对国内ddos厂商技术点评

www_ftp

原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线，前面也不一定是防火墙，但我对防火墙熟悉，所以就用它了，如果你感觉防火墙会在ddos时死掉，你可以把它替换成有NAT功能的路由器

蓝色线是外网对服务器的访问路线，syn包一次穿越
红线是内网对服 ...

对于是否保护一台服务器，你可以指定的，如果不想保护，加于不保护队列服务器列表中就是了。
如果想拒绝一个IP对服务器的访问，加于黑名单就行了。
这些实现都是hash+静态连表做的，效率大可放心。

www_ftp

原帖由 skipjack 于 2006-4-9 02:36 发表
倒～千兆平台＋千兆网卡，14W这是当然的了。你说的人家防7W的产品用的是百兆芯片吧。

没办法，这就是100M产品呀，只是配置高些。

www_ftp

原帖由 skipjack 于 2006-4-9 11:06 发表


所以懂行的人,根本不会去买什么千兆ddos设备
百兆设备用千兆平台,性价比很高滴,哈哈......不知我说的对不对.
:em11:

因为1000M与100M平台在硬件上价钱差别不是很大,一般都用1000M代替100M平台.当然100M产品可能在软件上做了限制,使其不能用在1000M上,如限了syn每秒的处理包数,多了就丢掉或限速.

www_ftp

原帖由 skipjack 于 2006-4-9 13:07 发表


喜欢老实人,这是一般厂商的策略
经手过一个设备,我已经判断出它的百兆设备是82540了,但测试仪和它协商就是不能正确协商出千兆全双工.哈哈...如果能协商出来,我肯定第一个买下来.

去掉强制100M,不过不建议对厂商的设备进行改造,可能带来可怕的后果.加密是多种多样的,不一定能完成清除.

www_ftp

原帖由 skipjack 于 2006-10-12 11:48 发表
这可能是因为一类”看门狗“或是”定时统计“的功能，不能即时反映出网络流量变化所导致的延时(但30分钟肯定是你的手误,30秒还差不多)。必竟内核HZ为1000或是更小.

误杀很多ＩＰ，这可能是采用了所谓的二、八原 ...

我没有见过黑洞实际的机群，从安装结构图上看猜测如下问题：

1.处理攻击的墙都需要IP（走路由），除了占用IP外，更多的是增加网络的复杂性，改变原有的结构．
2.调度器与前置交换机之间有大量的数据交换，占用此交换机的资源（路由板上cpu）．
3.使主交换机上临时墙上大量的路由规则，通到此规则分配流量．
4.增加新建连接的延迟．第一个syn到调度器，调度器向前置交换机发出规则指令，第二个syn正常建立连接．

以上只是猜测，不知有了解这方面的情况的吧．skipjack兄看样子有机会接触了．