滤器都可以防止多种攻击，系统管理员可以视需求设置过滤器，包括以下类型：

            ? 对攻击采取行动

            ? 报警信息通知联系人

            ? 特定IP地址例外

方法 7：Connections Per Second Flood

Connections Per Second (CPS) Flood 攻击从看似合法的来源建立高速连接，藉此轰炸服务器。在此类攻击中，攻击者或“傀儡计算机”军团企图快速建立和撤除 TCP 连接，可能一条连线就会发出一个请求，以便耗尽服务器资源。例如，攻击者命令“傀儡计算机”大军从目标 Web 服务器上反复请求首页。这么沉重的工作负担就会大幅拖慢服务器的速度。

UnityOne 针对 CPS Flood 的解决方案

UnityOne 可让网络管理员生成一个 Connections Per Seconds (CPS) 的过滤器，每个过滤器都可以限制客户端每秒对某个服务器建立的平均连线数量。每个过滤器都有个临界值可设定特定客户端每秒钟能建立连接平均数量。利用 CPS 过滤器，网络管理员可对A端口->B 端口和 B端口->A 端口的流量进行过滤。灵活的设置允许用户依据网络流量需求，对进出的流量与攻击进行自定义。

UnityOne 会计算出 10 秒间的平均连接数，以便为流量的正常波动预留空间。普通的流量模式是，一个浏览器下载一个复杂的网页开放 10 条连接，而在用户阅读时这个网站就保持闲置。依照这一模式，UnityOne 的过滤器可以依据 10 秒内新连接的平均数量进行扫描及检测。比方说，若一个过滤器指定每秒最多 3.5 条连接，则浏览器就可以每秒钟开放 35 条连线。然而，这些连线建立之后 9 秒钟内，浏览器就无法再建立新的连线了。这样一来，平均 10 秒钟内，浏览器每秒钟允许建立 3.5 条连接。CPS Flood 防护功能若和 Established Connection 过滤器结合使用，则能同时提供网络检测与保护功能。

案例报导：eNom

eNom 公司创立于 1997 年，是 ICANN(互联网域名与地址管理机构)认证的最大的网络域名注册代理商，它拥有 400 万个网络域名用户。一直以来该公司就饱受 DoS对服务器及客户攻击的困扰。eNom 说，他们的系统在2004 年的 1 月到 8 月，每个月就有 15 天遭到 DDoS 攻击。检查他们的网络流量发现，eNom 服务器每秒遭到 6,000 至 7,000 次 SYN 攻击。攻击高峰期服务器遭受将近每秒 40,000 次 SYN 攻击。

为了保护客户与自己网络系统的安全，这家公司开始寻找能检测与阻挡攻击，又能不干扰合法流量的入侵防护系统 (Intrusion Prevention System)。面临这个困难又代价高昂的任务，eNom 筛选出一组具有 DoS 防护能力的 IPS 系统厂商。以下名单是他们觉得符合资格的厂商：

            ? TippingPoint

            ? Radware

            ? Top Layer

            ? NAI

            ? Netscreen

Established Connection Flood 过滤器、SYN Proxy 过滤器和Connections Per Second Flood 过滤器相互配合，能提供强大而动态的防护能力，确保贵公司网络的流量安全。

针对带宽攻击的 UnityOne 解决方案

UnityOne IPS 具有统计异常 (statistical anomaly) 过滤器，能侦测大量涌入的数据包攻击，并利用流量整形 (rate-shaping) 减轻攻击带来的影响。UnityOne 同时具有协议与应用程序流量临界值过滤器。可为 TCP、UDP、ICMP 及其它 IP 协议设定协议流量临界值过滤器。应用程序流量临界值过滤器则可监控特定 TCP 与 UDP 端口的流量。这两种统计异常过滤器可以针对其中一种流量来设定正常值的基准线，并在该流量超过用户定义值时发出警告。例如，你可以用它的协议流量临界值过滤器为 ICMP 流量设定正常的基准线，一旦它超过正常值的 300% 就发出警告。

除了警示功能外，UnityOne IPS 也可以防止受监控的流量超过或占用多于预设值的网络带宽。比方说，如果 ICMP 流量超出正常值的 500%，它的速率就会被限制在 3Mbps 内。这一强大功能可以避免非关键性应用耗用过多带宽，从而为关键性流量保留足够的带宽。近来由于蠕虫病毒传播产生的大量流量，导致了针对路由器、防火墙及其它网络基础架构设备的 DoS 攻击。将此流量限制在一定带宽内，可确保网络正常运行，有效地抑制各种攻击行为。

流量临界值过滤器属边缘触发器。这些过滤器会在流量超过临界值时活动，并在流量不再超越临界值时，它会等待下一次被触发。这些触发活动也提供了每一次流量组成结构发生改变期间的信息。

UnityOne拥有协同工作的先进流量模式监控和过滤器，从而实时监控可能的异常流量并采取相应措施，从而为网络便提供更周全的防护。流量出现骤变即可能意味着有新攻击发生，有了这些先进功能，UnityOne就可以为企业的资产提供最好的保护。

eNom 对具有高级拒绝服务防护 (Advanced Denial of Service Protection) 的 UnityOne-100E IPS 系统进行了评估。增强的 DoS 防护偕同业界最优越的网络防护功能 ─ 数字疫苗 (Digital Vaccine) 更新服务与优异的技术支持，为该公司带来了最完善的解决方案，确保其为客户提供稳定不间断的服务。高级 DoS 防护阻挡各种 DoS 及分布式 DoS (DDoS) 攻击，包括 SYN flood，Connection Flood、数据包涌入(Packet Flood)，以及种种来自伪造与非伪造来源，而又难以检测的攻击形态。

结论

想要全面免于 DoS 攻击的威胁，企业一般需要购买多台代理服务器、网络安全装置、入侵防御系统以及软件，随着公司成长还得花钱再购买升级与其它授权。

TippingPoint 则用一台系统解决了所有问题。UnityOne 是一套容易使用、价格合理与可扩展的解决方案，具备多种防护机制，包括应用异常过滤器、协议异常过滤器、攻击签名过滤器、统计流量异常过滤器、临界值流量整形过滤器，以及高级 DoS/DDoS 过滤器，使企业可以检测并阻挡住各种形态的攻击。

就像网络科技一日千里，黑客攻击手法也日新月异。UnityOne 弹性化的平台具备业界最顶级的防护能力，协助企业阻挡现有攻击，并能防患于未然。