对国内ddos厂商技术点评

skipjack

原帖由 cnadl 于 2006-4-21 10:17 发表


sorry，今天到公司发现那台big-ip已经发走了，不过下周还有台过来。so……稍安哈

至于软件，100%是linux的，而且引导用的还是lilo。一台机器上可以装多个系统，刚刚发走这台上面就装了3、4个版本的。

性 ...

应该是后者，以前见过LG的IDS就是这么做的。

louiezhu

没有听说过这个名词，今天算学习了一下
看LZ的意思，好像是两个内部vlan间的访问，导致的跨过防火墙两次的情况，是这样吧？

zjzf_2

所谓的攻击软件想算准cookies的算法  简直就是做梦啦

因为  我可以动态修改cookies的算法   攻击软件始终是被动的

skipjack

原帖由 louiezhu 于 2006-4-21 12:19 发表
没有听说过这个名词，今天算学习了一下
看LZ的意思，好像是两个内部vlan间的访问，导致的跨过防火墙两次的情况，是这样吧？

对,就是这个意思.这个名词很久以前就有了啊.
其实不是vlan环境也可以遇到同样的问题,用vlan我只是把问题简单化一下

skipjack

原帖由 zjzf_2 于 2006-4-21 12:36 发表
所谓的攻击软件想算准cookies的算法  简直就是做梦啦

因为  我可以动态修改cookies的算法   攻击软件始终是被动的

对态修改?呵呵....这说明你现在是静态计算?

动态修改cookies的算法,你觉的可行吗?

时间段1: 收到一半syn攻击包,一半syn正常访问包,回复给它们的cookie采用算法A.
时间段2: 收到一半ack攻击包,一半正常ack回复,如果你现在的算法不是A而是B了,这些包好像就都要被丢弃了吧

攻击软件被不被动,要看我了不了解你的思路.如果你用syn cookie算法,但~傻攻击者~只发送syn包,则它们通过的机率就~恒~恒~恒~为零,并且不浪费你丁点内存.这一点在上次公测的时候不是每个人都了解的,所以当时流量再大也是白搭.

通过我正常访问下抓ddos设备返回的syn ack包进行分析,你不得不承认人脑比电脑强很多.虽然人脑的主频只有几十MHZ ;~) 随后就用程序本地穷举就可以了,最终如果想验证自己猜的算法对不对,用ack包随便访问一下ddos厂商主页就行了 我认为这比什么CC去找高度匿名HTTP代理强劲多了.

多说一句,高度匿名HTTP代理下,你的那个什么内容过滤关键字段的方法,真是无用啊.

zjzf_2

小白 怎么会丢弃呢?

只有收到第三次握手的时候需要算cookies

你不是每个数据报都算吧？

先不说别的  总之我的东西没有漏过来的  这个随时可以安排你测试

zjzf_2

不是两个vlan  而是两个子网

两个不同的子网需要经过网关    我想你要说的应该是这样

zjzf_2

skipjack      xiyang说你是愤青 有点像  

skipjack

原帖由 zjzf_2 于 2006-4-22 03:48 发表
小白 怎么会丢弃呢?

只有收到第三次握手的时候需要算cookies

你不是每个数据报都算吧？

先不说别的  总之我的东西没有漏过来的  这个随时可以安排你测试

我知道第三个握手的时候才需要算cookie,但这个cookie是回复第一个握手包时预先算好的.第三个握手包时只是验算而已.
哈哈...愤青就愤青吧.喜欢成为众失之地的那种感觉.
发这个这贴子后,ddos的广告少了不少.证实了我说的基本上也是事实,承认?

skipjack

原帖由 zjzf_2 于 2006-4-22 03:51 发表
不是两个vlan  而是两个子网

两个不同的子网需要经过网关    我想你要说的应该是这样

对,你理解挺快的.只要是桥都会遇到这种问题