綠盟科技黑洞抗拒絕服務系統解決方案

領測軟件測試網

一 前言

DoS（Denial of Service 拒絕服務）攻擊由于攻擊簡單、容易達到目的、難于防止和追查越來越成為常見的攻擊方式。拒絕服務攻擊可以有各種分類方法，如果按照攻擊

方式來分可以分為：資源消耗、服務中止和物理破壞。資源消耗指攻擊者試圖消耗目標的合法資源，例如：網絡帶寬、內存和磁盤空間、CPU使用率等等。通常，網絡層的拒絕服務攻擊利用了網絡協議的漏洞，或者搶占網絡或者設備有限的處理能力，造成網絡或者服務的癱瘓，而DDoS攻擊又可以躲過目前常見的網絡安全設備的防護，諸如防火墻、入侵監測系統等，這就使得對拒絕服務攻擊的防治，成為了一個令管理員非常頭痛的問題。

傳統的攻擊都是通過對業務系統的滲透，非法獲得信息來完成，而DDo攻擊則是一種可以造成大規模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務器、網絡鏈路或是網絡設備（如防火墻、路由器等）負載過高，從而最終導致系統崩潰，無法提供正常的Internet服務。

由于防護手段較少同時發起DDoS攻擊也越來越容易，所以DDoS的威脅也在逐步增大，它們的攻擊目標不僅僅局限在Web服務器或是網絡邊界設備等單一的目標，網絡本身也漸漸成為DDoS攻擊的犧牲品。許多網絡基礎設施，諸如匯聚層/核心層的路由器和交換機、運營商的域名服務系統（DNS）都不同程度的遭受到了DDoS攻擊的侵害。2002年10月，一次大規模黑客攻擊的前兆就是十三臺根域名服務器中的八臺遭受到“野蠻”的DDoS攻擊，從而影響了整個Internet的通訊。

隨著各種業務對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴重。包括運營商、企業及政府機構的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現，為日后發動數量更多、破壞力更強的DDoS攻擊帶來可能。

正是由于DDoS攻擊非常難于防御，以及其危害嚴重，所以如何有效的應對DDoS攻擊就成為Internent使用者所需面對的嚴峻挑戰。網絡設備或者傳統的邊界安全設備，諸如防火墻、入侵檢測系統，作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機制，對攻擊進行有效檢測，進而遏制這類不斷增長的、復雜的且極具欺騙性的攻擊形式。

本文內容將包含如下部分：

.. DDoS威脅的發展趨勢以及攻擊案例介紹

.. 為什么傳統安全設備無法防御DDoS攻擊

.. 對DDoS攻擊防護所必須考慮的一些因素

.. 綠盟科技的抗拒絕服務攻擊整體解決方案

二 DDoS的威脅愈演愈烈

DDoS攻擊一般通過Internet上那些“僵尸”系統完成，由于大量個人電腦聯入Internet，且防護措施非常少，所以極易被黑客利用，通過植入某些代碼，這些機器就成為DDoS攻擊者的武器。當黑客發動大規模的DDoS時，只需要同時向這些將僵尸機發送某些命令，就可以由這些“僵尸”機器完成攻擊。隨著Botnet的發展，DDoS造成的攻擊流量的規�？梢苑浅ｓ@人，會給應用系統或是網絡本身帶來非常大的負載消耗。

2.1 攻擊影響

成功的DDoS攻擊所帶來的損失是巨大的。DDoS攻擊之下的門戶網站性能急劇下降，無法正常處理用戶的正常訪問請求，造成客戶訪問失��；服務質量協議（SLA）也會受到破壞，帶來高額的服務賠償。同時，公司的信譽也會蒙受損失，而這種危害又常常是長期性的。利潤下降、生產效率降低、IT開支增高以及相應問題訴諸法律而帶來的費用增加等等，這些損失都是由于DDoS攻擊造成的。

2.2 攻擊分析

那么DDoS攻擊究竟如何工作呢？通常而言，網絡數據包利用TCP/IP協議在Internet傳輸，這些數據包本身是無害的，但是如果數據包異常過多，就會造成網絡設備或者服務器過載；或者數據包利用了某些協議的缺陷，人為的不完整或畸形，就會造成網絡設備或服務器服務正常處理，迅速消耗了系統資源，造成服務拒絕，這就是DDoS攻擊的工作原理。DDoS攻擊之所以難于防護，其關鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效的檢測到DDoS攻擊，比如利用基于特征庫模式匹配的IDS系統，就很難從合法包中區分出非法包。加之許多DDoS攻擊都采用了偽造源地址IP的技術，從而成功的躲避了基于異常模式監控的工具的識別。

一般而言，DDoS攻擊主要分為以下兩種類型：

帶寬型攻擊——這類DDoS攻擊通過發出海量數據包，造成設備負載過高，最終導致網絡帶寬或是設備資源耗盡。通常，被攻擊的路由器、服務器和防火墻的處理資源都是有限的，攻擊負載之下它們就無法處理正常的合法訪問，導致服務拒絕。

流量型攻擊最通常的形式是flooding方式，這種攻擊把大量看似合法的TCP、UDP、ICPM包發送至目標主機，甚至，有些攻擊還利用源地址偽造技術來繞過檢測系統的監控。

應用型攻擊——這類DDoS攻擊利用了諸如TCP或是HTTP協議的某些特征，通過持續占用有限的資源，從而達到阻止目標設備無法處理處理正常訪問請求的目的，比如HTTP Half Open攻擊和HTTP Error攻擊就是該類型的攻擊。

2.3 發展趨勢

DDoS攻擊有兩個發展趨勢：其一是黑客不斷采用更加復雜的欺騙技術，用于躲避各類防護設備檢測；其二是DDoS攻擊更多地采用了合法協議構造攻擊，比如利用某些游戲服務的驗證協議等。這些技術的使用造成DDoS攻擊更加隱蔽，也更具有破壞性。尤其是那些利用了合法應用協議和服務的DDoS攻擊，非常難于識別和防護，而采用傳統包過濾或限流量機制的防護設備只能更好的幫助攻擊者完成DDoS攻擊。

三 DDoS防護的必要性

任何需要通過網絡提供服務的業務系統，不論是處于經濟原因還是其他方面，都應該對DDoS攻擊防護的投資進行考慮。大型企業、政府組織以及服務提供商都需要保護其基礎業務系統（包括Web、DNS、Mail、交換機、路由器或是防火墻）免受DDoS攻擊的侵害，保證其業務系統運行的連續性。雖然DDoS防護需要增加運營成本，但是從投資回報率上進行分析，可以發現這部分的投資是值得的。

企業/政府網絡——對于企業或政府的網絡系統，一般提供內部業務系統或網站的Internet出口，雖然不會涉及大量的Internet用戶的訪問，但是如果遭到DDoS攻擊，仍然會帶來巨大的損失。對于企業而言，DDoS攻擊意味著業務系統不能正常對外提供服務，勢必影響企業正常的生產；政府網絡的出口如果遭到攻擊，將會帶來重大的政治影響，這些損失都是可以通過部署DDoS防護系統進行規避的。

電子商務網站——電子商務網站經常是黑客實施DDoS攻擊的對象，其在DDoS防護方面的投資非常有必要。如果一個電子商務網站遭受了DDoS攻擊，則在系統無法提供正常服務的時間內，由此引起的交易量下降、廣告損失、品牌損失、網站恢復的代價等等，都應該作為其經濟損失計算在內，甚至目前有些黑客還利用DDoS攻擊對網站進行敲詐勒索，這些都給網站的正常運營帶來極大的影響，而DDoS防護措施就可以在很大程度上減小這些損失；另一方面，這些防護措施又避免了遭受攻擊的網站購買額外的帶寬或是設備，節省了大量重復投資，為客戶帶來了更好的投資回報率。

電信運營商——對于運營商而言，保證其網絡可用性是影響ROI的決定因素。如果運營商的基礎網絡遭受攻擊，那么所有承載的業務都會癱瘓，這必然導致服務質量的下降甚至失效。同時，在目前競爭激烈的運營商市場，服務質量的下降意味著客戶資源的流失，尤其是那些高ARPU值的大客戶，會轉投其他的運營商，這對于運營商而言是致命的打擊。所以，有效的DDoS防護措施對于保證網絡服務質量有著重要意義。

另一方面，對運營商或是IDC而言，DDoS防護不僅僅可以避免業務損失，還能夠作為一種增值服務提供給最終用戶，這給運營商帶來了新的利益增長點，也增強了其行業競爭能力。

四 當前防護手段的不足

雖然目前網絡安全產品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等，由于涉及之初就沒有考慮相應的DDoS防護，所以無法針對復雜的DDoS攻擊進行有效的檢測和防護。而至于退讓策略或是系統調優等方法只能應付小規模DDoS攻擊，對大規模DDoS攻擊還是無法提供有效的防護。

4.1 手工防護

一般而言手工方式防護DDoS主要通過兩種形式：

系統優化——主要通過優化被攻擊系統的核心參數，提高系統本身對DDoS攻擊的響應能力。但是這種做法只能針對小規模的DDoS進行防護，當黑客提高攻擊的流量時，這種防護方法就無計可施了。

網絡追查——遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網絡運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。但是如果DDoS攻擊流量的地址是偽造的，那么尋找其攻擊源頭的過程往往涉及很多運營商以及司法機關。再者，即使已經確定了攻擊源頭，進而對其流量進行阻斷，也會造成相應正常流量的丟失。加之目前Botnet以及新型DrDoS攻擊的存在，所以通過網絡追查來防護DDoS攻擊的方法沒有任何實際意義。

4.2 退讓策略

為了抵抗DDoS 攻擊，客戶可能會通過購買冗余硬件的方式來提高系統抗DDoS的能力。但是這種退讓策略的效果并不好，一方面由于這種方式的性價比過低，另一方面，黑客提高攻擊流量之后，這種方法往往失效，所以不能從根本意義上防護DDoS攻擊。

4.3 路由器

通過路由器，我們確實可以實施某些安全措施，比如ACL等，這些措施從某種程度上確實可以過濾掉非法流量。一般來說，ACL可以基于協議或源地址進行設置，但是目前眾多的DDoS攻擊采用的是常用的一些合法協議，比如http協議，這種情況下，路由器就無法對這樣的流量進行過濾。同時，如果DDoS攻擊如果采用地址欺騙的技術偽造數據包，那么路由器也無法對這種攻擊進行有效防范。

另一種基于路由器的防護策略是采用Unicast Reverse Path Forwarding (uRPF)在網絡邊界來阻斷偽造源地址IP的攻擊，但是對于今天的DDoS攻擊而言，這種方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通過判斷出口流量的源地址，如果不屬于內部子網的則給予阻斷。而攻擊者完全可以偽造其所在子網的IP地址進行DDoS攻擊，這樣就完全可以繞過uRPF防護策略。除此之外，如果希望uRPF策略能夠真正的發揮作用，還需要在每個潛在攻擊源的前端路由器上配置uRPF，但是要實現這種情況，現實中幾乎不可能做到。

4.4 防火墻

防火墻幾乎是最常用的安全產品，但是防火墻設計原理中并沒有考慮針對DDoS攻擊的防護，在某些情況下，防火墻甚至成為DDoS攻擊的目標而導致整個網絡的拒絕服務。

首先是防火墻缺乏DDoS攻擊檢測的能力。通常，防火墻作為三層包轉發設備部署在網絡中，一方面在保護內部網絡的同時，它也為內部需要提供外部Internet服務的設備提供了通路，如果DDoS攻擊采用了這些服務器允許的合法協議對內部系統進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區分出攻擊流量。雖然有些防火墻內置了某些模塊能夠對攻擊進行檢測，但是這些

檢測機制一般都是基于特征規則，DDoS攻擊者只要對攻擊數據包稍加變化，防火墻就無法應對，對DDoS攻擊的檢測必須依賴于行為模式的算法。

第二個原因就是傳統防火墻計算能力的限制，傳統的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDoS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成包轉發的任務。

防火墻的部署位置也影響了其防護DDoS攻擊的能力。傳統防火墻一般都是部署在網絡入口位置，雖然某種意義上保護了網絡內部的所有資源，但是其往往也成為DDoS攻擊的目標，攻擊者一旦發起DDoS攻擊，往往造成網絡性能的整體下降，導致用戶正常請求被拒絕。

4.5 入侵檢測

目前IDS系統是最廣泛的攻擊檢測工具，但是在面臨DDoS攻擊時，IDS系統往往不能滿足要求。

原因其一在于入侵檢測系統雖然能夠檢測應用層的攻擊，但是基本機制都是基于規則，需要對協議會話進行還原，但是目前DDoS攻擊大部分都是采用基于合法數據包的攻擊流量，所以IDS系統很難對這些攻擊有效檢測。雖然某些IDS系統本身也具備某些協議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實施成本和易用性極低。

原因之二就在于IDS系統一般對攻擊只進行檢測，但是無法提供阻斷的功能。IDS系統需要的是特定攻擊流檢測之后實時的阻斷能力，這樣才能真正意義上減緩DDoS對于網絡服務的影響。

IDS系統設計之初就是作為一種基于特征的應用層攻擊檢測設備。而DDoS攻擊主要以三層或是四層的協議異常為其特點，這就注定了IDS技術不太可能作為DDoS的檢測或是防護手段。

五 DDoS防護的基本要求

DDoS防護一般包含兩個方面：其一是針對不斷發展的攻擊形式，尤其是采用多種欺騙技術的技術，能夠有效地進行檢測；其二，也是最為重要的，就是如何降低對業務系統或者是網絡的影響，從而保證業務系統的連續性和可用性。

完善的DDoS攻擊防護應該從四個方面考慮：

.. 能夠從背景流量中精確的區分攻擊流量；

.. 降低攻擊對服務的影響，而不僅僅是檢測；

.. 能夠支持在各類網絡入口點進行部署，包括性能和體系架構等方面；

.. 系統具備很強的擴展性和良好的可靠性；

基于以上四點，抗拒絕服務攻擊的設備應具有如下特性：

.. 通過集成的檢測和阻斷機制對DDoS攻擊實時響應；

.. 采用基于行為模式的異常檢測，從背景流量中識別攻擊流量；

.. 提供針對海量DDoS攻擊的防護能力；

.. 提供靈活的部署方式保護現有投資，避免單點故障或者增加額外投資；

.. 對攻擊流量進行智能處理，保證最大程度的可靠性和最低限度的投資；

.. 降低對網絡設備的依賴及對設備配置的修改；

.. 盡量采用標準協議進行通訊，保證最大程度的互操作性和可靠性；

六 綠盟科技抗拒絕服務系統

針對目前流行的DDoS攻擊，包括未知的攻擊形式，綠盟科技提供了自主研發的抗拒絕服務產品——黑洞（Collapsar）。通過及時發現背景流量中各種類型的攻擊流量，黑洞可以迅速對攻擊流量進行過濾或旁路，保證正常流量的通過。產品可以在多種網絡環境下輕松部署，不僅能夠避免單點故障的發生，同時也能保證網絡的整體性能和可靠性。

6.1 產品功能

6.1.1 攻擊檢測和防護

“黑洞”系列抗拒絕服務產品應用了自主研發的抗拒絕服務攻擊算法，對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的攻擊行為能夠有效識別，并通過集成的機制實時對這些攻擊流量進行阻斷。

6.1.2 海量DDoS防護

綠盟科技抗拒絕服務系統采用專用硬件架構，同時結合業界獨創的攻擊檢測算法，所以能夠針對海量DDoS進行防護。由于系統支持旁路部署方式，可對DDoS攻擊流量進行牽引，同時通過部署若干臺黑洞設備形成集群，更加增強了系統抵御巨大規模的DDoS攻擊的能力，保證了正常流量的順暢通過。

6.1.3 強大的部署能力

由于客戶類型不同，所以抗拒絕服務所面臨的網絡環境也非常復雜，企業網、IDC、ICP或是城域網等多種網絡協議并存，給抗拒絕服務系統的部署帶來了不同的挑戰。綠盟科技的抗拒絕服務系統具備了多種環境下的部署能力，支持多種網絡協議，諸如OSPF、RIP、BGPv4、VRRP、VLAN等，加之其基于應用的負載均衡能力，幫助整個產品成為多種客戶環境下抗拒絕服務攻擊的首選。

6.1.4 豐富的管理功能

綠盟科技抗拒絕服務系統具備強大的設備管理能力，提供基于Web和串口的管理方式，支持本地或遠程的升級。同時，其豐富的日志和審計功能也極大地增強了設備的可用性，不僅能夠針對攻擊進行實時監測，還能對攻擊的歷史日志進行方便的查詢和統計分析，便于對攻擊事件進行有效的跟蹤和追查。

6.2 核心原理

綠盟抗拒絕服務產品基于嵌入式系統設計，在系統核心實現了防御拒絕服務攻擊的算法，創造性地將算法實現在協議棧的最底層，避免了TCP/UDP/IP等高層系統網絡堆棧的處理，使整個運算代價大大降低，并結合特有硬件加速運算，因此系統效率極高。該方案的核心技術架構如圖1所示。

圖表 1 綠盟科技抗拒絕服務系統核心架構

攻擊識別——綠盟Anti-DoS技術利用了多種技術手段對DDoS攻擊是否發生進行有效的識別，除了采用先進的流量梯度算法對是否發生攻擊進行判斷外，還通過衡量承受能力的參照物的方式提高攻擊發生判斷的準確度。

協議分析——針對不同協議的數據包，綠盟Anti-DoS技術采用了不同的處理方法，比如TCP協議就采用了反向探測算法、指紋識別算法；而UDP或ICMP協議往往采用指紋識別算法進行攻擊分析。

主機識別——如果DoS攻擊受保護網段中的一臺主機的某些端口，那么綠盟Anti-DoS技術將會保證同網段內其他主機或受攻擊主機的其他端口的正常訪問不會受到DoS攻擊；

概率統計——綠盟Anti-DoS技術通過流量梯度算法對攻擊進行判斷，如果發現攻擊，則進一步對數據包的特征進行統計，其內容包括目標IP地址、端口、包長、包內特征字以及校驗和等。

反向探測——針對TCP協議，綠盟Anti-DoS技術將會對數據包源地址和端口的正確性進行驗證，同時還對流量在統計和分析的基礎上提供針對性的反向探測。

指紋識別——作為一種通用算法，指紋識別和協議無關，綠盟Anti-DoS技術通過采樣自學習模式，取數據包的某些固定位置進行比較，進而對背景流量和攻擊流量進行有效的區分。

6.3 組件產品

綠盟抗拒絕服務方案由兩類組件產品構成：

 .. NSFocus Collapsar Defender （COLLAPSAR-D）

.. NSFocus Collapsar Probe （COLLAPSAR-P）

COLLPSAR DEFENDER——作為黑洞產品系列中的關鍵設備，Collapsar Defender提供了對DDoS攻擊流量的防護能力，通過部署Collaspar-D設備，可以對網絡中的DDoS攻擊流量進行清除，同時保證正常流量的通過。

Collaspar-D設備可以通過串行、旁路兩種方式部署在網絡中，同時多臺Collaspar-D設備可以形成集群，提高整個系統抵御海量DDoS攻擊的能力。

Collapsar-D設備按照硬件平臺的不同，可以劃分為Collapsar-200D、Collapsar-600D、Collapsar-1600D和Collapsar-2000D四個產品系列，同時在每種產品系列中還根據被保護系統的數量分為5IP，50IP和無限IP三種類型。

Collapsar-200D/600D/1600D這三種產品型號都是基于X86體系架構，Collapsar-2000D基于全新的NP架構，雖然體系架構不同，但相應產品在功能上保持一致，主要區別體現在性能方面。

COLLAPSAR PROBE——黑洞產品系列中還有一類設備，稱之為Collapsar Probe，該設備主要應用于黑洞旁路部署方式下，需要和Collapsar-D設備配合工作。Collapsar-P設備可以通過網絡設備支持的流量采集協議（如netflow協議）對網絡中的DDoS攻擊流量進行監控和告警，在發現DDoS攻擊流量后， Collapsar-P設備可實時通知Collapsar-D設備，將相關可疑流量分流至Collapsar-D設備進行清除。

6.4 部署方式

無論中小企業，還是數據中心，或是運營商網絡，綠盟科技都提供不同環境下的抗拒絕服務攻擊系統。

1. 串行部署方式

針對少量服務器或出口帶寬較小的網絡，綠盟科技抗拒絕服務產品提供串行部署方式，通過Collapsar-D設備“串聯”在網絡入口端，對DDoS攻擊進行檢測、分析和阻斷。，部署拓撲圖如下所示：

圖表 2 “黑洞”產品的串行部署方式

2. 旁路部署方式

針對IDC、ICP或關鍵業務系統，綠盟科技抗拒絕服務產品提供了旁路部署的方式。通常，Collapsar-P設備部署在網絡任意位置，Collapsar-D設備“旁路”部署在網絡入口下端。Collapsar-P設備主要對網絡入口的流量提供監控功能，及時檢測DDoS攻擊的類型和來源。當發現DDoS攻擊發生時，Collapsar-P設備會及時通知Collapsar-D設備，隨后由Collapsar-D設備啟動流量牽引機制，從路由器或交換機處分流可疑流量至Collapsar-D設備，在完成DDoS攻擊的過濾后，Collapsar-D再將“干凈”的流量注入網絡中。

 

圖表 3 “黑洞”產品的旁路部署方式

3. 集群部署方式

針對大型IDC、城域網或骨干網，當發生海量DDoS攻擊時，綠盟科技抗拒絕服務產品還能夠提供集群部署的方式。集群部署方式分為串聯集群部署和旁路集群部署兩種形式。分別如圖四和圖五所示：

在串聯集群部署方式中，作為Master角色的Collapsar-D和其他若干臺作為Slave角色的Collapsar-D設備“并聯”在網絡入口端。在攻擊流量較小時，作為Master的Collapsar-D設備完成對DDoS攻擊流量的異常檢測和攻擊清除的工作；當攻擊流量增大時，Master角色設備會及時啟動流量牽引機制，分流攻擊流量至Slave角色設備，以均衡系統負載，保證整個網絡的正常運行。

 

圖表 4 串聯集群部署方式

在旁路集群部署中，若干臺Collapsar-D設備并聯在網絡中，在某臺Collapsar-D設備接收到Collapsar-P設備的攻擊告警后，會啟動流量牽引機制，將可疑流量均衡分配到若干臺Collapsar-D上進行流量過濾。

 

圖表 5 旁路集群部署方式

七 結論

隨著DDoS攻擊工具不斷的普遍和強大，Internet上的安全隱患越來越多，以及客戶業務系統對網絡依賴程度的增高，可以預見的是DDoS攻擊事件數量會持續增長，而攻擊規模也會更大，損失嚴重程度也會更高。由于這些攻擊帶來的損失增長，運營商、企業或是政府必須有所對策以保護其投資、利潤和服務。

為了彌補目前安全設備（防火墻、入侵檢測等）對DDoS攻擊防護能力的不足，我們需要一種新的工具用于保護業務系統不受DDoS攻擊的影響。這種工具不僅僅能夠檢測目前復雜的DDoS攻擊，而且必須在不影響正常業務流量的前提下對攻擊流量進行實時阻斷。這類工具相對于目前常見的安全產品，必須具備更細粒度的攻擊檢測和分析機制。

綠盟科技的“黑洞”抗拒絕服務攻擊產品提供了業界領先的DDoS防護能力，通過多種機制的分析檢測機制以及靈活的部署方式，綠盟的產品和技術能夠有效的阻斷攻擊，保證合法流量的正常傳輸，這對于保障業務系統的運行連續性和完整性有著極為重要的意義。

 

文章來源于領測軟件測試網 http://www.kjueaiud.com/