转自www.cnsea.org ,原题目太长。没有办法。改了一下,希望马丁不会介意 8)
ISP防身术之绝地大反攻-- Backscatter Traceback
www.cnsea.org
讲完了网络下水道技术,和黑洞路由技术,我们可以更近一步,讲一下稍微高级一点的ISP防身术,叫Backscatter Traceback,不知道可不可以翻译成反向追踪。题目上的绝地大反攻是marketing term,是为了骗取点击率。 smill
正如前文所说,对於ISP来说,应付攻击是每天的日常工作之一。不知道国内的ISP,对於北美的ISP来说, 90%的攻击是脚本小子(script kiddy)的攻击, 他们懂的不太多,只会用别人写好的程序,攻击力和威胁力有限,以打游戏做比较,他们就象最低级的菜鸟玩家,能力有限,打你一下不痛不痒,象被蚊子叮了一下,只是有点讨厌。 ISP们每天都会收到一些这样的攻击。
9%是比较严重的分布式DOS, DDOS的攻击,这种攻击的动机各有不同,造成的损害也有大有小,基本是取决于DOS的网络流量。而DDOS所能产生的网络流量取决于黑客对网络资源掌握的程度,与他控制的主机的数量和这些主机能用的互联网带宽有关。象最近发生的史上最强的针对SCO网站的DDOS,每秒流量达340G,可谓惊人。
1%是直接针对ISP网络结构network infrastructure的攻击,能发动这种攻击的人,对网络协议极其了解,对routing极其了解,对网络结构极其了解,对ISP运作也极其了解,这1%是internet underground精英之中的精英,破坏力极大,这些超级玩家随便打你一下,也得要好久才能缓过来。这1%的攻击是ISP最担心的。但发生的机率也小一些。
这里讲一下ISP如何反击DDOS的攻击。大家知道, DDOS的网络流量来自四面八方,而他们的IP Source Address又全部是spoof的,就是不是真的。你不能够通过配置基於ip source address的Access Control List (ACL) 来限制它。其它还有什么别的办法呢?对於一个ISP来说,如果一个顾客给他的网络运行中心打电话,说有人DDOS我,请帮忙, ISP可以做的是,跟踪这些DDOS网络流量来的方向,找到这些DDOS网络流量进入ISP网络的入口点,然后在入口点想办法止住攻击。传统的方法是一个路由一个路由的往上查,直到查到攻击的入口处,这种方法可行,但比较费时间和人力。
这里介绍一个把黑洞路由,下水道技术结合在一起的技术,可以快速发现攻击的入口点,集中管理,不用一个路由一个路由的往上查,而且迅速可靠,但是可能需要兄弟们有一些基本的routing和BGP的知识。
先讲一下什么是backscatter,熟悉ICMP的兄弟们都知道,根据RFC,如果一个主机或路由收到一个数据报文,如果不知道如何 forward目标地址,它会丢弃这个数据报文,丢弃之后,它会向源地址发送一个ICMP unreachable的ICMP数据报文,这个ICMP Unreachable的数据报文,就叫backscatter。就象你投一个石头在水里,反回来的水波。在这个数据报文中,源地址就是这个主机或路由的IP地址。目标地址是它丢弃的报文的源地址。
GunKing 回复于:2004-10-03 00:19:59
黑洞路由大家都知道是怎么回事了,就是根据一些规则,象IP的目标地址,或源地址,让一个路由器把一些数据报文丢弃。所以这些报文到达一个路由器之后,就象到达了一个黑洞,有进无出,完全消失了。
下水道技术,正如上文所说,是告诉网络中的其它路由器,把一些符合规则的网络流量发到下水道路遥由。就象一个下水道,收集所有的网络流量垃圾。
把ICMP Unreachable 的backscatter,黑洞路由,和下水道技术结合在一起,就有了一个非常巧妙的办法来省时省力,又迅速准确的发现DDOS攻击的入侵点。
首先, ISP要在所有的边界路由器上,也就是所有的和其它ISP连接的路由器,以及和ISP自己客户连接的路由器上配置一个黑洞路由,把一个假想的,不存在的子网的流量都传到这个黑洞路由。 (知道兄弟们现在如跌五里云雾之中,坚持注 smill)
然后,准备好下水道路由器。在这个下水道路由器上配置BGP,和静态路由,静态路由要redistribute到BGP里,记住一切都要在IBGP里做,不要让这些路由传到其它的ISP里,可以把BGP里传过来的静态路由的属性订为non-export。 (可能需要一些BGP的知识 Sad)。
现在,就万事具备,静候攻击了。假想现在, ISP的客户突然打电话过来给ISP的网络运行中心求救,说有人DDOS我们的网络,需要帮忙。ISP一拍胸脯说没问题,我们来帮你找到攻击的入侵点,给我们你受攻击的子网的信息。
(现在是关键时刻了,如果你能理解下面这段,那你对网络和routing的理解就能更上一层楼smill)ISP拿到子网的信息之后,日夜兼程,马不停蹄,直奔下水道路由器(就是telnet smill),在下水道路由器上配置一个静态路由,还记得那个配在边界路由器上的假想的,不存在的子网吗?这个静态路由就是告诉ISP所有跑BGP的路由器,如果你要传报文到我客户那个被攻击的子网,不要把报文发给任何人,要发给那个假想的,不存在的子网。还记得那个子网的下一个hop是什么吗,是黑洞呢。所以这个报文在到达ISP的边界路由器后,就去了黑洞。还记得如果去了黑洞,ICMP 要做什么吗?ICMP要发ICMP unreachable呢;还记得如果ICMP发ICMP unreachable,报文的IP源地址是什么吗?是这个边界路由器的地址啊。还记得报文的IP目标地址是什么吗?是DDOS的网络流量报文中被 spoof的IP源地址啊。因为这些IP源地址是不存在的,而ICMP Unreachable报文把他们当作目标地址。能猜出来这些报文去哪里了吗?没错,当然是去我们配置好的下水道路由器了。
所以我们又回到了我们的心爱的下水道路由器。现在所有的ICMP Unreachable报文都跑到它这来了。而这些报文的IP源地址就是那些DDOS网络流量进入ISP网络的边界路由器地址。收集和分析这些边界路由器地址, ISP就知道这些DDOS的网络流量是从那几个边界路由器进入到ISP的网络里来的了。
说起来复杂,整个过程从收到客户的求救电话,到查到攻击的入口处,也就几分钟时间。
啊,好了,来一些图表演示,帮助理解。
这是一个ISP网络的假想图,看起来有点象美国的地图,当它是美国IP骨干网运营商吧。带红叉的那个是被攻击的网络。是ISP的客户的网络。可以看到下水道路由器已经在ISP的网络中放好了。
每一个边界路由器也都配置了一个静态路由,把一个假想的子网送到黑洞。假设DDOS攻击是从upstream A 和 B 进来的。
下面这个图示讲的是,下水道路由器告诉所有的ISP路由器,包括边界路由器,把发向被攻击的子网的流量,传发到那个假想的子网。边界路由器收到这个指令 (通过BGP) 后,把攻击的流量发到假想的子网,而假想的子网是网是到黑洞的。
下面这个图示是,攻击的流量到了黑洞后,边界路由器发ICMP Unreachable,网络下水道路由器收集这个Unreachable的报文,分析这个报文的IP源地址,也就是攻击进入ISP网络的边界路由器的地址,找到网络的入侵点。
wangchao66 回复于:2004-10-04 13:12:40
这是一个好文啊!
不错!
GunKing 回复于:2004-10-04 22:51:07
呵呵~!可惜没有人顶。严重 打击我ZT 的积极性 啊
还有很多不错的文章,有时间在转吧
sohusina 回复于:2004-10-05 13:54:40
我顶,请楼主继续!
leaper 回复于:2004-10-08 14:54:16
我顶
木刀客 回复于:2004-10-09 11:48:58
请问楼主,在哪介绍了“网络下水道技术,和黑洞路由技术”
?????
GunKing 回复于:2004-10-09 16:26:40
回楼上
据说由于国内ISP彼此之间的原因,这个方法在国内基本上很难实施
如果你想了解技术细节,可以到www.cnsea.org 咨询马丁,北美有过这方面的实战经验:)
lurchin 回复于:2004-10-10 11:25:53
To GunKing: 好文,我顶!
但是不是可以这样理解,在查找攻击的过程中,实际断开了受攻击子网与外部联接,
并且在找到攻击入口以后,采取有效措施之前的这一段时间,受攻击子网还是不能正常工作,这样看来DDoS还是成功了, 不过这个方法可能会缩短受攻击的时间(当然这也要看发现攻击入口后的措施了).另外,这种方法对反射式DDoS攻击是不是没有作用,而且还会带来更大的麻烦?
erjing 回复于:2004-10-10 14:28:55
好!期待已久的好东西!
GunKing 回复于:2004-10-10 21:51:22
对于反射式拒绝服务攻击 ,其处理情况也是一样的,这个技术的最终目的是溯源,“快速” 找到攻击入口处的边界路由器地址。在查到DOS源头,ISP没有在边界路由器上采取有效措施之前 ,主机是没有办法提供正常的服务了。
这里主要是技术侧重面不同.侧重保护基础网络和还是侧重主机而已. 对于侧重特定主机的的保护则另当别论,用Sink Hole Routing即使被DDOS也应该不会出现整个网络的不可用了(关键router设备的当掉)
前段时间由于MyDoom病毒发到SCO网站的TCP SYN Flood 攻击, 流量达高达 340,000 Mbps!!!导致网络受阻,以及其他的主机也受到了牵连 。
今天XFOUSE好象也被盯上了。MD!!!把相关的Sink Hole Routing技术也帖在下面好了。
GunKing 回复于:2004-10-10 21:56:48
(zt) ISP Self-defense: 网络下水道技术 (Sink Hole Routing)
www.cnsea.org 马丁
现在,越来越多的网络攻击开始从攻击终端系统 (PC) 向攻击网络本身发展。如何防备,预警,分析,反击针对网络本身的攻击,是互联网供应商(ISP) 们要解决的问题。
防火墙, IDS, AV 软件,主要都是针对企业网的用户,对於企业用户来说,最重要的是如何让PC不染毒。但对於互联网供应商来说,网络设备就是他们的要保护的对象,而对於互联网供应商的网络具有的网际网的性质,防火墙和IDS的deploy几乎很困难,对网络的传输性能也会有影响。但是,现在针对ISP的网络的攻击越来越多,现在的数据是,今天大概90%的针对ISP网络的攻击是“脚步小子” script kiddie所为, 25%到27%的攻击针对路由的routing协议,但威胁性还不大。有5%-3%的攻击,是非常复杂的攻击,这5%-3%是ISP最担心的。
现在ISP的防范技术还重要依赖于网络运行人员对网络traffic的分析,毕竟,于企业网的网络运行人员不同, ISP的网络运行人员是ISP的核心雇员,是可以为ISP产生利润的员工,他们有相对来说好的经验和好的设备来防备他们的网络。
不知道国内的ISP对於网络安全的态度,和经验如何,如果有兄弟知道,多多指教。我在这里介绍一个北美网络运营商们常用的一个技术, Sink Holes ,我把它翻译成网络下水道技术。
大家可能都知道Honey Pot, 国内翻译成蜜罐技术,就是将一台PC 机设置成陷阱,引诱黑客来,让黑客误以为是有缺陷的系统,然后监视黑客的行为。网络下水道技术是应用在网络上的Honey Pot. 是用来收集发向ISP网络的垃圾traffic,然后加以分析,对这些网络垃圾的分析,可以知道是否有人在扫描网络,或者在进行攻击,可以用来预警,和防备。如果有黑客正在对ISP的网络展开攻击,网络下水道技术也可以把攻击的traffic导向下水道,使ISP的网络能正常工作,免受攻击。
大家知道ISP的网络是用BGP来交流的,下水道技术就是用一台路由,向ISP的网络advertise一个route,可以的缺省的route,也可以是一个特定的子网。如果是一个特定的route,那么所以送到ISP网络的traffic,如果ISP不知道如何route它,都会送到这个下水道的路由,对ISP来说,这些就是垃圾traffic,但这些垃圾traffic中可以有很多有用的信息,可以在下水道路由后面加一个网络分析器,可以就是一个最简单的PC,装个免费的IDS : Snort,在加个tcpdump。 也可以是复杂的IDS。如果ISP检测到有黑客正在攻击一个子网的网段,这个下水道路由可以用BGP通知其它路由,让它们把指向这个子网的traffic都送到下水道路由,等於是把攻击改变了方向。下面是一些图形演示:
这个为一个黑客正在对一个子网进行攻击, traffic经过ISP的网络
ISP可以用网络下水道技术, 向别的BGP 的peer advertise这个子网, 这样, 就把对这个子网的攻击转移到了下水道路由。
GunKing 回复于:2004-10-10 22:03:43
相关pdf和视频流 http://www.nanog.org/mtg-0306/sink.html
http://www.cnsea.org/vod/backscatter.mpg
在贴点其他人的回复和一些东西
nK:
这种情况是不是要专为这个区域建立一个AS域 这样在国内运营商的网络内实施似乎很有难度
在为国内某些telecom service provider做安全加固的时候 某些无法使用tcp intercept的设备上 有用到黑洞路由 其实配置方法很简单
interface null0
no ip unreachables
ip route 1.0.0.0 255.0.0.0 null0
ip route 2.0.0.0 255.0.0.0 null0
ip route 5.0.0.0 255.0.0.0 null0
ip route 7.0.0.0 255.0.0.0 null0
ip route 10.0.0.0 255.0.0.0 null0
ip route 23.0.0.0 255.0.0.0 null0
ip route 27.0.0.0 255.0.0.0 null0
ip route 31.0.0.0 255.0.0.0 null0
ip route 36.0.0.0 255.0.0.0 null0
ip route 37.0.0.0 255.0.0.0 null0
ip route 39.0.0.0 255.0.0.0 null0
ip route 41.0.0.0 255.0.0.0 null0
ip route 42.0.0.0 255.0.0.0 null0
ip route 49.0.0.0 255.0.0.0 null0
ip route 50.0.0.0 255.0.0.0 null0
ip route 58.0.0.0 255.0.0.0 null0
ip route 59.0.0.0 255.0.0.0 null0
ip route 70.0.0.0 255.0.0.0 null0
ip route 71.0.0.0 255.0.0.0 null0
ip route 72.0.0.0 255.0.0.0 null0
ip route 73.0.0.0 255.0.0.0 null0
ip route 74.0.0.0 255.0.0.0 null0
ip route 75.0.0.0 255.0.0.0 null0
ip route 76.0.0.0 255.0.0.0 null0
ip route 77.0.0.0 255.0.0.0 null0
ip route 78.0.0.0 255.0.0.0 null0
ip route 79.0.0.0 255.0.0.0 null0
ip route 83.0.0.0 255.0.0.0 null0
ip route 84.0.0.0 255.0.0.0 null0
ip route 85.0.0.0 255.0.0.0 null0
ip route 86.0.0.0 255.0.0.0 null0
ip route 87.0.0.0 255.0.0.0 null0
ip route 88.0.0.0 255.0.0.0 null0
ip route 89.0.0.0 255.0.0.0 null0
ip route 90.0.0.0 255.0.0.0 null0
ip route 91.0.0.0 255.0.0.0 null0
ip route 92.0.0.0 255.0.0.0 null0
ip route 93.0.0.0 255.0.0.0 null0
ip route 94.0.0.0 255.0.0.0 null0
ip route 95.0.0.0 255.0.0.0 null0
ip route 96.0.0.0 255.0.0.0 null0
ip route 97.0.0.0 255.0.0.0 null0
ip route 98.0.0.0 255.0.0.0 null0
ip route 99.0.0.0 255.0.0.0 null0
ip route 100.0.0.0 255.0.0.0 null0
ip route 101.0.0.0 255.0.0.0 null0
ip route 102.0.0.0 255.0.0.0 null0
ip route 103.0.0.0 255.0.0.0 null0
ip route 104.0.0.0 255.0.0.0 null0
ip route 105.0.0.0 255.0.0.0 null0
ip route 106.0.0.0 255.0.0.0 null0
ip route 107.0.0.0 255.0.0.0 null0
ip route 108.0.0.0 255.0.0.0 null0
ip route 109.0.0.0 255.0.0.0 null0
ip route 110.0.0.0 255.0.0.0 null0
ip route 111.0.0.0 255.0.0.0 null0
ip route 112.0.0.0 255.0.0.0 null0
ip route 113.0.0.0 255.0.0.0 null0
ip route 114.0.0.0 255.0.0.0 null0
ip route 115.0.0.0 255.0.0.0 null0
ip route 116.0.0.0 255.0.0.0 null0
ip route 117.0.0.0 255.0.0.0 null0
ip route 118.0.0.0 255.0.0.0 null0
ip route 119.0.0.0 255.0.0.0 null0
ip route 120.0.0.0 255.0.0.0 null0
ip route 121.0.0.0 255.0.0.0 null0
ip route 122.0.0.0 255.0.0.0 null0
ip route 123.0.0.0 255.0.0.0 null0
ip route 124.0.0.0 255.0.0.0 null0
ip route 125.0.0.0 255.0.0.0 null0
ip route 126.0.0.0 255.0.0.0 null0
ip route 127.0.0.0 255.0.0.0 null0
ip route 169.254.0.0 255.255.0.0 null0
ip route 172.16.0.0 255.240.0.0 null0
ip route 173.0.0.0 255.0.0.0 null0
ip route 174.0.0.0 255.0.0.0 null0
ip route 175.0.0.0 255.0.0.0 null0
ip route 176.0.0.0 255.0.0.0 null0
ip route 177.0.0.0 255.0.0.0 null0
ip route 178.0.0.0 255.0.0.0 null0
ip route 179.0.0.0 255.0.0.0 null0
ip route 180.0.0.0 255.0.0.0 null0
ip route 181.0.0.0 255.0.0.0 null0
ip route 182.0.0.0 255.0.0.0 null0
ip route 183.0.0.0 255.0.0.0 null0
ip route 184.0.0.0 255.0.0.0 null0
ip route 185.0.0.0 255.0.0.0 null0
ip route 186.0.0.0 255.0.0.0 null0
ip route 187.0.0.0 255.0.0.0 null0
ip route 189.0.0.0 255.0.0.0 null0
ip route 190.0.0.0 255.0.0.0 null0
ip route 192.0.2.0 255.255.255.0 null0
ip route 192.168.0.0 255.255.0.0 null0
ip route 197.0.0.0 255.0.0.0 null0
ip route 223.0.0.0 255.0.0.0 null0
DoS/DDoS攻击源地址几乎都是伪造的 当发生大规模DDoS攻击时 如果启用tcp intercept效率并不高 而且很占用资源 这种方法把null0作为一个黑洞接收来自这些地址段的数据包 使其只能被routing in而不会被routing out
另外 把数据流export到NetFlow Server 对DDoS溯源也很有帮助
马丁:另外对付RFC1918那些private address, 还有spoof的address, uRPF, (unicast Rerverse Path Forwarding)也是一个有效的方法。
Netflow是被证明最有效的分析网络流量的方法,
arrow 写到:
1 如果攻击发生,在边界路由起用了sinkhole,能多少时间内广播到全网并且完成路由修改?
这个应该取决于网络的routing convergence time。 不同的网络, 这个时间是不同的, 如果网络设计的好, 这个时间就小, 比如用BGP route reflector或者well balanced network。 如果网络设计的不好, 任何routing的变化都产生很多traffic, 浪费路由的CPU和MEMORY, 那这个时间就会多。 但从拒绝服务的攻击的角度来看, 再设计的不好的网络, 几分钟这个子网也能广播到所有的peer了, 应该可以接受。
arrow 写到:
2 如果我们要保障收到攻击的主机的正常服务(我们的基于保护主机的基本思路),我们就要解决一个路由回路的问题,在有了sinkhole的情况下如何办,呵呵
如果攻击的是一个特定的主机, 我的感觉是sink hole不适合。 攻击者的目的就是把主机knock down offline, 如果用sink hole, 等於是向攻击者投降, 主动把主机弄下线。
防守攻击特定主机的方法, 个人意见是用好ACL (access control list)。 当然如果是DDOS, 问题就复杂多了。
浆胡 回复于:2004-10-11 09:57:46
好文章!
loser123 回复于:2004-10-13 12:53:57
我觉得这个方案的重点在于可以给不同的网络流量分别设置规则,
比如可以把二层的或者某一种协议的或某个端口的转到一台或者一些专门的机器上处理,,
当然要根据icmp报文来更改路由配置这是rip或者ospf的事情了..(可以这样理解吗?)
对于isp的后台路由和一般用户的单个机器来说,防御ddos的方式是有所不同的,
比如在俺的firewall中,我就设置不运行一个ip开4个以上的连接,每个ip限速度,然后再配wfq2+,嘿嘿,,一般情况下,可以挡的住...
loser123 回复于:2004-10-13 13:18:54
我觉得这个方案的重点在于可以给不同的网络流量分别设置规则,
比如可以把二层的或者某一种协议的或某个端口的转到一台或者一些专门的机器上处理,,
当然要根据icmp报文来更改路由配置这是rip或者ospf的事情了..(可以这样理解吗?)
对于isp的后台路由和一般用户的单个机器来说,防御ddos的方式是有所不同的,
比如在俺的firewall中,我就设置不运行一个ip开4个以上的连接,每个ip限速度,然后再配wfq2+,嘿嘿,,一般情况下,可以挡的住...
杨波 回复于:2004-10-14 23:06:24
好文 ,不顶对不起人民!
unixyeah 回复于:2004-10-15 10:39:01
云里雾里 还是要顶你
solaris7 回复于:2004-10-15 16:08:20
引用:原帖由 "GunKing"]ISP可以用网络下水道技术, 向别的BGP 的peer advertise这个子网, 这样, 就把对这个子网的攻击转移到了下水道路由。
发表:
外界对这台机器的正常访问恐怕不能进行了吧?
第二场雪 回复于:2004-10-15 16:47:03
不懂
可是感觉好
呵呵
纳兰婷 回复于:2004-10-16 22:04:37
支持一下
rtm009 回复于:2004-10-17 16:54:45
强!没有看明白!先顶
Intranet 回复于:2004-10-18 09:46:28
引用:原帖由 "unixyeah"]云里雾里 还是要顶你
发表:
:em02:
云与风 回复于:2004-10-18 16:19:29
支持!!!!!!!!!!
odin_free 回复于:2004-10-19 09:46:19
这种方法的目的在于找到原攻击来源 采用分别处理的方法 减少攻击?
如果ddos攻击你 到了你的路由器就已经开始占用的你的带宽了阿
handsun 回复于:2004-10-23 11:07:44
顶一下 :em02:
vyouzhi 回复于:2004-10-23 19:53:22
好帖
也给我一个好网站
多谢啊
shen 回复于:2004-11-13 17:39:14
NO USE
joyaid 回复于:2004-11-14 19:55:25
好文章,顶!!!!
学习ing.
dolphinwwt 回复于:2004-11-18 00:53:25
我也顶一下
gunguymadman 回复于:2004-11-22 16:11:59
good
悲伤止步 回复于:2004-11-22 16:53:04
好文,有兴趣的朋友可要好好看看了
Benwolf 回复于:2004-11-23 08:58:54
思路不错
jackylau 回复于:2005-09-24 15:58:33
不知道lz有没有办法防止别人攻击80 port(ddos通过国外代理)?
3widc 回复于:2005-09-24 21:44:57
靠isp是不可行的
若古 回复于:2005-09-25 05:56:38
这个模型在《大民治水》中已经出现过了。算不上是什么新鲜的理论。
这个想法还可以继续的想下去。那就怎么区分正常的TCP报文和攻击报文。区分了,又如何过滤。
其实可以把下水道改建成一个能区分和过滤TCPSYN的保护层。在保护层收到SYN包的时候并不保留TCP信息,只保留TCP COOKIES。同时返回一个SYN_ACK去验证。要是是有效的连接的话。就用COOKIES来重构TCP信息,并将其发到SERVER。要是是攻击的话,就重此列黑。因为保护层在验证SYN信息的时候并不保存TCP信息,因此也不须消耗资源。所以他并不是起到单纯的代替SERVER承担被攻击的角色。
建议各位DDOS爱好者去研究研究那篇文章。(在我的服务器上有得下。要是找不到的话就Q我。)
carrison 回复于:2005-09-26 08:53:36
配置策略路由的吧? 路由器仍要处理这些包,只不过是根据策略丢弃而已,如果大量的类似请求,路由器的资源还不是要照样消耗掉?
若古 回复于:2005-09-26 12:30:59
引用:原帖由 "carrison"]配置策略路由的吧? 路由器仍要处理这些包,只不过是根据策略丢弃而已,如果大量的类似请求,路由器的资源还不是要照样消耗掉?
发表:
说白了,一句话。。量小的DOS解决的方法有些。。。量大了全是白瞎!
西门飞 回复于:2005-09-26 17:32:34
引用:原帖由 "若古" 发表:
量大了全是白瞎!
scode 回复于:2005-10-17 19:37:30
不错啊
jd_chen 回复于:2006-01-22 21:45:23
看不到图呀,麻烦,修改一下~~~
yirenzhe 回复于:2006-04-08 18:47:42
顶一下!!
|
