看了《问绿盟黑洞》的文章好几天了,有点想法不吐不快。前两天正忙,现在闲下来了,说说我的想法。文章中会提到一些厂商的技术,有正有反,大家不要对号入座,主要是希望对你们的技术提高有帮助。我以原始的ddos的先行者syn flood来举例说明,cc我不打算评价,因为我认为syn flood的效果远远好于cc,而隐蔽性是cc远远达不到的。先点评一下关于DDoS话题方面的一些网友的错误认识和厂商的技术弱点。以下如果没有特殊指明,ddos我指的就是syn flood这种最原始、最有效、最简单、最可爱的东西。
1.只要一谈论ddos想到的就是大流量,就是无边无际、无际无边的带宽消耗战。
错了,syn flood可不是带宽消耗战,drdos才是!那是因为syn flood的使用者使用不当,才会有今天大家的错误认识。
2.天,我CPU都满跑了,为什么目标机一点事都没有?我用的可以Linux下开源的、大家都害怕的、网评第1的攻击软件呀。
检查一下你的网关是不是有NAT,如果有。不是你的包没出去,就是你的网关快阵亡了,您赶快住手吧。
去掉你前面的防火墙,因为防火墙在你发起攻击时,最先受到损害,更重要的是它是你财产的一部分。
你极有可能拿一款ether下的攻击程序在pppoe网络中使用了,为了提高效率攻击数据包都是自己填充的,所以程序本身可能把数据包进行了ether_type的二层封装,如果你在pppoe环境中攻击,请自己修改源代码改为PPPOE封装。否则的话,你攻击的不是目标机,而是在自己的房间里大小便。要学会分析协议,下面才是二层PPPOE封装的正确格式:
88 64 11 00 0B D0 00 56 00 21
3.这个ddos设备没什么了不起,用的就是syn cookie和syn proxy。
我认为这两种方法是当前最有效的解决方法,就像攻击者必须联网才能发起攻击一样,这两种措施是必做的。如果您没用这两种方法就实现了ddos防御,以下的内容您就不用看了。因为您是我见过的第一牛人,我在您面前绝对是个晚辈的。在此就不浪费您的宝贵时间了。如果您感觉我还可救,给我留点面子传张纸条教侮我一番吧。
4.drdos比ddos时髦多了,可以四两拨千斤
真不好意思,syn ack这个数据包应该从内网口收到才对,从外网口收到时直接丢掉就可以了。它浪费的是你的宽带而不是内存或者大量的cpu。
你可能会说我后面的服务器是ftp并工作在主动模式,所以有时syn ack也是不能丢的。嗯…解决方案你自己已经说出来了,自己想个办法吧。
5.DDoS是最没有水准的攻击类型,菜鸟才用。
这只能说明你只是使用ddos工具的人,而不是一个编写ddos攻击类程序的人。大家知道一款好的ddos攻击软件,所发的包在各协议首部字段的合法范围内越随机越好。只要有一个字段该变但你没变的,特证过滤一下子就把你干掉了。如果攻击包是以多播、回环为源ip发送,我只能说攻击者在和你开玩笑,看看日历确认今天不是愚人节。
但满足随机就是好的攻击软件吗?喵~喵~俺家的小花猫都知道,远远不是滴,单纯发syn攻击包就不是好的攻击方式。浪费ddos设备资源的是握手的第三个ack包。但第三个包构造上又很有讲究,举个例子:国内某某ddos厂商的主页,我小流量正常访问时抓包,可以发现他没有做syn proxy,但当我1000pps时,通过抓包就可以看出,他启用syn proxy了,并且syn cookie也随之打开了,你问我怎么知道的?看看它回复的syn ack包的tcp选项部分的变化你就明白了。这时是他启用防护的时机,也是它最脆弱的时候,细心的构造一个syn包,一个ack包,算准了它的cookie,喂给它。喵~小花猫都知道5000pps足够了。我不是有意这么做的,是它在CU里叫大家帮忙做测试,我简单的分析了一下,是这个原理。没叫劲,睡觉了,第二天具说有3000台肉机参与了,不知是真是假,如果没有了解原理,你就算动用8000台也没用啊!
这里真正的技术是推算cookie,但我在市面上找不到一款ddos攻击软件有这个方面的功能,你可能会说这不就是cookie攻击吗,我不这么认为,我不会发大量的ack来消耗它的cpu资源,我只是想钻它算法的空子。因为一种cookie的算法就好比是一类ddos设备的指纹,推出这个cookie的参数与运算法则,以后遇到它的时候,它就死定了。当然厂商也不傻,算cookie的参数是个很大的数并且还是在不断变化,但不会经常变,每次启动的时候变一次就算很智能了。因为每天小花猫吃饭的时候,我都会便顺发送一个相同的syn包给它,它返给我的syn ack中的cookie一直都是一样的。哈哈…如果我有耐心,终有一天我会推出来的,注意:这个syn包源IP是真实的,所以我能观察到它的返回数据包,并且他根本就发现不了偶。一天才一个syn包嘛。
顺便问问版主,绿盟在测试黑洞的时候,肯定有一种攻击软件是他们自己写的,针对自己的产品的弱点、软肋、命门、死穴、扪门发送5000pps应该就可以挂了。喵~喵~喵~小花猫咽到了。
6.这个百兆ddos设备真牛呀,百兆的线路我都D满了,还可以正常访问保护的服务器
你的感叹用错对像了,你应该感叹于这条网线的质量很好,一条质量优秀的网线,百兆千兆的确都可以跑起来呀。另外一个设备适用于百兆还是千兆环境的瓶颈,你没有弄清楚。我用82559网卡,我的算法再好也不可能你把百兆线路D满了,后面的服务器你还可以访问。你的这种情况,我可以很负责任的告诉你,这个外表百兆ddos设备实际采用了千兆平台和千兆网卡,而流量的瓶颈在你测试中的其它结点上。仅此而己。
7.我们的算法不对syn包做回追处理,所以你的下行带宽没有被浪费。
这话也说的出口,真汗!小花猫甩甩尾巴跑去喝水了。你把10kpps的发包器真接插在百兆ddos设备上面试一下,看看是回复syn ack时CPU使用率高,还是只接受syn包不回复时CPU占用率高。告诉你,后者的cpu占用率更高一些。为什么呢?因为我回复syn ack时也是一种另类的保护策略,在局域网中,攻击者发的数据包也必须依照冲突检测载波监听的方式来发送攻击包,如果你回复等量的syn ack也就是在堵攻击者的嘴,他发包的速度会成倍的减下来。这意味这什么?意味着你用你的下行带宽换来了上行带宽,这么好的机会你为什么要放弃?这就好像一群人在用砖头拍你,拍的你上串下蹦,左躲右闪,累的你呼吃带喘,你心里还在想我TM怎么这么聪明呀,没有回拍他们,节约了不少力气,所以现在身行才能如此敏捷。
8.你看我们的设备连IP地址都没有,可以实现网络隐身,所以很安全
幸好小花猫不在身边,否则还不得被呛个半死呀。这个因果关系也说的出来?那我是不是可以说工作在桥模式下的设备都很安全?这是我见过的最大的拿缺点当优点忽忧人的说词。你把IP地址给我设上,我为什么要网络隐身啊,我光明正大!你不是防ddos攻击吗?你自己的ip为什么不敢暴露在公网上提供http管理控制?厂商会找出各种的手段来忽忧你,以下是最常见的托词:设置管理IP地址当然可以了,但要从另外的一个网口专门引出来,并且我们不对管理网口做防护,因为这样会增加我们系统的负载呀。呀~~呀~~呀~~,回想起测试性能的时候他们好像说自己的算法很牛,什么国际领先啦,什么可以抵御所有未知的ddos攻击啦,什么算法CPU零负载啦,什么指纹啦,什么单向数据包一次检测啦,什么身份证啦、什么syn包实名制啦、什么暂住证啦….什么这个,什么那个了,你都这么强了,暴露一下嘛。
不想做过多技术分析,主机型syn proxy syn cookie和网关型syn proxy syn cookie的难度不是一个数量级,原因是厂家为了效率把syn proxy syn cookie都在驱动层实现了,你叫他们把数据包上送到系统的TCP/IP协议栈给系统自身,真的是很难为他们。但你实现不了可以直说,忽忧我家小花猫就不厚道了。
9.我们的设备是透明接入,不会修改你的拓扑
嗯…这要看你对透明接入的了解程度了,我翻了翻所有ddos厂商的手册,吃惊的发现,都是一个模子,不知是谁抄谁的。上画三张用户常用拓扑,一个保护服务器、一个保护防火墙,一个保护网络,就认为自己可以全透明接入了?下面这张图你能透明接入吗?内网为三个VLAN网段,服务器放在VLAN2中,每个网段互相访问都必须通过防火墙内网口的三个对应VLAN网卡(各网段默认网关),防火墙通过DNAT后对外映射VLAN2网段服务器。我的要求是即要求你防外网的ddos还要你防止内网对VLAN2的ddos,敢问您,您打算怎么个透明进入法?
1) 透明接入在防火墙外网口?
2) 透明接入在防火墙内网口?
你八成会修改我的拓扑,把VLAN2转到DMZ,然后透明接入在防火墙DMZ网口上
外网
|
防火墙
|
| 交换机trunk口
|
switch
| | |
VLAN 1 VLAN2 VLAN3
10.利用超时重传来判断syn包是否合法
这种方法是相当的有效啊,远处传来小花猫的声音:“给它在三秒钟之内发第二个syn包”
11.可能您感觉本文写的不错,但要转载的时候,请注明原作者是skipjack,仅些而己,谢谢了
很不幸,年初时给国家某某一级刊物投稿,先开始写了8000字,后来叫我一删再删,删了再删,图是左减一个,右减一个,上减一个,下减一个,前减一个,后减一个。本来是一个从浅入深的分析过程,后来成了个半调子,没几个人可以读懂了。稿费汇给我时,我都快哭了,4000多字才给俺103元,从邮局走出来的时候,手里握着这103元钱,心里想:“今儿中午我是请老婆吃饭呢,还是请小花猫吃饭呢?”。
2006-4-6
23:33 skipjack
备注:
2006-4-9 22:02
1)修改原文,去掉笔误(一处)与错别字(两处) xiyang网友说我文章中有"愤青"言语和人身攻击词汇,我把我认为是的去掉了.在此表示谦意.
2)我不是做ddos产品的,所以我写文章这么大胆,否则我不是自己砸自己饭碗嘛?
3)我的身份大家不要猜了,我不是绿盟 天融信 金盾 神州盾 dosnipe的人(排名不分先后)
2006-4-29 21:29
zeroflag网友对第七点进行了debug。
>>没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。
>>全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!
答复: 观点七: 想说明那些被动的等待重传来判断syn包合法性的作法是多么的不可取.与其被堵死,不如搏一下.
对,这点在同铀电缆环境下是正确的.在双绞线下这么说的确不太严谨.
双绞线的上/下行带宽是完全分开的.收对发,发对收.
我上面提的发包器,因为源MAC没有伪造,只是伪造了源IP,所以当我回复syn ack时,攻击者也必须处理收包工作.这样它的CPU负载就加大了,发包就会慢下来.
你可能会说,没有伪造源MAC的攻击包就是~傻~包呀,
但你不要丢记,在单一网关出口时,网关就是这种情况下的发包器,
[ 本帖最后由 skipjack 于 2006-5-12 12:58 编辑 ]
Jambo 回复于:2006-04-07 09:14:57
有水准,绝对有水准!
收了!
teczm 回复于:2006-04-07 10:02:04
收藏 !
authen 回复于:2006-04-07 10:10:08
好文! 全文转载了 感谢LZ提供美文 :em02::em02:
skipjack 回复于:2006-04-07 15:02:50
多谢楼上的三位捧场
今天俺也用用blog :)
http://skipjack.cublog.cn/
比刀螂还冲动 回复于:2006-04-07 15:19:47
强 收益不少
caibird3rd 回复于:2006-04-07 15:30:33
为啥楼主说话的时候老有只猫跑来跑去?) 头晕啊~
skipjack 回复于:2006-04-07 15:34:18
引用:原帖由 caibird3rd 于 2006-4-7 15:30 发表
为啥楼主说话的时候老有只猫跑来跑去?) 头晕啊~
呵呵...因为晚上写文章很幸苦,所以幻想有只小花猫来陪自己:)
starrow 回复于:2006-04-07 16:44:02
哈哈,厉害
marsaber 回复于:2006-04-07 18:18:08
哈哈
收藏了!
确实不错!
收在我的blog里!
http://marsaber.cublog.cn
网路游侠 回复于:2006-04-07 23:21:48
引用:原帖由 teczm 于 2006-4-7 10:02 发表
收藏 !
呵呵 帅哥天天灌水?
比刀螂还冲动 回复于:2006-04-08 06:54:37
其实我仔细看后。。错误好多。。哈哈。。
看来真正懂的人还是少
skipjack 回复于:2006-04-08 09:24:47
引用:原帖由 比刀螂还冲动 于 2006-4-8 06:54 发表
其实我仔细看后。。错误好多。。哈哈。。
看来真正懂的人还是少
举个例子说明一下.
zjzf_1 回复于:2006-04-08 09:32:29
RE:问zjzf_1、问黑洞、问所有DDoS厂商,哈哈…终结你们的人来了:)
看看skipjack 这点出息 帖子的名字 三岁两岁呀。 干脆你问全世界问外星人算了。
见我没回复急了 发条站内短讯叫我上来看。 我满足skipjack 这个小小的愿望。
跳跃性的看了下,让我一个一个字的读实在看不下去了:
"什么小花猫呀 "喵~喵~俺家的小花猫都知道,远远不是滴"
"喵~喵~喵~小花猫咽到了"
"真汗!小花猫甩甩尾巴跑去喝水了。"
"幸好小花猫不在身边,否则还不得被呛个半死呀。"
"忽忧我家小花猫就不厚道了。"
"今儿中午我是请老婆吃饭呢,但是请小花猫吃饭呢?"
我用头撞了二十下墙 用改锥刺大腿才忍住笑 skipjack 你也太可爱了。
如果真的要我给一个评价 ----> skipjack比较适合幼师工作。
顺便质疑斑竹的能力 skipjack 这种文章怎么能给他加精 是不是因为字数多呀?
还是因为skipjack 的猫 和 ayazero 的龙猫是近亲。
再问问 skipjack 投的是哪个一级刊物 我高二在硅谷动力写了一千字就有一百二十多元了。你写了8000字还有图才给你100多
是不是回收纸的钱呀?
还有skipjack 不管是从文章 还是文章的题目 都把我的ID:zjzf_1放在最前面的位置
难道你就这么崇拜我? 下次给你签个名。
最后说下绿盟的 你们每次上来注册个ID累不累呀 学学你们的ayazero 一个id用了这么久 而且还当了个斑竹
teczm 回复于:2006-04-08 09:35:04
引用:原帖由 zjzf_1 于 2006-4-8 09:32 发表
最后说下绿盟的 你们每次上来注册个ID累不累呀 学学你们的ayazero 一个id用了这么久 而且还当了个斑竹
你咋知道他是绿盟滴涅:em14:
zjzf_1 回复于:2006-04-08 09:36:10
他不是哦 我是顺便说下
skipjack 回复于:2006-04-08 09:39:26
引用:原帖由 zjzf_1 于 2006-4-8 09:32 发表
RE:问zjzf_1、问黑洞、问所有DDoS厂商,哈哈…终结你们的人来了:)
看看skipjack 这点出息 帖子的名字 三岁两岁呀。 干脆你问全世界问外星人算了。
见我没回复急了 发条站内短讯叫我上来看。 我满足skipjac ...
哈,来了,我是你的fans哦
别的不说了,你是专门做这个设备的,debug吧
4000字的文章真的是103元,<<信息网络安全>> 2006.02 总第62期,是那篇我就不说了,看你眼光了
teczm 回复于:2006-04-08 09:42:19
哈哈 听说那种杂志发文要付费的 楼上居然还能拿到钱钱 不容易哦:mrgreen:
skipjack 回复于:2006-04-08 09:46:36
引用:原帖由 teczm 于 2006-4-8 09:42 发表
哈哈 听说那种杂志发文要付费的 楼上居然还能拿到钱钱 不容易哦:mrgreen:
哈哈....下次不投了
frosty 回复于:2006-04-08 10:27:37
没什么说的
只能说 崇拜吧
不过,相信有一天 大家也会 崇拜我的
inhell 回复于:2006-04-08 17:20:52
顶一下
xiyang 回复于:2006-04-08 23:25:59
:)
有点“愤青”的味道。
建议楼主将个人感情的因素和甚至一些人身攻击的词句去掉。
纯粹的技术交流比较合适。
skipjack 回复于:2006-04-08 23:58:07
引用:原帖由 xiyang 于 2006-4-8 23:25 发表
:)
有点“愤青”的味道。
建议楼主将个人感情的因素和甚至一些人身攻击的词句去掉。
纯粹的技术交流比较合适。
你说的味道,我文章中有吗?
没什么个人感情因素在里面,更没有人身攻击,否则也过不了版主那关啊。
希望交流
skipjack 回复于:2006-04-09 00:04:56
点评一下《 zt-------联合反击DDOS 》文章,思路很好,但需要全方位配合,如果马丁先生在中国,那他非气死不可。因为中国的ISP为了安全是禁用ICMP的。并且国产防火墙也是一大ICMP数据包的杀手。哈哈...不让ping的设备,我认为都不是好的网络设置。当然hub之类的东西除外。
xiyang 回复于:2006-04-09 00:09:37
任何网络需求,也包括ping,是要看具体的需求和应用的。
而这并不应该成为评判一个设备好与坏的标准。
skipjack 回复于:2006-04-09 00:20:49
引用:原帖由 xiyang 于 2006-4-9 00:09 发表
任何网络需求,也包括ping,是要看具体的需求和应用的。
而这并不应该成为评判一个设备好与坏的标准。
我不希望我出差在外的时候,给用户调设备,ping哪哪不通。感觉糟透了
那些ISP和网管给我留下了深刻的印象。
www_ftp 回复于:2006-04-09 00:21:18
ddos与抗ddos是矛与盾没有哪个更厉害,ddos不断发展,抗ddos也不断的发展,动态的平衡才是永恒。
cookie问题是存在一个碰撞的问题,现在处理只少有两种方式。1。是复杂公式法(设备中可能有多套起动态随机选择),2。随机存储法(随机产生)。有限的时间内大量的碰撞几乎是不可能的,少量的碰撞起不动什么效果的。
CC攻击隐蔽不好是因为攻击着技术问题,对各类代理的特性不了解而已。效果不好也是修炼不到没有找到要害。
skipjack 回复于:2006-04-09 00:29:09
引用:原帖由 www_ftp 于 2006-4-9 00:21 发表
ddos与抗ddos是矛与盾没有哪个更厉害,ddos不断发展,抗ddos也不断的发展,动态的平衡才是永恒。
cookie问题是存在一个碰撞的问题,现在处理只少有两种方式。1。是复杂公式法(设备中可能有多套起动态随机选择) ...
1.公式法:不可能很复杂,因为你也需要效率,你决不会用md5或是sha,最多采用位移与hash,如果采用了很常用的算法,应该很容易猜出来,这比猜密码简单。
2.随机法:你打算为保存这个东西消耗多少内存呢?一段时候内不碰撞就可以,一秒1500Kpps。你打算维护多少秒?
www_ftp 回复于:2006-04-09 00:45:40
保存3秒就够了,150W*3=450W*2字节也用不了多少内存。
skipjack 回复于:2006-04-09 00:55:58
引用:原帖由 www_ftp 于 2006-4-9 00:45 发表
保存3秒就够了,150W*3=450W*2字节也用不了多少内存。
:)
如果我没感觉错,你们的网站现在还不是这种技术。2^32个随机数被你压缩为450W*2了,我应该可以这么认为与理解吧?我碰撞的机会好像更大了。
skipjack 回复于:2006-04-09 01:06:10
呵呵...不在cookie上较真了,来点更实际的吧,你看我贴子上的第9个问题。发现你们的设备有什么不对劲了吗?抗ddos产品不是不能透明接入,在不改变拓扑的情况下只能接在trunk口上。我看了你们产品的说明书,现在你们应该还实现不了,哈哈,不信可以试一下。
[ 本帖最后由 skipjack 于 2006-4-9 01:11 编辑 ]
www_ftp 回复于:2006-04-09 01:10:37
引用:原帖由 skipjack 于 2006-4-9 00:55 发表
:)
如果我没感觉错,你们的网站现在还不是这种技术。2^32个随机数被你压缩为450W*2了,我应该可以这么认为与理解吧?我碰撞的机会好像更大了。
我的概率不好,只是实现测中没有发现有碰撞上的。在一个缓冲单元中,有2^32中可能,只有3秒的时间有机会,况且没有成功连接时这样探测,这个IP就能自动阻止一段时间。
skipjack 回复于:2006-04-09 01:21:02
引用:原帖由 www_ftp 于 2006-4-9 01:10 发表
我的概率不好,只是实现测中没有发现有碰撞上的。在一个缓冲单元中,有2^32中可能,只有3秒的时间有机会,况且没有成功连接时这样探测,这个IP就能自动阻止一段时间。
没碰撞上算你走运:)
并且我又发现你算法的一个问题,连接的4元组信息那里去了?见到返回的ack包,你不会只看seq值吧?4元组信息不会也被你压缩在这450W*2的空间里了吧?
看第9个问题,不聊cookie的问题了。呵呵......
www_ftp 回复于:2006-04-09 01:22:09
引用:原帖由 skipjack 于 2006-4-9 01:06 发表
呵呵...不在cookie上较真了,来点更实际的吧,你看我贴子上的第9个问题。发现你们的设备有什么不对劲了吗?抗ddos产品不是不能透明接入,在不改变拓扑的情况下只能接在trunk口上。我看了你们产品的说明书,现在你 ...
可以看的出,你对这个是有比较深的研究,也都是在设计抗ddos时需要认真考虑的问题。任何产品都有缺陷,只有不断的完善才能最终成为好的产品。抗ddos这东西,不象别的东西,技巧性比较强。个人认为做抗ddos比做普通防火墙难的多,因为关键时候需要生死较量。我们尊重每个抗ddos厂商,大家都为此付出了太多,因为抗ddos不象普通硬防包iptable等包装好了就行了,对付每种攻击都需要开发代码。
skipjack 回复于:2006-04-09 01:31:17
引用:原帖由 www_ftp 于 2006-4-9 01:22 发表
可以看的出,你对这个是有比较深的研究,也都是在设计抗ddos时需要认真考虑的问题。任何产品都有缺陷,只有不断的完善才能最终成为好的产品。抗ddos这东西,不象别的东西,技巧性比较强。个人认为做抗ddos比做普 ...
呵呵...谢谢
那我也就直言了,我觉的第9个问题,至少应该引起你们厂商的重视,因为如果你适应不了这种环境,会被内网反射回来的syn包射死。虽然可以避免这种拓扑,但感觉会被人精心利用。不说的太直白,希望你们能发现这里面的问题。
www_ftp 回复于:2006-04-09 01:35:10
引用:原帖由 skipjack 于 2006-4-9 01:06 发表
呵呵...不在cookie上较真了,来点更实际的吧,你看我贴子上的第9个问题。发现你们的设备有什么不对劲了吗?抗ddos产品不是不能透明接入,在不改变拓扑的情况下只能接在trunk口上。我看了你们产品的说明书,现在你 ...
我没有看明白,我们的硬防支持trunk接入,能正确识别vlan信息。只是如果接到vlan2上,这样到是能达到保护服务器的目的,可是前边防火墙很容易被ddos死。就象你说的把他放到DMZ区,vlan1一样能ddosDMZ服务器,这时防火墙第一个死。当然如果这个防火墙是我们的,我们可以定做这种直接功能的硬防,抗ddos系统与防火墙集成的这种性能可能不太好。
skipjack 回复于:2006-04-09 01:43:05
引用:原帖由 www_ftp 于 2006-4-9 01:35 发表
我没有看明白,我们的硬防支持trunk接入,能正确识别vlan信息。只是如果接到vlan2上,这样到是能达到保护服务器的目的,可是前边防火墙很容易被ddos死。就象你说的把他放到DMZ区,vlan1一样能ddosDMZ服务器,这 ...
不要把防火墙想的那么弱,否则我会急滴。你的设备在强,在百兆设备上也必须用千兆网卡,是吧?(参看我主贴的问题6)
你把ddos设备放在trunk口上,去做trunk应用当然不会有难度,但你的设备和防火墙不一样,防火墙处理VLAN数据包是靠VLAN虚网卡处理,而你的设备不同,是自己解封VLAN数据包,我说的对吧?因为你的产品手册里我没看到设置VLAN的步骤。
难点在于:从你设备内网进入的数据包,你做状态追踪吗?
www_ftp 回复于:2006-04-09 01:44:58
引用:原帖由 skipjack 于 2006-4-9 01:31 发表
呵呵...谢谢
那我也就直言了,我觉的第9个问题,至少应该引起你们厂商的重视,因为如果你适应不了这种环境,会被内网反射回来的syn包射死。虽然可以避免这种拓扑,但感觉会被人精心利用。不说的太直白,希望 ...
多谢你提的建议,多交流。我们会考虑这种问题的。最好不要用这种结构,对外服务器在内网中,如果被控制了比较危险。相对安全的是结构是:互联网--抗ddos-硬防--WEB服务器--硬防---内网这种双堡垒式的,当然造价高的多。折中的是:互联网---抗ddos--硬防----内网
|
WEB服务器
这个DMZ区的。
www_ftp 回复于:2006-04-09 01:54:53
引用:原帖由 skipjack 于 2006-4-9 01:43 发表
不要把防火墙想的那么弱,否则我会急滴。你的设备在强,在百兆设备上也必须用千兆网卡,是吧?(参看我主贴的问题6)
你把ddos设备放在trunk口上,去做trunk应用当然不会有难度,但你的设备和防火墙不一样, ...
什么样的设备就做什么样的事情,大集成着只能用在小企业中。我们的设备也跟踪状态,只是都是为抗ddos服务器,功能没防火墙强,但效率一定得高。这两种产品都有存在的道理,可能有做的好的防火墙,可是我测过的防火墙抗ddos都比较差,一是只限于syn flood的,范围太小。二是处理能力有限,测的比较好的是64 syn killer发的包,100M下最高到7W就挺不了了。三是扩展不好,因为他还要与防火墙本身的功能协调,很难为以后新型ddos攻击扩展。
skipjack 回复于:2006-04-09 01:57:45
引用:原帖由 www_ftp 于 2006-4-9 01:44 发表
多谢你提的建议,多交流。我们会考虑这种问题的。最好不要用这种结构,对外服务器在内网中,如果被控制了比较危险。相对安全的是结构是:互联网--抗ddos-硬防--WEB服务器--硬防---内网这种双堡垒式的,当然造价 ...
我的意思是说,因为你们总是感觉ddos发生在外网口,就会无条件放行所有内网的数据包,但你不要忘了,有一种拓扑,内网的数据包会从外网折回来。在防火墙上这种情况叫syn包的二次穿越,只要是桥都有这个问题。但防火墙很好解决,因为有状态表,你的ddos也有,但很轻量,并且主要还是用于syn proxy用的,所以对内网的syn就会忽略做状态,一不留神会死在它手里。也可能我不太了解你们的产品,但ddos设备是严格区分内外网口的,我想意义就在这里吧。
skipjack 回复于:2006-04-09 02:01:52
引用:原帖由 www_ftp 于 2006-4-9 01:54 发表
什么样的设备就做什么样的事情,大集成着只能用在小企业中。我们的设备也跟踪状态,只是都是为抗ddos服务器,功能没防火墙强,但效率一定得高。这两种产品都有存在的道理,可能有做的好的防火墙,可是我测过的防 ...
你们的百兆设备能防到几万?
skipjack 回复于:2006-04-09 02:11:01
注意那条红线,前面也不一定是防火墙,但我对防火墙熟悉,所以就用它了,如果你感觉防火墙会在ddos时死掉,你可以把它替换成有NAT功能的路由器
蓝色线是外网对服务器的访问路线,syn包一次穿越
红线是内网对服务器的访问路线,syn包二次穿越
还有一个隐含的难点:
如图,我只保护VLAN2中的两台服务器(ftp、www),而不包含192.168.20.22那台主机,此时
如果蓝、红两路访问192.168.20.22,而你的ddos上如果只有两条如图所示的规则,则:
对于蓝色线路,你要拒绝
对于红色线路,你要接受
[ 本帖最后由 skipjack 于 2006-4-9 02:19 编辑 ]
www_ftp 回复于:2006-04-09 02:11:11
引用:原帖由 skipjack 于 2006-4-9 02:01 发表
你们的百兆设备能防到几万?
syn killer 64包 到14W/秒。
skipjack 回复于:2006-04-09 02:20:49
引用:原帖由 www_ftp 于 2006-4-9 02:11 发表
syn killer 64包 到14W/秒。
14万的包你都能收到,不丢包?你的网卡芯片是什么类型?
www_ftp 回复于:2006-04-09 02:25:55
你说的结构是存在的,也是现实的,我们遇到过。这种结构我们的抗ddos系统是安全的不会被D死。你的担心是对的,如果简单使用 源ip +源端口+目的ip+目的端口建立连接的话,会因为重复建立多个连接把抗ddos拖死。我们的进行了优化,象这样情况会自动合并多连接的,在新建连接时hash查找相关连接功能。所以不会发生你说的这种情况。感兴趣的话,可以找我们的产品测试。。。
www_ftp 回复于:2006-04-09 02:30:14
引用:原帖由 skipjack 于 2006-4-9 02:20 发表
14万的包你都能收到,不丢包?你的网卡芯片是什么类型?
因我们的设备全都是1000M网卡,intel 82546吧,一个包都不丢包我不敢保证。新建连接能99%以上都成功,用telnet IE ssh ftp都是这样的。
skipjack 回复于:2006-04-09 02:33:58
引用:原帖由 www_ftp 于 2006-4-9 02:25 发表
你说的结构是存在的,也是现实的,我们遇到过。这种结构我们的抗ddos系统是安全的不会被D死。你的担心是对的,如果简单使用 源ip +源端口+目的ip+目的端口建立连接的话,会因为重复建立多个连接把抗ddos拖死。我们 ...
呵呵...我的图画的不错吧:)
必须去睡觉了,虽然现在还没有什么睡意,最后问两个问题
1.你怎么知道你收到14W个数据包并且没有丢包呢?
2.你的产品不错,感觉到了,呵呵...不知你是研发还是设计?你的每秒建立连接率能达到多少?
skipjack 回复于:2006-04-09 02:36:45
引用:原帖由 www_ftp 于 2006-4-9 02:30 发表
因我们的设备全都是1000M网卡,intel 82546吧,一个包都不丢包我不敢保证。新建连接能99%以上都成功,用telnet IE ssh ftp都是这样的。
倒~千兆平台+千兆网卡,14W这是当然的了。你说的人家防7W的产品用的是百兆芯片吧。
www_ftp 回复于:2006-04-09 02:37:25
引用:原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线,前面也不一定是防火墙,但我对防火墙熟悉,所以就用它了,如果你感觉防火墙会在ddos时死掉,你可以把它替换成有NAT功能的路由器
蓝色线是外网对服务器的访问路线,syn包一次穿越
红线是内网对服 ...
对于是否保护一台服务器,你可以指定的,如果不想保护,加于不保护队列服务器列表中就是了。
如果想拒绝一个IP对服务器的访问,加于黑名单就行了。
这些实现都是hash+静态连表做的,效率大可放心。
skipjack 回复于:2006-04-09 02:42:29
引用:原帖由 www_ftp 于 2006-4-9 02:37 发表
对于是否保护一台服务器,你可以指定的,如果不想保护,加于不保护队列服务器列表中就是了。
如果想拒绝一个IP对服务器的访问,加于黑名单就行了。
这些实现都是hash+静态连表做的,效率大可放心。
你没仔细看图,规则中就指定两台服务器,但对两路访问192.168.20.22的结果是相反的
对于蓝色线路要拒绝
对于红色线路要接受
不用问我为什么这么怪吧,因为你不这么实现就不对了。仔细想想
www_ftp 回复于:2006-04-09 02:49:19
引用:原帖由 skipjack 于 2006-4-9 02:36 发表
倒~千兆平台+千兆网卡,14W这是当然的了。你说的人家防7W的产品用的是百兆芯片吧。
:mrgreen::mrgreen:
没办法,这就是100M产品呀,只是配置高些。
skipjack 回复于:2006-04-09 11:06:40
引用:原帖由 www_ftp 于 2006-4-9 02:49 发表
:mrgreen::mrgreen:
没办法,这就是100M产品呀,只是配置高些。
所以懂行的人,根本不会去买什么千兆ddos设备
百兆设备用千兆平台,性价比很高滴,哈哈......不知我说的对不对.
:em11:
GunKing 回复于:2006-04-09 11:38:25
精彩~~!!!忍不住赞一个~~!!
麻烦AYA在适当的时候把我的回复DEL掉
以免打乱高手过招的连续性:)
zjzf_1 回复于:2006-04-09 11:44:36
支持vlan trunk小学生都会搞
我实现vlan trunk的支持 只用了20多分钟就加好了 真他妈的简单
skipjack 回复于:2006-04-09 11:53:28
引用:原帖由 zjzf_1 于 2006-4-9 11:44 发表
支持vlan trunk小学生都会搞
我实现vlan trunk的支持 只用了20多分钟就加好了 真他妈的简单
指针多移4个字节就可以了是吧,用的了20还多分钟吗?20秒不到就应该OK了吧?
www_ftp 回复于:2006-04-09 12:57:35
引用:原帖由 skipjack 于 2006-4-9 11:06 发表
所以懂行的人,根本不会去买什么千兆ddos设备
百兆设备用千兆平台,性价比很高滴,哈哈......不知我说的对不对.
:em11:
因为1000M与100M平台在硬件上价钱差别不是很大,一般都用1000M代替100M平台.当然100M产品可能在软件上做了限制,使其不能用在1000M上,如限了syn每秒的处理包数,多了就丢掉或限速.
skipjack 回复于:2006-04-09 13:07:38
引用:原帖由 www_ftp 于 2006-4-9 12:57 发表
因为1000M与100M平台在硬件上价钱差别不是很大,一般都用1000M代替100M平台.当然100M产品可能在软件上做了限制,使其不能用在1000M上,如限了syn每秒的处理包数,多了就丢掉或限速.
喜欢老实人,这是一般厂商的策略
经手过一个设备,我已经判断出它的百兆设备是82540了,但测试仪和它协商就是不能正确协商出千兆全双工.哈哈...如果能协商出来,我肯定第一个买下来.
www_ftp 回复于:2006-04-09 13:54:20
引用:原帖由 skipjack 于 2006-4-9 13:07 发表
喜欢老实人,这是一般厂商的策略
经手过一个设备,我已经判断出它的百兆设备是82540了,但测试仪和它协商就是不能正确协商出千兆全双工.哈哈...如果能协商出来,我肯定第一个买下来.
去掉强制100M,不过不建议对厂商的设备进行改造,可能带来可怕的后果.加密是多种多样的,不一定能完成清除.
skipjack 回复于:2006-04-09 16:12:51
引用:原帖由 www_ftp 于 2006-4-9 13:54 发表
去掉强制100M,不过不建议对厂商的设备进行改造,可能带来可怕的后果.加密是多种多样的,不一定能完成清除.
如果我去掉你设备的100M限制,你的防盗版功能不会叫你的设备调炮往里揍吧?
那底是粉可怕的呀,呵呵....ddos设备没准会成为直连服务器的攻击器:shock:
zero-B 回复于:2006-04-09 20:23:08
:mrgreen::mrgreen::mrgreen:
看到了看到了,不过没看懂:oops::oops:
qintel 回复于:2006-04-09 21:08:12
引用:原帖由 zjzf_1 于 2006-4-9 11:44 发表
支持vlan trunk小学生都会搞
我实现vlan trunk的支持 只用了20多分钟就加好了 真他妈的简单
老大,别在这装了,明眼人一看就知道了谁高谁低了,识相点吧。
看看您的两个精华都是什么东西吧,
---------------------------------之一--------------------------------------------------------------
pf的synproxy 实现在nat 上
这可不是 个好的选择 低效呀 而且要改变网络拓扑
我[color=Red]粗略[/color]的看了看pf 发表点看法 不当之处希望高手指出
pf对每一个连接要用struct pf_state这个数据结构保存连接状态
pf通过调用RB_FIND RB_INSETR... ...完成对连接状态表的操作(openbsd/src/sys/tree.h)
这是一个树形结构[color=Red]好像叫什么[/color]red-black trees
我要说的是 我觉得 对防火墙这种 实时要求比较高的东西上 我觉得这种做法不是很妥当 我建议用hash 分段 来处理这个问题
以上两点 我个人认为 是pf synproxy 不怎么样的关键原因
我个人实在ethernet bridge上面实现的 效果还不错哈 已经有产品出了
----------------------------之二----------------------------------------------------------------------------------------
近来经常听到圈子里的朋友跟我提到CC这种攻击
见不到虚假ip
见不到特别大的流量
但无法进行正常连接
传说一条adsl 足以搞掂一台高性能服务器
据可靠消息 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦
本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq
我粗略的看了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主
机拒绝服务( Denial of Service )
这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色
bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面,防止多代理的访问请求,而且CC通过代理攻击,代理在转发数据的时候会向HTTP服务器提交一个x-
forward-ip(好像是,这就是为什么我们有时使用了代理,对方服务器一样知道我们的真实IP)这样也是一个非常好的判断方法,因为网络上的代理虽然多,但是大部分都是非匿
名的,就是说会发送x-forward-ip的代理。"
简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决
####我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。(接受wstest 的意见把这里改下)
####我提到我对CC的攻击案例也只是耳闻,不过我觉得这种攻击方式也就是利用proxy充当傀儡机是种不错的想法而且不应该只局限于对web的攻击我没有鼓励攻击之意只是就技术论技术
这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。
借助的可能是SOCKS5 proxy或者SOCK4 proxy。
这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。
例如很多apache连接数不过是512或者1024这是很容易造成DOS。
本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱
[ 本帖最后由 qintel 于 2006-4-9 22:36 编辑 ]
qintel 回复于:2006-04-09 21:18:34
我的水平是极低的,但不我忽悠人,有一说一,有二说二,最烦这些故意装高深的,写文没一点逻辑故意装高深吓人的。最最看不起这种人。
skipjack 回复于:2006-04-09 21:56:39
引用:原帖由 qintel 于 2006-4-9 21:18 发表
我的水平是极低的,但不我忽悠人,有一说一,有二说二,最烦这些故意装高深的,写文没一点逻辑故意装高深吓人的。最最看不起这种人。
大家不要人身攻击
讨论技术就可以了,当然你可能感觉本贴没什么技术可以讨论了
世上没有人一无是处 (除了你女朋友或老婆的前任男朋友)
zjzf_1以他现在的年龄而言,水平已经相当不错了.
qintel 回复于:2006-04-09 22:03:54
引用:原帖由 skipjack 于 2006-4-9 21:56 发表
大家不要人身攻击
讨论技术就可以了,当然你可能感觉本贴没什么技术可以讨论了
世上没有人一无是处 (除了你女朋友或老婆的前任男朋友)
zjzf_1以他现在的年龄而言,水平已经相当不错了.
:)说得是,看得出他是有一些技术的,但做人是首位的,如果他认为你的文是扯淡,为什么不拿技术出来论证,光说些与技术无关的话,一看就知道他心虚,说不出来,而他明知道自己技术这块不如你,不服输,还要借其它与技术无关的东西攻击你,这样做人,是不好的。
相对你的态度,看看他的,
以下为引用zjzf_1的原话。
引用:
如果真的要我给一个评价 ----> skipjack比较适合幼师工作。
顺便质疑斑竹的能力 skipjack 这种文章怎么能给他加精 是不是因为字数多呀?
还是因为skipjack 的猫 和 ayazero 的龙猫是近亲。
再问问 skipjack 投的是哪个一级刊物 我高二在硅谷动力写了一千字就有一百二十多元了。你写了8000字还有图才给你100多
是不是回收纸的钱呀?
还有skipjack 不管是从文章 还是文章的题目 都把我的ID:zjzf_1放在最前面的位置
难道你就这么崇拜我? 下次给你签个名
[ 本帖最后由 qintel 于 2006-4-9 22:05 编辑 ]
switchtdh 回复于:2006-04-10 00:09:38
呵呵 高手!!!
数通行业的兄弟 也来凑个热闹!!!
cnadl 回复于:2006-04-10 00:22:11
引用:原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线,前面也不一定是防火墙,但我对防火墙熟悉,所以就用它了,如果你感觉防火墙会在ddos时死掉,你可以把它替换成有NAT功能的路由器
蓝色线是外网对服务器的访问路线,syn包一次穿越
红线是内网对服 ...
关于 No.9,为什么一定要指定防护内网、而不能转移到DMZ呢。将对外提供服务的和不对外提供服务的混淆在一起,这本身就是安全隐患。
东西是一样的,偏要用最别扭的用法,并不见得是好事情。
shellboy 回复于:2006-04-10 09:38:24
好精彩
skipjack 回复于:2006-04-10 09:42:59
引用:原帖由 cnadl 于 2006-4-10 00:22 发表
关于 No.9,为什么一定要指定防护内网、而不能转移到DMZ呢。将对外提供服务的和不对外提供服务的混淆在一起,这本身就是安全隐患。
东西是一样的,偏要用最别扭的用法,并不见得是好事情。
别扭也就算了,最字还是不要加了吧!这种拓扑太常见了,本来ddos设备就不是防火墙,它对服务器的位置也就没有防火墙敏感。我的本意你还没有解理,但我感觉我描述的已经很清楚了。
1)No.9所要描述的是桥设备都要特殊处理的情况,即然厂商把透明当特点,我当然就试图驳一下。
2)ddos设备在syn包第二次穿越时,依然要把它看成是内部数据包,这点对防火墙来说不难,对它就未必了。
3)ddos设备无权对数据的通过还是丢弃做裁决,这本来就是上层防火墙的值责,ddos设备厂商总认为自己在出口的最外面,这是不正确的,有时防火墙在你的上游而不是下游。
4)ddos对规则中没有指定的服务器访问,是丢弃还是放行,要看连接发起的方向,而不是syn包进入的网卡位置。君不见ddos设备上醒目的网口属性标识吗?如果这是判断syn包来源的依据未免就太幼稚了点吧。
[ 本帖最后由 skipjack 于 2006-4-10 10:40 编辑 ]
cnadl 回复于:2006-04-10 11:58:54
引用:原帖由 skipjack 于 2006-4-10 09:42 发表
别扭也就算了,最字还是不要加了吧!这种拓扑太常见了,本来ddos设备就不是防火墙,它对服务器的位置也就没有防火墙敏感。我的本意你还没有解理,但我感觉我描述的已经很清楚了。
1)No.9所要描述的是桥设备都 ...
别的不说,ddos的目标是对外提供服务的设备吧。不对外提供服务,为什么要保护呢(即图中左右两个vlan)。
如果一定要强调说这样就是改变拓扑了,那只能说原来的拓扑就是不合理的,需要改变。
此外,未必什么责任都要压倒ddos设备上来,禁止syn二次穿越最简单的方法就是禁止左右vlan访问中间vlan。
从实践角度的一点陋见,望考虑。
skipjack 回复于:2006-04-10 12:12:22
引用:原帖由 cnadl 于 2006-4-10 11:58 发表
别的不说,ddos的目标是对外提供服务的设备吧。不对外提供服务,为什么要保护呢(即图中左右两个vlan)。
如果一定要强调说这样就是改变拓扑了,那只能说原来的拓扑就是不合理的,需要改变。
此外,未必 ...
好,听你的,我把蓝色线去掉,防火墙现在不对外提供服务了。OK?
我的访问控制在防火墙上做,这一点你不会反对吧?否则我要防火墙做什么?
VLAN1与VLAN2之间的访问如果防火墙是放行的,则你的ddos设备就应该是直通的对吧?我的本意就是希望你不对VLAN1和VLAN2做保护。但你ddos设备上没有指定到1、2VLAN的防护规则,通常会被drop掉。哈...现在内网不通了。
cnadl 回复于:2006-04-10 13:34:33
引用:原帖由 skipjack 于 2006-4-10 12:12 发表
好,听你的,我把蓝色线去掉,防火墙现在不对外提供服务了。OK?
我的访问控制在防火墙上做,这一点你不会反对吧?否则我要防火墙做什么?
VLAN1与VLAN2之间的访问如果防火墙是放行的,则你的ddos设备就应该 ...
为什么要去掉兰色线呢?是我的表达有问题么?
这种拓扑应该在防火墙上禁止的是红色流量。
也就是说:
要么使用DMZ区、双防火墙或者非统一路径访问等等改变拓扑设计的方案;
要么维持拓扑不变,那么防火墙同一接口下的设备应当具有同一安全等级,换句话说,信任内网所有机器,对vlan10和vlan30到vlan20的访问不应当限制。
此外我觉得有一些概念要澄清一下:
一般路由功能都是在交换机上作,而不是防火墙上;
通常从业务上来讲,vlan10和vlan30的机器没有必要使用vlan20对外所提供的服务;
如果企业的关键业务平台对内对外都是统一的,那最安全的方式是对vlan10和vlan30开放另一条出口线路,同时对vlan20做物理隔离;
如果不能提供满足安全级别的条件,那么错误并不在ddos产品上。
最后,我不是厂家的人,我只是说我对安全的理解而已,并非替他们辩解什么。
cnadl 回复于:2006-04-10 14:08:05
引用:原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线,前面也不一定是防火墙,但我对防火墙熟悉,所以就用它了,如果你感觉防火墙会在ddos时死掉,你可以把它替换成有NAT功能的路由器
蓝色线是外网对服务器的访问路线,syn包一次穿越
红线是内网对服 ...
其实这个图最像的不是企业正常情况,而是一台整合了anti-ddos的交换机
最下面是交换引擎,最上面是路由引擎,中间是anti-ddos的module。:lol: :lol: :lol:
这个时候的实现,主要就是看anti-ddos的module上面能有多少个虚拟接口和能分出多少个独立实例了,单单一接口一实例就会出问题。
其他一些比如ddos模块是置于路由引擎上方还是下方、流量先流经哪个引擎接口等等和我们的话题没什么直接关系,不谈了。
——发散了一下。
skipjack 回复于:2006-04-10 14:20:04
引用:原帖由 cnadl 于 2006-4-10 13:34 发表
为什么要去掉兰色线呢?是我的表达有问题么?
这种拓扑应该在防火墙上禁止的是红色流量。
也就是说:
要么使用DMZ区、双防火墙或者非统一路径访问等等改变拓扑设计的方案;
要么维持拓扑不变,那么防 ...
其实我没有故意刁难ddos厂商来实现这种拓扑,只不过感觉它们会在这里遇到问题 :)
ddos厂商的技术和防火墙不一样,就像www_ftp所说的,防火墙有netfilter的开源支持,技术和思路上可以获得足够的支持。ddos厂商就没有这么幸运了,有点闭门造车的感觉。我只是想从技术上激活他们一下而己。
就像我主贴中说的,有很多特点不是特点,或者说还是缺点,但一般用户是区分不出来的,我只是站出来阐明这一点。当然也希望厂商出来反驳偶。
我所阐述的观点都是针对ddos厂商公布的手册一一评论的,所以比较露骨,厂商的人看了不一定喜欢,如果有用户打印下来做为测试和评定的依据.... :)
像猜cookie这种事情,国内没有做。但国外是有人猜的。cookie一经猜中,ddos设备的syn cookie syn proxy功能基本上就失效了,只能靠后继的连接限制来保护了,你的吞吐优势就会转为劣势,一个ack包不光吃掉你的内存和CPU,还能利用你去吃掉server上的资源。syn flood狰狞的面目会再次呈现在我们面前。
skipjack 回复于:2006-04-10 14:33:03
引用:原帖由 cnadl 于 2006-4-10 14:08 发表
其实这个图最像的不是企业正常情况,而是一台整合了anti-ddos的交换机
最下面是交换引擎,最上面是路由引擎,中间是anti-ddos的module。:lol: :lol: :lol:
这个时候的实现,主要就是看anti-ddos的modul ...
哈哈....这个说的不错,不过会比你想像的功能更强大一点。在上游再加上AV、SPAM、IPS就是UTM的雏型机了,可惜现在硬件实现有困难。现有的协议栈也不行。
sniper 回复于:2006-04-11 09:22:52
好文章,对sync攻击的要点说得很透彻。
skylove 回复于:2006-04-11 12:01:09
粗略看了一次,但是后面几页精彩的回复帖没来得及看~~~ 等下下午来看
qtqt 回复于:2006-04-11 14:57:39
呵呵,分析攻击方很透彻,防守方未必是这样。
我见到一个防ddos的,看这里:
skipjack 回复于:2006-04-11 15:02:01
引用:原帖由 qtqt 于 2006-4-11 14:57 发表
呵呵,分析攻击方很透彻,防守方未必是这样。
我见到一个防ddos的,看这里:
哪儿里?
啥都没看到呀?
你不会又给我补习你的MAC缓存溢出防御大法吧,zjzf_1已经给你分析过了,我不想再说一遍了:)
我爱臭豆腐 回复于:2006-04-13 22:13:57
不错不错.好帖子.今天有学习了一遍网络知识.:oops:
楼主写的好,其他人回复的也精彩:mrgreen:
parasaga 回复于:2006-04-14 20:35:53
冰盾ddos防火墙.一点效果都没有.我们购买了一套.黑客开始攻击的时候5分钟都不到服务器就挂了.问那个销售他说我们服务器不好.带宽不够怎么的.不想多说了.垃圾软件呀.
answer_123 回复于:2006-04-15 01:20:48
刚出道,还看不懂,不过感觉很专业,谢谢
zjzf_2 回复于:2006-04-17 11:54:00
skipjack 我要找你 发站内短讯是不是收不到
skipjack 回复于:2006-04-17 12:57:50
我收到了,也给你回了。前天的二条,今天的二条。
那个负载匀衡设备叫“F5”,美国产的。价格不菲。
[url=http://www.softlink.com.cn/key_f5_bigip.php]http://www.softlink.com.cn/key_f5_bigip.php
[ 本帖最后由 skipjack 于 2006-4-17 13:00 编辑 ]
zjzf_2 回复于:2006-04-17 14:38:59
我一个ID因为 炮轰你被封了 这个ID 在丐帮
zjzf_2 回复于:2006-04-17 14:42:48
skipjack skipjack 你有没有用过f5
skipjack 回复于:2006-04-17 15:18:02
引用:原帖由 zjzf_2 于 2006-4-17 14:42 发表
skipjack skipjack 你有没有用过f5
没有过,但基本上用过他的人都说它的性能很强劲
例如:中石化
net_sky 回复于:2006-04-18 10:07:24
收藏 收藏
macrodba 回复于:2006-04-18 17:15:44
牛人
caibird3rd 回复于:2006-04-19 15:15:17
引用:原帖由 skipjack 于 2006-4-17 15:18 发表
没有过,但基本上用过他的人都说它的性能很强劲
例如:中石化
有没有人研究过F5为何强劲?有没有人用ddos攻击过它?
skipjack 回复于:2006-04-19 16:32:19
引用:原帖由 caibird3rd 于 2006-4-19 15:15 发表
有没有人研究过F5为何强劲?有没有人用ddos攻击过它?
硬件实现的按连接分担负载,不对数据包做重组,只做转发。如果你用X86也可以做到很强劲。只是它比你更强更稳定一些
cx6445 回复于:2006-04-20 10:02:53
F5只能算中端负载均衡的产品,至于稳定性并没有宣传的这么好吧
cnadl 回复于:2006-04-20 10:23:47
引用:原帖由 skipjack 于 2006-4-19 16:32 发表
硬件实现的按连接分担负载,不对数据包做重组,只做转发。如果你用X86也可以做到很强劲。只是它比你更强更稳定一些
F5明明是linux based的……
skipjack 回复于:2006-04-20 11:43:54
引用:原帖由 cnadl 于 2006-4-20 10:23 发表
F5明明是linux based的……
有人这么分析过是linux based的,但我不相信。你有什么铁证吗?
skipjack 回复于:2006-04-20 11:47:14
引用:原帖由 cx6445 于 2006-4-20 10:02 发表
F5只能算中端负载均衡的产品,至于稳定性并没有宣传的这么好吧
呵呵...没宣传,你看我像做广告的人吗?
只是觉的F5用的比较多吧,大型机房我去的不多。
F5的那个大红灯很显明,所以印象深刻。呵呵...见笑了。
luluadm 回复于:2006-04-20 12:03:49
强, ,,值得收藏
cnadl 回复于:2006-04-20 18:03:04
引用:原帖由 skipjack 于 2006-4-20 11:43 发表
有人这么分析过是linux based的,但我不相信。你有什么铁证吗?
明天开起来给你抓点东西出来
skipjack 回复于:2006-04-20 21:59:40
引用:原帖由 cnadl 于 2006-4-20 18:03 发表
明天开起来给你抓点东西出来
多谢多谢,我等着 ;)
南非蜘蛛 回复于:2006-04-20 23:24:38
F5的BIG-IP以前用的是 BSDi 操作系统,现在用的是linux。
这点可以肯定。我有些F5的资料,想研究的,我可以发。
deeperpurple 回复于:2006-04-20 23:48:04
引用:原帖由 南非蜘蛛 于 2006-4-20 23:24 发表
F5的BIG-IP以前用的是 BSDi 操作系统,现在用的是linux。
这点可以肯定。我有些F5的资料,想研究的,我可以发。
放你老窝里就成,改天我去down下来观摩观摩 :lol:
zhaocz 回复于:2006-04-21 09:14:38
今年第一强文,收藏先了,学到了很多知识!
skipjack 回复于:2006-04-21 09:42:11
引用:原帖由 南非蜘蛛 于 2006-4-20 23:24 发表
F5的BIG-IP以前用的是 BSDi 操作系统,现在用的是linux。
这点可以肯定。我有些F5的资料,想研究的,我可以发。
前前版主,呵呵...blog上没找到
放上去吧,大家都可以看到
想问一点,软件是linux的硬件难不成还是X86?
为什么性能如此强劲?BSD版前一段有人做了800M小包转发,双至强,X86 IA的极限了。仅仅只是转发。
cnadl 回复于:2006-04-21 10:17:10
引用:原帖由 skipjack 于 2006-4-21 09:42 发表
前前版主,呵呵...blog上没找到
放上去吧,大家都可以看到
想问一点,软件是linux的硬件难不成还是X86?
为什么性能如此强劲?BSD版前一段有人做了800M小包转发,双至强,X86 IA的极限了。仅仅只是转发。
sorry,今天到公司发现那台big-ip已经发走了,不过下周还有台过来。so……稍安哈
至于软件,100%是linux的,而且引导用的还是lilo。一台机器上可以装多个系统,刚刚发走这台上面就装了3、4个版本的。
性能有两种可能,一种是吹的,另一种是用了加速设备,下周来那台拆开看看就可以了。(^_^)
skipjack 回复于:2006-04-21 10:22:45
引用:原帖由 cnadl 于 2006-4-21 10:17 发表
sorry,今天到公司发现那台big-ip已经发走了,不过下周还有台过来。so……稍安哈
至于软件,100%是linux的,而且引导用的还是lilo。一台机器上可以装多个系统,刚刚发走这台上面就装了3、4个版本的。
性 ...
应该是后者,以前见过LG的IDS就是这么做的。
louiezhu 回复于:2006-04-21 12:19:09
没有听说过这个名词,今天算学习了一下
看LZ的意思,好像是两个内部vlan间的访问,导致的跨过防火墙两次的情况,是这样吧?
zjzf_2 回复于:2006-04-21 12:36:10
所谓的攻击软件想算准cookies的算法 简直就是做梦啦
因为 我可以动态修改cookies的算法 攻击软件始终是被动的
skipjack 回复于:2006-04-21 13:26:07
引用:原帖由 louiezhu 于 2006-4-21 12:19 发表
没有听说过这个名词,今天算学习了一下
看LZ的意思,好像是两个内部vlan间的访问,导致的跨过防火墙两次的情况,是这样吧?
对,就是这个意思.这个名词很久以前就有了啊.
其实不是vlan环境也可以遇到同样的问题,用vlan我只是把问题简单化一下
skipjack 回复于:2006-04-21 13:56:22
引用:原帖由 zjzf_2 于 2006-4-21 12:36 发表
所谓的攻击软件想算准cookies的算法 简直就是做梦啦
因为 我可以动态修改cookies的算法 攻击软件始终是被动的
对态修改?呵呵....这说明你现在是静态计算?
动态修改cookies的算法,你觉的可行吗?
时间段1: 收到一半syn攻击包,一半syn正常访问包,回复给它们的cookie采用算法A.
时间段2: 收到一半ack攻击包,一半正常ack回复,如果你现在的算法不是A而是B了,这些包好像就都要被丢弃了吧
攻击软件被不被动,要看我了不了解你的思路.如果你用syn cookie算法,但~傻攻击者~只发送syn包,则它们通过的机率就~恒~恒~恒~为零,并且不浪费你丁点内存.这一点在上次公测的时候不是每个人都了解的,所以当时流量再大也是白搭.
通过我正常访问下抓ddos设备返回的syn ack包进行分析,你不得不承认人脑比电脑强很多.虽然人脑的主频只有几十MHZ ;~) 随后就用程序本地穷举就可以了,最终如果想验证自己猜的算法对不对,用ack包随便访问一下ddos厂商主页就行了:) 我认为这比什么CC去找高度匿名HTTP代理强劲多了.
多说一句,高度匿名HTTP代理下,你的那个什么内容过滤关键字段的方法,真是无用啊.;)
zjzf_2 回复于:2006-04-22 03:48:54
小白 怎么会丢弃呢?
只有收到第三次握手的时候需要算cookies
你不是每个数据报都算吧?
先不说别的 总之我的东西没有漏过来的 这个随时可以安排你测试
zjzf_2 回复于:2006-04-22 03:51:40
不是两个vlan 而是两个子网
两个不同的子网需要经过网关 我想你要说的应该是这样
zjzf_2 回复于:2006-04-22 03:57:36
skipjack xiyang说你是愤青 有点像 :)
skipjack 回复于:2006-04-22 09:00:20
引用:原帖由 zjzf_2 于 2006-4-22 03:48 发表
小白 怎么会丢弃呢?
只有收到第三次握手的时候需要算cookies
你不是每个数据报都算吧?
先不说别的 总之我的东西没有漏过来的 这个随时可以安排你测试
我知道第三个握手的时候才需要算cookie,但这个cookie是回复第一个握手包时预先算好的.第三个握手包时只是验算而已.
哈哈...愤青就愤青吧.喜欢成为众失之地的那种感觉.
发这个这贴子后,ddos的广告少了不少.证实了我说的基本上也是事实,承认?
skipjack 回复于:2006-04-22 09:02:29
引用:原帖由 zjzf_2 于 2006-4-22 03:51 发表
不是两个vlan 而是两个子网
两个不同的子网需要经过网关 我想你要说的应该是这样
对,你理解挺快的.只要是桥都会遇到这种问题
zjzf_2 回复于:2006-04-22 09:41:09
哈哈 我现在怎么说skipjack 你都不生气啦
teczm 回复于:2006-04-22 10:11:49
哈哈 不打不相识哦 :m01::m01:
ljily000 回复于:2006-04-22 10:44:56
我在很久以前还不明白F5是什么东西的时候拆过F5的机器(型号没在意,当时对F5没什么概念),2U的机架,主板是intel SAI2 服务器主板(当时对intel的服务器主板比较熟悉,所以一眼就看出来了),双P3 CPU,IDE硬盘,集成1个intel82559网卡,完全的X86架构的东西,软件是Linux的,和Redhat Linux极为相似,还可以到shell里执行ls和shutdown等命令,但是shutdown -p不会自动切断电源(看来内核编译的时候APM支持没做好^_^玩笑);还有个配置界面是什么Edge,记得不太清楚了,只怪当时自己对负载均衡没什么概念,而且对Linux也不熟悉,要不然要好好琢磨了。当时,就知道哎呀这个box里面是intel的主板,前面那个F5的红球真是漂亮.
skipjack 回复于:2006-04-22 11:36:58
引用:原帖由 zjzf_2 于 2006-4-22 09:41 发表
哈哈 我现在怎么说skipjack 你都不生气啦
要不是你驳我intel82559性能的贴子,我也不会在这里揭你设备的短.
咱俩算是扯平吧.
skipjack 回复于:2006-04-22 11:54:54
引用:原帖由 ljily000 于 2006-4-22 10:44 发表
我在很久以前还不明白F5是什么东西的时候拆过F5的机器(型号没在意,当时对F5没什么概念),2U的机架,主板是intel SAI2 服务器主板(当时对intel的服务器主板比较熟悉,所以一眼就看出来了),双P3 CPU,IDE硬盘 ...
F5给我印象最深一次,就是用户那里是5台SUN的高档服务器,前面只有一个F5做负载,每台服务器的压力都很大,但F5工作的很好,所以我当时就一拍脑门子认为他是硬件化的体系.没有机会拆开它,没想到它也是Linux on X86. 感谢各位纠正我的观点.
zjzf_2 回复于:2006-04-22 12:07:44
在f5的官方资料看 他除了使用x86 还用了asic
huawei的ids也用了asic 不要看到linux p3就咬定不如自己的奔腾D
[ 本帖最后由 zjzf_2 于 2006-4-24 13:53 编辑 ]
caong 回复于:2006-04-26 23:27:47
看言语的幽默就要收
cx6445 回复于:2006-04-27 09:24:29
引用:原帖由 skipjack 于 2006-4-22 11:54 发表
F5给我印象最深一次,就是用户那里是5台SUN的高档服务器,前面只有一个F5做负载,每台服务器的压力都很大,但F5工作的很好,所以我当时就一拍脑门子认为他是硬件化的体系.没有机会拆开它,没想到它也是Linux on X86 ...
5台机器一般来说对负载均衡设备没什么压力,当然也要看具体应用,我们这儿的负载均衡后边对应上百台的机器。
skipjack 回复于:2006-04-27 10:26:37
引用:原帖由 cx6445 于 2006-4-27 09:24 发表
5台机器一般来说对负载均衡设备没什么压力,当然也要看具体应用,我们这儿的负载均衡后边对应上百台的机器。
这和具体应用关系密切,这句话说对了。
和身后有多少台服务器确实关系不大。
这只和访问量有关,说的更准确一点:第一是并发率、第二才是流量
你后面是100台ftp集群,和我后面是10台http集群,没准后者对F5的负载压力更强。
cnadl 回复于:2006-04-29 12:05:53
它的机器后面有个标签压着个螺丝,写着
warranty void if broken
so为了避免麻烦,就不上photo了。
这款产品内部大体可以分为两块
用过的大都知道,接口是在front panel上的,打开看到:front panel 紧挨着的是块板,从芯片判断是broadcom model的交换机,在这块板上面没看到什么特殊的asic芯片
rear panel挨着的板应当就是control plane的所在了,这块mother board上面搭载了个ati rage的video adapter,以及两个ps/2接口和两个usb接口,尺寸比较大,看起来像是AT设计(:oops: :oops: :oops:好多年不玩DIY了,只能说是好像)
最大的processor上面的散热器比较牢,没敢用力卸下来,所以不能判断是p2还是p3;旁边有一个hitachi的hd,貌似还不是scsi的;
主板上有一块pci卡,上面芯片的字(基本上这款机器里面所有重要ic都被磨过,包括主板上的南北桥)被磨得很不清楚,无法判断作用。
嗯……要是说还有什么特别的……
前后两部分是通过两根utp-5+的线缆联接起来的,这应该是出乎我意料之外了;当然,我丝毫不怀疑这是GB级别的联接……
以上,现在还没开起来。
zeroflag 回复于:2006-04-29 15:58:38
对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!
Jobs.AE@ 回复于:2006-04-29 18:13:03
引用:原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!
回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。
zeroflag 回复于:2006-04-29 19:56:10
引用:原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表
回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。
第一,作者不是这么解释的,作者的意思是通过冲突检测的方式,不断的回包会增加冲突的几率降低攻击者的发送速率。
第二,所谓syn flood攻击就是没打算建立完整TCP连接的攻击,所以绝大多数这种攻击都是使用的伪造的源IP地址,回复数据包99.99%不可能到达发送数据包的主机,而是根本就不知道转到哪里去了,这样做对攻击者的影响应该是微乎其微,或者说干脆没有影响吧。
我对DOS攻击采用溯源回追基本不感兴趣,不觉得那有什么用。
skipjack 回复于:2006-04-29 20:09:10
引用:原帖由 cnadl 于 2006-4-29 12:05 发表
它的机器后面有个标签压着个螺丝,写着
warranty void if broken
so为了避免麻烦,就不上photo了。
这款产品内部大体可以分为两块
用过的大都知道,接口是在front panel上的,打开看到:front panel ...
都被打磨了呀,还看到什么有用的信息了.
不是有显卡接口吗,接显示器呀,呵呵.....
内存大小也很关键,必竟F5是要记录连接状态的.
不管怎么说先谢谢你.
skipjack 回复于:2006-04-29 21:00:12
引用:原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!
对,这点在铜铀电缆环境下是正确的.在双绞线"全双工模式"下这么说的确不太严谨,
双绞线的上/下行带宽是完全分开的.收对发,发对收.
我上面提的发包器,因为源MAC没有伪造,只是伪造了源IP,所以当我回复syn ack时,攻击者也必须处理收包工作.这样它的CPU负载就加大了,发包就会慢下来.
你可能会说,没有伪造源MAC的攻击包就是~傻~包呀,
但你不要丢记,在单一网关出口时,网关就是这种情况下的发包器,
观点七: 想说明那些被动的等待重传来判断syn包合法性的作法是多么的不可取.与其被堵死,不如搏一下.
[ 本帖最后由 skipjack 于 2006-4-29 21:38 编辑 ]
skipjack 回复于:2006-04-29 21:20:27
引用:原帖由 zeroflag 于 2006-4-29 19:56 发表
第一,作者不是这么解释的,作者的意思是通过冲突检测的方式,不断的回包会增加冲突的几率降低攻击者的发送速率。
第二,所谓syn flood攻击就是没打算建立完整TCP连接的攻击,所以绝大多数这种攻击都是使用的 ...
一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...
syn flood的确没有必要回朔.这必须有攻击路线上的全程路由器支持才行.
有文章说用攻击数据包抽样的方式进行回朔.不同意这种做法
用IDS IPS来检测syn flood攻击就更可笑了.还没反应过来没准就被人家给弄死了.好可怜....
skipjack 回复于:2006-04-29 21:27:30
引用:原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表
回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。
回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...
Jobs.AE@ 回复于:2006-04-29 22:10:40
引用:原帖由 skipjack 于 2006-4-29 21:27 发表
回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...
嗯,对,我的理解有点问题。
学习,呵呵~~
cnadl 回复于:2006-04-30 09:55:06
引用:原帖由 skipjack 于 2006-4-29 21:27 发表
回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...
这个方法相当的不可取,给你自己的网关添麻烦而已。
bz169 回复于:2006-04-30 10:06:36
深入
skipjack 回复于:2006-04-30 10:37:02
引用:原帖由 cnadl 于 2006-4-30 09:55 发表
这个方法相当的不可取,给你自己的网关添麻烦而已。
网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......
cnadl 回复于:2006-04-30 10:52:26
如图,这两根兰线是我BS的最主要原因。
BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。
cnadl 回复于:2006-04-30 10:55:29
引用:原帖由 skipjack 于 2006-4-30 10:37 发表
网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......
那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。
而且,回送地址给哪里呢?isp接口?那些伪造的源地址?
呵呵,再说就是道德问题了。
skipjack 回复于:2006-04-30 11:27:13
引用:原帖由 cnadl 于 2006-4-30 10:55 发表
那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。
而且,回送地址给哪里呢?isp接口?那些伪造的源地址?
呵呵,再说就是道德问题了。
ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他.紧邻我的设备必须收包.所以回送的应该是isp接口.
即使源IP是伪造的,你收到的时候也不能判断出来.所以收到syn包只有三条路可以走:
1)原样转发给身后服务器
2)修改为syn ack包后返回去
3)直接丢包,等下次重传
你感觉那种做法好?我选2.
没有道德的问题在里面,我只是依TCP/IP协议实现回复了syn ack包而己,我没有发乱包,杂包.ISP不会指责我什么.
相反,他会知道我的厉害,没准下次会主动禁堵攻击.
skipjack 回复于:2006-04-30 11:29:38
引用:原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。
BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。
哇~~~啥都没看出来:(
skipjack 回复于:2006-04-30 11:39:36
引用:原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。
BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。
如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...
cnadl 回复于:2006-04-30 12:07:55
引用:原帖由 skipjack 于 2006-4-30 11:27 发表
ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...
接口是很重要的,不能不谈:
情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没有,那你的设备就要有相应的接入点以便能直接接入ISP的网络,so需要接口。
至于发包,你确定么。呵呵,不谈效率。如果源地址是伪造的,你的回送包会发到哪儿去?
skipjack 回复于:2006-04-30 13:18:46
引用:原帖由 cnadl 于 2006-4-30 12:07 发表
接口是很重要的,不能不谈:
情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没 ...
接口不重要,还是那句话,我是桥。也就是说,你会考虑叫一条网线了解上面跑的协议吗?数据包的封装会在网线的某一段前是封装格式A,通过这段网线后就会变成封装格式B?
ddos设备相当于把网线从某种卡断,直接接进去。这比802.1d还802.1d。
是VLAN,以太,pppoe,ppp什么协议都不要紧,因为我收到什么封装包,还要发送什么格式的封装包,不会去破坏原有的封装格式。so我根本就不需要虚接口。
从一个网口收到数据包后,不是转发就是原路返回,在网卡驱动里做这件事,就和网线没什么区别了,至少我是这么理解的,ddos厂商应该也不会有岐意。
就算我发的syn ack会到月球上去,你通过syn包也不可能预知。so必须发。如果你是纯双向千兆设备,死的肯定是ISP,他会比你着急。如果把自己拖垮了,只能说性能还有待提高。
老实说,我怀疑你就是ISP的人:)
cx6445 回复于:2006-04-30 13:39:41
引用:原帖由 skipjack 于 2006-4-30 11:39 发表
如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...
不错,最好能比F5强,F5在我们这儿口碑不是非常好。
zeroflag 回复于:2006-04-30 15:17:37
引用:原帖由 skipjack 于 2006-4-29 21:20 发表
一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...
syn flood的确没有必要回朔.这必须有攻击路线上的全 ...
一般说来抗DDoS设备都接在自己路由器后面,这么搞等于是先搞死自己的路由器还是先抗DDoS设备自己先死的问题了,与其这么费神折腾还不如直接对路由器接口速率做限制,低于抗DDoS设备就行了,何必自家兄弟互相过不去,在这里可不能“攘外必先安内”!
zeroflag 回复于:2006-04-30 15:34:48
引用:原帖由 skipjack 于 2006-4-30 11:27 发表
ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...
1、听起来有点象syn-proxy/syn-cookie的做法。
2、多ISP出口的时候,很有可能出现链路不对称的情况,比如有目的攻击一个同时具有CERNET和电信双出口的学校,我从电信发动攻击,伪造地址范围全部限定在CERNET的地址段,那么你回复的数据包都从另外的CERNET的接口出去了,攻击的数据包还从电信的链路传过来,无论是电信还是cernet的路由器都只发送或者只接收,你的所谓降速的情况就不会出现,反倒是更加为难你的出口路由器了,是它在同时接收并发送,死也是它先死,终究伤到的还是自己人。
我还是认为不能把希望寄托在这个身上。
cnadl 回复于:2006-04-30 15:45:06
引用:原帖由 skipjack 于 2006-4-30 13:18 发表
接口不重要,还是那句话,我是桥。也就是说,你会考虑叫一条网线了解上面跑的协议吗?数据包的封装会在网线的某一段前是封装格式A,通过这段网线后就会变成封装格式B?
ddos设备相当于把网线从某种卡断,直接 ...
兄弟,不是vi,是货真价实的物理接口。
e1
e3
oc-3
oc-12
这些常见端口为什么要路由器,就是因为它们上面跑的不是ethernet。
其他zeroflag说的很明白了。
我始终觉得,你的产品还停留在原形的阶段,需要多看看应用环境,有些事情(比如无限增大出口路由器压力)不应该这么理想化的,用户不会买账。
cnadl 回复于:2006-04-30 15:47:34
btw一下
来到cu以来,被人评论过:
ibm的
hp的
huawei的
topsec的
emc的
ms的
……
现在又多了个isp的
呵呵,不过……为啥就没人说对呢……
skipjack 回复于:2006-04-30 15:54:46
引用:原帖由 zeroflag 于 2006-4-30 15:34 发表
1、听起来有点象syn-proxy/syn-cookie的做法。
2、多ISP出口的时候,很有可能出现链路不对称的情况,比如有目的攻击一个同时具有CERNET和电信双出口的学校,我从电信发动攻击,伪造地址范围全部限定在CERNET的 ...
1.我指的就是syn-proxy/syn-cookie,我认为这两种方法最好。当然也有用源地址状态迁移原理的。就是利用服务器的性能来达到防御,syn flood会暂时以connect flood到服务器上面去。如果是虚假IP,超时后会再发rst拆链,我感觉这种方法很烂,所以没有提及。
2.你说的情况不会出现。从A口进,就一定会从A口出,ddos设备是工作在二层的,它没有路由表。更不会去做路由判断。这也是他快的地方。
skipjack 回复于:2006-04-30 15:56:16
引用:原帖由 cnadl 于 2006-4-30 15:47 发表
btw一下
来到cu以来,被人评论过:
ibm的
hp的
huawei的
topsec的
emc的
ms的
……
现在又多了个isp的
呵呵,不过……为啥就没人说对呢……
这也是好事,说明你不做广告。如果把广告放到签名里,我当然就不会猜错了。
skipjack 回复于:2006-04-30 15:58:20
引用:原帖由 zeroflag 于 2006-4-30 15:17 发表
一般说来抗DDoS设备都接在自己路由器后面,这么搞等于是先搞死自己的路由器还是先抗DDoS设备自己先死的问题了,与其这么费神折腾还不如直接对路由器接口速率做限制,低于抗DDoS设备就行了,何必自家兄弟互相过 ...
客户真的这么接吗?
把自己的路由器放到ddos设备前面,肯定???!!!
www_ftp快出来帮忙说句话:)
skipjack 回复于:2006-04-30 16:11:09
引用:原帖由 cnadl 于 2006-4-30 15:45 发表
兄弟,不是vi,是货真价实的物理接口。
e1
e3
oc-3
oc-12
这些常见端口为什么要路由器,就是因为它们上面跑的不是ethernet。
其他zeroflag说的很明白了。
我始终觉得,你的产品还停留在原形的 ...
兄弟,还没明白....,看看ddos厂商的手册是怎么描述自己产品的接口特性的。
什么接口都不重要,vi ri这点在软件上是透明的。
只要能把包从网线上勾上来,能找到对应的IP头和TCP头的位置就可以处理了。
如果你上面的e1 e3 oc-3 oc-12上收到的包找不到ip tcp头就说明这些结点还不到防御的时机,或者说防御的时机已经错过了。
如果我理解有偏差,就给我图一幅拓扑图吧。
BTW:我怎么都有自己的产品了,我不是做这个的呀?
testab 回复于:2006-04-30 16:14:30
引用:原帖由 skipjack 于 2006-4-30 15:58 发表
客户真的这么接吗?
把自己的路由器放到ddos设备前面,肯定???!!!
www_ftp快出来帮忙说句话:)
http://www.nsfocus.com/homepage/products/collapsar.htm
上面提到的链接是这样设计的..^_^
我先走 你们继续讨论...
[ 本帖最后由 testab 于 2006-4-30 16:15 编辑 ]
skipjack 回复于:2006-04-30 16:20:45
引用:原帖由 testab 于 2006-4-30 16:14 发表
http://www.nsfocus.com/homepage/products/collapsar.htm
上面提到的链接是这样设计的..^_^
我先走 你们继续讨论...
发完广告贴就跑了(楼下)
上面引用的链接描述了三种接法,如下:
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式,放在公司的最出口处。
呵呵...你应该把你们公司的链接放上来。
http://www.sharesec.com/soft/dosnipe-ds.pdf
看看,三种常见拓扑图真相似,谁参考谁的呢?
[ 本帖最后由 skipjack 于 2006-4-30 16:29 编辑 ]
testab 回复于:2006-04-30 16:29:27
引用:原帖由 skipjack 于 2006-4-30 16:20 发表
发完广告贴就跑了(楼下)
上面引用的链接描述了三种接法,如下:
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式,放在公司的最出口处。
呵呵...你应该把 ...
晕,我和nsfocus一点关系没有.只是看见讨论位置的问题 去搜索了一下。
btw:偶对广告没兴趣.
testab 回复于:2006-04-30 16:32:19
引用:原帖由 skipjack 于 2006-4-30 16:20 发表
发完广告贴就跑了(楼下)
上面引用的链接描述了三种接法,如下:
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式,放在公司的最出口处。
呵呵...你应该把你们公司的链接放上来。
http://www.sharesec.com/soft/dosnipe-ds.pdf
ft..我在其它帖子上看到那个人昵称是 sharesec,我只是登陆上去看看。发现他们的东东真的能吹,于是就贴了上去。。。
btw 你想像力够丰富,当时要是能贴边最好 just a joke . have a fun.
skipjack 回复于:2006-04-30 16:34:28
引用:原帖由 testab 于 2006-4-30 16:32 发表
引用:原帖由 skipjack 于 2006-4-30 16:20 发表
发完广告贴就跑了(楼下)
上面引用的链接描述了三种接法,如下:
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才 ...
误杀误杀...不好意思,道谦。:)
testab 回复于:2006-04-30 16:36:45
引用:原帖由 skipjack 于 2006-4-30 16:34 发表
误杀误杀...不好意思,道谦。:)
嘿嘿 . 客气了.关注这个帖子好多天了.有人说 问题本质还是在 syncookie算法上。
skipjack 回复于:2006-04-30 16:38:48
引用:原帖由 testab 于 2006-4-30 16:36 发表
嘿嘿 . 客气了.关注这个帖子好多天了.有人说 问题本质还是在 syncookie算法上。
Yes~
绝对不能叫人猜出来,猜出来必死。
cookie算法就像密吗一样,写出来的cookie算法就不再是好的cookie算法了。
下文介绍了cookie的应用,但随后用的是地址状态迁移法,没有用syn proxy。
http://www.bingdun.com/article_view.asp?id=18
[ 本帖最后由 skipjack 于 2006-4-30 16:45 编辑 ]
zeroflag 回复于:2006-04-30 16:46:56
skipjack:
1、关于接口问题:路由器有很多非以太网接口,这是路由器目前最主要的功用之一,包括ATM/SDH/DDN/帧中继等等,这些接口都是不能直接接在以太网口上,所以路由器必须放在抗DDoS设备前面。如果是以太网接入,则完全可以考虑不要路由器,由防火墙做出口路由。
2、关于多ISP出口问题,这是非常常见的,一台路由器接两个ISP的出口,抗DDoS设备如果部署在路由器后面就会出现我上面说的问题。
3、不要只考虑抗DDoS设备自身怎样怎样,要从全网的角度考虑,保护住了服务器,但把出口路由器打死了,客户一样会发飙的。
4、Syn-proxy/Syn-cookie技术是解决syn flood攻击的主要技术是勿庸置疑的,但是也未必能适应任何环境,某些环境下可能简单的缩短超时等待时间会受到更好的效果,一个方法烂不烂还是要通过实际数据来证明。
testab 回复于:2006-04-30 16:55:50
有的时候 DDOS攻击往往将交换机或者路由器先搞挂了.
无论那个死掉都会有人发飙的.
多ISP 我最常见是在学校中 .
skipjack 回复于:2006-04-30 16:58:17
引用:原帖由 cnadl 于 2006-4-30 15:45 发表
兄弟,不是vi,是货真价实的物理接口。
e1
e3
oc-3
oc-12
这些常见端口为什么要路由器,就是因为它们上面跑的不是ethernet。
其他zeroflag说的很明白了。
我始终觉得,你的产品还停留在原形的 ...
我想了想,又琢磨了琢磨
好像找到咱俩分岐的地方了,你认为syn proxy/syn cookie可以在网络中的任一点实现。其实不是这样的。在骨干路由器上是做不到的,因为对它来说,分不出要保护谁,也分不清那里是内网,那里是外网、最要命的是不去理会TCP首部中的信息。
所以syn proxy/syn cookie只适用于企业、网站这些ether_type接入的终端结点上。
不知,我这回分析的对不对。
skipjack 回复于:2006-04-30 17:16:10
就凭你打了这么多字,也要提前先道声“谢”
1、关于接口问题:路由器有很多非以太网接口,这是路由器目前最主要的功用之一,包括ATM/SDH/DDN/帧中继等等,这些接口都是不能直接接在以太网口上,所以路由器必须放在抗DDoS设备前面。如果是以太网接入,则完全可以考虑不要路由器,由防火墙做出口路由。
答:如果是这样,的确不能蛮干了。但如果ISP下来的是以太网接入,并且路由器不是我财产的一部分,我保留我这么做的权利。其实很多厂商不这么做,是因为硬件性能不行了。如果性能强劲的话,他们真不一定比我手软。
2、关于多ISP出口问题,这是非常常见的,一台路由器接两个ISP的出口,抗DDoS设备如果部署在路由器后面就会出现我上面说的问题。
答:两个ISP,如果匀是以太网接入,ddos设备上可以起两组桥。分别跨在两个ISP出口处,这是可以的。只要在链路上我看得到TCP首部信息就可以。
3、不要只考虑抗DDoS设备自身怎样怎样,要从全网的角度考虑,保护住了服务器,但把出口路由器打死了,客户一样会发飙的。
答:如果把ISP打死了,我相信他们会为我喝彩的。关键是攻击包把我的上行带宽堵死后,我闲着也是闲着,用空闲的下行带宽做一次尝试,也无可厚非啊。
4、Syn-proxy/Syn-cookie技术是解决syn flood攻击的主要技术是勿庸置疑的,但是也未必能适应任何环境,某些环境下可能简单的缩短超时等待时间会受到更好的效果,一个方法烂不烂还是要通过实际数据来证明。
答:如果采用缩短超时时间的做法,我还是会倾向于syn重传。因为大量的定时器在短期内超时不是什么好主意。当然我不怀疑你说的,能解决问题的方法就是好方法的判断。
大大狗 回复于:2006-05-13 13:08:59
好东东,值得收藏,谢过楼主.
kris_1882 回复于:2006-05-19 15:04:25
虽说还有很多不太懂,还是先收了~~
yjd333 回复于:2006-05-19 22:58:34
又是经典的文章。.这里都是又水平的人强。
zjzf_2 回复于:2006-05-20 09:52:09
回我讯息skipjack
skipjack 回复于:2006-05-20 11:55:27
引用:原帖由 zjzf_2 于 2006-5-20 09:52 发表
回我讯息skipjack
我回了,你的用户组可能收不到短信吧.并且当天晚上我新开了一贴回复,以为你看到了,随后就删除了.
>>ixp425交叉编译环境我配置好了
>>但是编译出来的2.6内核 zImage不能引导ixp425
开发包里只有2.4.18内核,你的这个2.6内核是那里来的,如果是从网上下载的,因为没有425的板级支持,当然启动不了了.如果随便下个2.6内核就能用.那MontaVista公司就可以关门歇业了.
>>对了ixp425 系统检查出IXP0 IXP1两个 网络接口
>>我是不是当普通网络接口用就行了 ?
yes,这两个网口就是固化了微码的低端NP处理器,你只能把它们当成普通接口使用.两口之间吐吞量比82559略强.我不知道你想用它做什么产品,但如果做桌面级的抗ddos产品,425决对不是首选.等你产品化后,性能会叫你大跌眼镜.
研华的FWA-60A比较不错.你可以参考.说实话大陆没有这款机器,
http://www.advantech.com/products/Model_Detail.asp?model_id=1-1TH1BC
>>我已经决定开始研究linux了
放弃BSD了?安氏之所以在性能方面占优势,很大一部分取决于采用了BSD.
>>我简单的看了下 我准备在 netif_receive_skb 这个位置接收 用dev_queue_xmit 发送
>>小弟我对linux不是很熟 我选的位置怎么样 希望兄弟给些建
这两个函数应该是除网卡驱动外,最底层的地方了.在这里实现防火墙功能,所有的二层都要自己处理.
呵呵....数据包分片,关键信息重组,在这两个函数中处理会麻烦一些.
>>还有就是如果用netfilter性能怎么样?
给你一个链接自己看吧.这个老外做的测试很详细.照文档所说可以做到700,000pps.大概500M吧.作者把请求数*10得出的pps结论,误差应该是存在的.在规则匹配时netfilter实在是没有任何优势.
http://people.netfilter.org/kadlec/nftest.pdf
>>老兄跟你这么熟了告诉我你是哪个公司的喽
呵呵....
[ 本帖最后由 skipjack 于 2006-5-20 12:01 编辑 ]
netwatch 回复于:2006-05-24 10:34:15
很好
zjzf_2 回复于:2006-05-24 12:47:08
linux本身支持了arm呀 只不过没有实时的而已了 我用了Crosstool可以成功搭建了交叉编译环境 配置内核的时候 "ake menuconfig ARCH=arm"
编译IXP425的kernel 但是不能用 可能是哪里做错了吧
[ 本帖最后由 zjzf_2 于 2006-5-24 12:48 编辑 ]
ganx 回复于:2006-05-24 17:49:42
看了这么久的帖子,忍不住要冒各泡了。
楼主还是辛苦了。
不过感觉楼主对anti-ddos的了解可能不够全面,谈到的都是串接入网络的部署方式,这种方式本身就存在较大的局限性,可能成为网络性能瓶颈,成为网络故障点。在大型网络中这种接入方式在部署的时候必然导致网络中断(当然也有办法不断网,不过比较麻烦)。
国内的这些防dos的厂商基本都是串接入网络的部署方式,包括国外也大多如此,仅有两家支持旁路的部署方式绿盟和cisco。
有时间俺再写点关于这方面具体技术上的东东吧,呵呵东西太多了,俺也太懒了:)
skipjack 回复于:2006-05-24 20:47:16
引用:原帖由 ganx 于 2006-5-24 17:49 发表
看了这么久的帖子,忍不住要冒各泡了。
楼主还是辛苦了。
不过感觉楼主对anti-ddos的了解可能不够全面,谈到的都是串接入网络的部署方式,这种方式本身就存在较大的局限性,可能成为网络性能瓶颈,成为网络故 ...
串联在连接前进行检查,并联在连接后进行检查.
串联化syn flood为ping flood,并联化syn flood为conntect flood.
希望你能抽出时间写出来.
此链接是以前讨论的结果
http://bbs.chinaunix.net/viewthread.php?tid=750983&highlight=%C5%D4%C2%B7
真心期待ing...你的分析
[ 本帖最后由 skipjack 于 2006-5-25 01:38 编辑 ]
skipjack 回复于:2006-05-25 01:26:45
很奇怪,不知为什么你发在<<问绿盟黑洞>>一文中的贴子,只能在文本界面下才能看到,在WEB方式下却看不到.索性我贴过来分析一下.
引用:原帖由 ganx 于 2006-5-24 17:49 发表
ganx 2006-5-24 09:29
先丢楼上的砖头 。
黑洞的防御性能不输国外产品,特别是其np架构的2000,已经支持防御1G线速攻击。
此外类似与toppoint和redware是ips,只能串接与网络中,接入的局限性较大,容易成为网络性能瓶颈和故障点。
目前有一种旁路接入方式,不需要串接入网络中,利用路由来迁移攻击流量,世界上支持该技术的只有绿盟和cisco 的guard
呵呵,顺便带一下guard的介绍,guard也不错,本人用过,性能也是防御1G线速攻击。可以选择外接设备,也可以选择插到6500或7200的模块板子。
具体的防御的原理俺就懒得细说了,呵呵太多了。
NP是2.5G产品,支持防御1G线速"流量"攻击,理所应当的不是问题.NP不是样样都好,举个例子,仅过滤URL字符串,这一简单功能就可以把NP性能从云端踹向地犾(搭配了TCAM芯片的NP除外).用NP做产品,你可以问问国内防火墙老大***什么是伤心.
不要认为吐吞量是测评中心的人用smb和IXIA跑一下UDP ECHO 7的脚本就完事了.实际应用中,谁会用到UDP 7?统治Internet的是TCP协议,而衡量TCP协议最重要的两点就是连接状态与动态协议分析.连接状态也不是通过分析IP TCP首部就能一下子看明白的.ICMP包很多都是附在TCP连接上的.分析它们才是难点.动态协议也不是靠通读RFC文档就可以解决问题的,MSN协议在7.0以后就不公开了,用的根本就不是标准的SIP协议.防火墙支持的难度很大.这些东西在NP的微码上实现是根本不可能嘀.
综上,NP也就只能做到ddos设备这一级.再高层的应用就要和通用CPU联系,一联系一同步性能就完蛋了.
IPS和ddos产品的性能没有可比性.相同X86硬件ddos产品的性能是IPS/FIREWALL的三倍,做不到这个程度,ddos厂商都不好意思和人家打招乎.
国内防火墙厂商在双至强X86平台下,启动NAT功能与状态跟踪模块,小包流量不可能超过400M(类似零拷贝之类的技术用在IDS,ddos设备上是可以的,但用在防火墙上连门都没有.IDS几个网口?防火墙几个网口?).如果只做包转发,随便拿个82540网卡配个赛扬2.0轻松就可达到小包300M流量.
吞吐量性能绝对是国外硬件一统天下,所以说guard防1G流量,如果不分析出原理,意思不大.公开原理后,如果能防1G经过精心构造的数据包,那才叫牛(syn flood是TCP协议先天缺陷,ddos设备只是减化威害程度,如果绕过其防御原理,我看到的肯定还是协议缺陷,威害可以再次被放大回来).
引用:
ganx 2006-5-24 09:34
再拍一砖
再拍一砖
juniper的netscreen 防御ddos攻击的性能很差,俺做过试验,60m syn flood可以搞定 ISG 2000 .
不过已经有了改进,据说新的netcreen os version 5.3 或更新的版本做了优化,syn flood防御交给asic去做了,性能提高了不少,大概能抗20万pps的攻击,不过俺没时间测试。
呵呵...20万pps才150M流量.比60M也没高到那去.如果是60M, 82559网卡就可以胜任
我所知道的国内厂商瓶颈大都在500M硬流量,而国内ddos攻击流量的记录却是700M(国外是370G),所以蛮力打击,也是很有效的.
题外话,如果大家感兴趣,可以去测试一下新浪网,他所采用的ddos设备是我目前探测到的最好设备.(但我不清楚它的具体品牌,我知道CU里有见多识广的能人,谁知道也可以告诉我一声).
探测是以学术为目的的,不会对对方网络造成丁点伤害.探测过程中发包速度从1pps到1000pps不等,并且建立的连接会在1秒钟内被迅速撤除.希望大家不要误解.
[ 本帖最后由 skipjack 于 2006-5-25 01:47 编辑 ]
skipjack 回复于:2006-05-25 01:35:21
引用:原帖由 zjzf_2 于 2006-5-24 12:47 发表
linux本身支持了arm呀 只不过没有实时的而已了 我用了Crosstool可以成功搭建了交叉编译环境 配置内核的时候 "ake menuconfig ARCH=arm"
编译IXP425的kernel 但是不能用 可能是哪里做错了吧
linux支持arm不一定支持425啊?make menuconfig时菜单里应该有一项IXP 425 based ARM,才能说明存在425的板级支持.
开发包中的内核编译后无法启动,应该是你配置的问题了.
redblood 回复于:2006-07-07 20:48:35
受益,感谢楼主写这么好的文章与我们分享,谢谢。 : )
JohnBull 回复于:2006-07-13 21:03:48
显然,面对没有IP的隐形设备,楼主一脸酸溜溜的. :D
dalcon 回复于:2006-07-26 18:22:08
楼上有测试过NORTEL ALTEON防各种DOS攻击的能力么?
这个设备负载均衡非常的优秀,硬件支持4~7层各种应用,文档上描叙支持200W并发,不过我自己实际测试,挂在城域网出口做负载均衡和流量控制只能支持到1.2~1.3GBPS.但是如果只启用4层的负载均衡和防DOS攻击,可以撑到4G进出.
如果有高手能帮助测试请联系我,我提供设备地址和其他资料.
BTW:移动和N多网站使用这个设备做负载均衡,韩国全网使用这个设备做病毒和DOS防御.
skipjack 回复于:2006-07-27 00:45:45
引用:原帖由 dalcon 于 2006-7-26 18:22 发表
楼上有测试过NORTEL ALTEON防各种DOS攻击的能力么?
这个设备负载均衡非常的优秀,硬件支持4~7层各种应用,文档上描叙支持200W并发,不过我自己实际测试,挂在城域网出口做负载均衡和流量控制只能支持到1.2~1.3GBPS.但 ...
好像挺强悍的样子.这种设备我想不太适合做防护而更适合做攻击机:)
城域网和骨干网中的路由设备,只要能屏蔽伪源IP数据包,我想比什么进出N个G的流量在防DDoS上更加有效.
防御DDoS也需要技巧!并不是大家所认为的吐吞量只有300M的设备就一定比不上千兆线速设备的防御效果.
skipjack 回复于:2006-07-27 01:06:28
引用:原帖由 JohnBull 于 2006-7-13 21:03 发表
显然,面对没有IP的隐形设备,楼主一脸酸溜溜的. :D
哈哈...我就当它们是一个HUB了.
虽然没有IP,但这种设备是很容易被扫描出来的.
要说酸溜溜的感觉嘛~,也有,但不能告诉你
teczm 回复于:2006-07-27 10:49:17
引用:原帖由 skipjack 于 2006-7-27 01:06 发表
哈哈...我就当它们是一个HUB了.
虽然没有IP,但这种设备是很容易被扫描出来的.
要说酸溜溜的感觉嘛~,也有,但不能告诉你
没有IP 怎么扫描出来呢?
benbenxun 回复于:2006-07-29 12:05:47
一个字“强”
skipjack 回复于:2006-07-29 17:51:35
引用:原帖由 teczm 于 2006-7-27 10:49 发表
没有IP 怎么扫描出来呢?
扫被保护的服务器IP地址,返回数据包是ddos设备返回的.
tramp6 回复于:2006-07-31 16:15:03
受益了,长见识了.~~~
hackerabc 回复于:2006-08-01 14:54:13
麻烦楼主看下TYLM的抗DDOS攻击产品!那确实是透明接入```采用网桥模式.
skipjack 回复于:2006-08-01 17:38:37
引用:原帖由 hackerabc 于 2006-8-1 14:54 发表
麻烦楼主看下TYLM的抗DDOS攻击产品!那确实是透明接入```采用网桥模式.
DDoS产品大部分都是网桥模式,这一点我在文章中指出了。你想表达什么意思?
芳芳郁金香 回复于:2006-09-04 12:29:50
up
iskilo 回复于:2006-09-25 17:09:21
这篇文章很精彩,如果有8000字的全文就更棒了.
chinamx 回复于:2006-10-10 17:32:15
看了这篇文章,忍不住鼓掌!再次鼓掌一下,受益非浅啊,虽然我还不能完全读懂.
zeroflag 回复于:2006-10-12 00:23:28
引用:原帖由 skipjack 于 2006-8-1 17:38 发表
DDoS产品大部分都是网桥模式,这一点我在文章中指出了。你想表达什么意思?
别理它,那臭厮把那个GP东西以不可思议的价格卖给了不可思议的客户,他在那沾沾自喜呢!
所谓透明接入,就是什么作用都没有的接入,全透明,根本不存在。在syn flood发起的时候,它依然透明。
[ 本帖最后由 zeroflag 于 2006-10-12 00:25 编辑 ]
zeroflag 回复于:2006-10-12 00:35:45
引用:原帖由 skipjack 于 2006-5-24 20:47 发表
串联在连接前进行检查,并联在连接后进行检查.
串联化syn flood为ping flood,并联化syn flood为conntect flood.
希望你能抽出时间写出来.
此链接是以前讨论的结果
http://bbs.chinaunix.net/viewthre ...
简单的说,黑洞和guard用的旁路监听+流量牵引的方式,平时工作在旁路状态,当发现攻击流量的时候,使用BGP协议,将它认为是攻击的那部分流量牵引到自己设备上来,进行防护。其余流量还是从正常路径转发。由此兼顾性能。
这个方案确实比较有特点,但是显然对周边设备也有比较高的要求,只适用于高端用户。并且也不是尽善尽美,在某电信测试中,guard方案在参测三家中得分最低。
回头找点更详细的资料贴上来。
platinum 回复于:2006-10-12 08:10:15
我一个朋友告诉我,每次被攻击的时候,黑洞的反映时间要 30 分钟左右才可防御,且还会误杀很多 IP
skipjack 回复于:2006-10-12 11:48:10
这可能是因为一类”看门狗“或是”定时统计“的功能,不能即时反映出网络流量变化所导致的延时(但30分钟肯定是你的手误,30秒还差不多)。必竟内核HZ为1000或是更小.
误杀很多IP,这可能是采用了所谓的二、八原则。也可能是因为防御前后对连接的检查方式不同造成的。但黑洞最大的弱点不在这里,而是他1秒变10次的随机数种子,也就是说你的TCP连接在100ms内如果不能完成握手,就过期无效.表现出来的现象就是误杀很多IP,如果你细心观查它们都有一个共同点,就是因为握手慢而被拒.
[ 本帖最后由 skipjack 于 2006-10-12 12:01 编辑 ]
skipjack 回复于:2006-10-12 12:00:53
引用:原帖由 zeroflag 于 2006-10-12 00:35 发表
简单的说,黑洞和guard用的旁路监听+流量牵引的方式,平时工作在旁路状态,当发现攻击流量的时候,使用BGP协议,将它认为是攻击的那部分流量牵引到自己设备上来,进行防护。其余流量还是从正常路径转发。由此 ...
谢了,上次看了zjzf_1的旁路模式说明,也知道是用这个原理了.
存在的问题应该是在切换时,已有的连接会断掉,是吧?:)
从你的发言上来看,你的客户都是大客户啊.
www_ftp 回复于:2006-10-12 12:09:59
引用:原帖由 skipjack 于 2006-10-12 11:48 发表
这可能是因为一类”看门狗“或是”定时统计“的功能,不能即时反映出网络流量变化所导致的延时(但30分钟肯定是你的手误,30秒还差不多)。必竟内核HZ为1000或是更小.
误杀很多IP,这可能是采用了所谓的二、八原 ...
我没有见过黑洞实际的机群,从安装结构图上看猜测如下问题:
1.处理攻击的墙都需要IP(走路由),除了占用IP外,更多的是增加网络的复杂性,改变原有的结构.
2.调度器与前置交换机之间有大量的数据交换,占用此交换机的资源(路由板上cpu).
3.使主交换机上临时墙上大量的路由规则,通到此规则分配流量.
4.增加新建连接的延迟.第一个syn到调度器,调度器向前置交换机发出规则指令,第二个syn正常建立连接.
以上只是猜测,不知有了解这方面的情况的吧.skipjack兄看样子有机会接触了.
清水飘萍 回复于:2006-10-12 14:28:24
好文收藏
清水飘萍 回复于:2006-10-12 14:34:17
引用:原帖由 zeroflag 于 2006-10-12 00:23 发表
别理它,那臭厮把那个GP东西以不可思议的价格卖给了不可思议的客户,他在那沾沾自喜呢!
所谓透明接入,就是什么作用都没有的接入,全透明,根本不存在。在syn flood发起的时候,它依然透明。
目前所谓的透明都是通过桥接的方式,zeroflag兄弟所说的全透明,现实存在吗?
mavsguy 回复于:2006-10-13 12:08:53
现在有没有攻击手段可以做到使用伪造的ip和被攻击的服务器完成三次握手的过程
zeroflag 回复于:2006-10-14 12:17:45
引用:原帖由 清水飘萍 于 2006-10-12 14:34 发表
目前所谓的透明都是通过桥接的方式,zeroflag兄弟所说的全透明,现实存在吗?
有哇,不接入网络或者假接入网络不就是全透明嘛!
技术上X86透明当然是桥接了,商务上透明的方式就多了。
当然透明这个词其实本来也不太规范。其实交换机就是一种特殊的网桥,从这个角度说,除了HUB以外,包括交换机路由器,所有的设备的以太网连接方式都是桥接。
zeroflag 回复于:2006-10-14 12:20:34
引用:原帖由 skipjack 于 2006-10-12 12:00 发表
谢了,上次看了zjzf_1的旁路模式说明,也知道是用这个原理了.
存在的问题应该是在切换时,已有的连接会断掉,是吧?:)
从你的发言上来看,你的客户都是大客户啊.
呵呵,还行吧。我现在的工作是负责大项目支持没错。老板下指标,要求我明年每个月至少支持成功一个300万以上的项目,晕死了!估计快被开除了,呵呵!
colddawn 回复于:2006-10-15 12:01:31
关于旁路引流原理,相信已经不是什么难题了。
我现在管理的网络,就是用一台机器挂在核心交换机的流量镜像端口上,利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西,将超过我规定值的ip作日志,这些个ip基本上100%就是被攻击的ip了。然后通过BGP将这些个IP直接路由到blackhole去,BGP路由20S发布一次,避免某些ip因为大流量攻击影响整个网络。
如果能有可用防火墙的话,稍微修改一下,将IP路由到防火墙,那网络就完美了,再进一步加上选路机制,就能做到防火墙集群。说白了,就这么简单的技术。
zeroflag 回复于:2006-10-17 00:02:23
引用:原帖由 colddawn 于 2006-10-15 12:01 发表
关于旁路引流原理,相信已经不是什么难题了。
我现在管理的网络,就是用一台机器挂在核心交换机的流量镜像端口上,利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西,将超过我规定值的ip作日志,这些 ...
说旁路引流的方案有问题,就在使用BGP这个协议上。在比较大型的网络上,谁会让你用BGP来回的切换,这可能会引起路由震荡的。尤其时在电信的网络中。而且BGP协议使用的是TCP协议,本身就是可以被Syn Flood的。如果别人发现你这么搞,攻击你前面的路由器,怎么办?
colddawn 回复于:2006-10-17 16:16:32
引用:原帖由 zeroflag 于 2006-10-17 00:02 发表
说旁路引流的方案有问题,就在使用BGP这个协议上。在比较大型的网络上,谁会让你用BGP来回的切换,这可能会引起路由震荡的。尤其时在电信的网络中。而且BGP协议使用的是TCP协议,本身就是可以被Syn Flood的。 ...
1,您是否知道BGP是现在最通用的域间路由协议?基本上目前的骨干网都是在运行BGP。
2,如果说要攻击BGP本身的话,为什么我不可以在网内通过私有地址假设BGP通讯呢,虽然BGP可以用在广域传输,但没有规定必须用于广域传输吧。
skipjack 回复于:2006-10-17 22:59:35
引用:原帖由 colddawn 于 2006-10-15 12:01 发表
利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西,将超过我规定值的ip作日志
足够随机的源IP,你这个判断条件无效吧
colddawn 回复于:2006-10-19 10:17:34
引用:原帖由 skipjack 于 2006-10-17 22:59 发表
足够随机的源IP,你这个判断条件无效吧
因为我已经假定所有攻击源IP都是伪装的,所以源IP不作为判别条件,判别条件仅仅是流入目标IP的流量值。
我是封锁目标IP,因为我的网络接入是Gbps,然而最终每台服务器却是用100Mbps的网络环境,所以一旦某台服务器被攻击流量达到101M,死得不只是这台服务器,还包括此服务器同一个100Mbps交换机下的其他服务器,为了保护其他服务器,我只能将这个流量从上层截断,当然此时如果有防火墙过滤攻击流量,则所有机器都可以保全,然而我买不起防火墙:D,所以自己搞出这么个东西用避让策略牺牲一台保全大家。
另外你可能说用大流量攻击我的IP段里面所有机器或者是随机的机器,但这样本身就会让攻击流量分散,你攻我2台我大不了封2台,你攻我10台......你能发起1000Mbps的攻击流量?那我认栽了。
对于DDOS,我只能说在国内是由于网络管理员管理不善造成攻击者非常容易发起大流量攻击,并促使形成了一个专门玩攻击的利益集团,同时催生了anti DDOS这个产业,这所有的一切,都不是该发生的,然而在电信和网通的英明领导下确实产生了这种产业链。我所能做的:1-从技术上尽量避免损失,2-大声谴责攻击者,3-BS电信网通这些骨干运营商的不作为,4-对所有anti-DDOS厂商吐口水,不要以为你们是正义的,早晚有一天有人会看清你们的丑恶嘴脸,我宁死不给你们一分钱:shock:
zeroflag 回复于:2006-10-29 19:29:16
引用:原帖由 colddawn 于 2006-10-17 16:16 发表
1,您是否知道BGP是现在最通用的域间路由协议?基本上目前的骨干网都是在运行BGP。
2,如果说要攻击BGP本身的话,为什么我不可以在网内通过私有地址假设BGP通讯呢,虽然BGP可以用在广域传输,但没有规定必 ...
1、我当然知道BGP是现在最通用的域间路由协议,所以在骨干网上才不能随便用BGP切换。切换不当就会引起路由振荡。
2、你用私有地址假设BGP通讯当然没有问题,但是骨干路由器一般也都会过滤掉私网路由,路由协议我不擅长,不知道这个问题在BGP上会怎么处理。
至于DDOS的起源,不是管理不当,而是TCP协议本身具有安全漏洞,如果要怨,找美国人去吧,谁让他们发明了这么一个漏洞百出的协议,还全世界推广。
小飞鸟 回复于:2006-10-30 15:12:59
顶一下,呵呵~!
hhx1919 回复于:2006-12-27 12:13:31
我们公司专业研发抗DDOS攻击产品,技术领先,新产品采用可编程的芯片级的,千兆可以达到4G-6G的流量,感兴趣可以给我发邮件[email]hhx1919@126.com[/email]或者到我们网站上看一下www.sunsinfo.net
sisi8408 回复于:2006-12-27 14:09:50
引用:原帖由 zeroflag 于 2006-10-12 00:23 发表
别理它,那臭厮把那个GP东西以不可思议的价格卖给了不可思议的客户,他在那沾沾自喜呢!
所谓透明接入,就是什么作用都没有的接入,全透明,根本不存在。在syn flood发起的时候,它依然透明。
俺想把你当网友,可是你说话的方式不配,
讨论欢迎,:em11:
jinxingvenus 回复于:2006-12-27 19:56:24
看了这篇,觉得自己肤浅:)
割鹿刀 回复于:2006-12-27 20:36:17
引用:原帖由 hhx1919 于 2006-12-27 12:13 发表
我们公司专业研发抗DDOS攻击产品,技术领先,新产品采用可编程的芯片级的,千兆可以达到4G-6G的流量,感兴趣可以给我发邮件[email]hhx1919@126.com[/email]或者到我们网站上看一下www.sunsinfo.net
说一下什么公司的产品:wink:
|
