免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: shenbo7

关于 SYN防火墙的 一点疑问 [复制链接]

论坛徽章:
0
发表于 2009-08-17 13:37 |显示全部楼层
网络安全里有一精华帖关于看DDOS防火墙,LZ你仔细去琢磨琢磨

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2009-08-17 16:10 |显示全部楼层
对啊,我1楼的帖子就说,现在流行的,就是在FW上使用SYN Cookie 和6次握手方式;\r\n\r\n你看看你的那个握手流程咋画的,再看看7楼的那个咋画的。  差别到底有多大。

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2009-08-17 16:38 |显示全部楼层
哦。的确够新颖的。\r\n\r\n结论就是不行。

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2009-08-17 16:54 |显示全部楼层
你找到你的那个文章帖上来看看吧。

论坛徽章:
0
发表于 2009-08-18 09:39 |显示全部楼层
你比较一下,你的方法和目前主流的方法\r\n你的图列 只要对方发送SYN包过来 服务器就会完成全连接  消耗了内存 消耗了并发连接数和最大连接数\r\n7楼那图 你看看发SYN包过来,FW直接proxy+cookies  就回包了,防火墙一点内存没有消耗和连接数\r\n\r\n同时 操作系统能够支持的并发连接是有限制的,我一秒1W个SYN包(5Mb流量) 服务器就建立了1W个并发连接\r\n服务器能够抗住流量,并发连接却控制不了,每个连接从建立到消除都是需要时间的,我不停的发送SYN包\r\n你就不停的建立全连接,请问能建多少! \r\n防火墙在里面又有何用!\n\n[ 本帖最后由 带脚镣跳舞 于 2009-8-18 12:00 编辑 ]

论坛徽章:
0
发表于 2009-08-18 10:14 |显示全部楼层
翻了半个小时,没找到,但我记得大概内容;\r\n\r\n1. 建立一个连接状态表,存储双方连接的基本信息(包括双方的TCP序列号等)\r\n2. 所有的新建连接进入一个队列(方便在压力重时,按随机算法,抛弃SYN包),根据客户端的SYN包新建一条记录\r\n3. 根据服务器的SYN/ACK包,完善这条记录,并依据双方的序列号和确认号,伪造一个ACK包给服务端;(这个包很好伪造的;具体请看http://www.ciscohuawei.com/viewthread.php?tid=14825)括号内,是我自己添加的;\r\n4. 根据这条连接的双方数据包,更新状态表中的信息,包括序列号、累计流量、时间戳等,方便以后伪造包中止这条连接,释放服务器端资源;\r\n5. 根据连接状态表中的客户端信息,用一定的算法(具体什么算法,没有说),找出异常连接,中止它;\r\n\r\n用词可能不同,但大概的意思,就是这样;

论坛徽章:
0
发表于 2009-08-18 10:37 |显示全部楼层
不过,这种方法,不用算顺序号差值,呵呵、、

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
发表于 2009-08-18 18:27 |显示全部楼层
根据你所记忆的这个大概。\r\n\r\n这个问题就没法讨论了。这个东西差一点都是不行的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP