1 ... 9 10 11 121314 15 16 17 ... 24 / 24 页下一页

对国内ddos厂商技术点评 [复制链接]

zeroflag

白手起家

论坛徽章:: 0

121楼 [报告]

发表于 2006-04-29 15:58 |只看该作者

NO7有点疑问

对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Jobs.AE@

小富即安

论坛徽章:: 0

122楼 [报告]

发表于 2006-04-29 18:13 |只看该作者

原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

回复一个r的数据报，攻击者的协议栈就会关掉已建立的Session，然后攻击者要重建，等于增加了攻击者的CPU的负担，不能全力以赴的发包了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zeroflag

白手起家

论坛徽章:: 0

123楼 [报告]

发表于 2006-04-29 19:56 |只看该作者

原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表
回复一个r的数据报，攻击者的协议栈就会关掉已建立的Session，然后攻击者要重建，等于增加了攻击者的CPU的负担，不能全力以赴的发包了。

第一，作者不是这么解释的，作者的意思是通过冲突检测的方式，不断的回包会增加冲突的几率降低攻击者的发送速率。
第二，所谓syn flood攻击就是没打算建立完整TCP连接的攻击，所以绝大多数这种攻击都是使用的伪造的源IP地址，回复数据包99.99％不可能到达发送数据包的主机，而是根本就不知道转到哪里去了，这样做对攻击者的影响应该是微乎其微，或者说干脆没有影响吧。

我对DOS攻击采用溯源回追基本不感兴趣，不觉得那有什么用。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

skipjack

丰衣足食

论坛徽章:: 0

124楼 [报告]

发表于 2006-04-29 20:09 |只看该作者

原帖由 cnadl 于 2006-4-29 12:05 发表
它的机器后面有个标签压着个螺丝，写着

warranty void if broken

so为了避免麻烦，就不上photo了。

这款产品内部大体可以分为两块

用过的大都知道，接口是在front panel上的，打开看到：front panel ...

都被打磨了呀,还看到什么有用的信息了.
不是有显卡接口吗,接显示器呀,呵呵.....
内存大小也很关键,必竟F5是要记录连接状态的.
不管怎么说先谢谢你.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

skipjack

丰衣足食

论坛徽章:: 0

125楼 [报告]

发表于 2006-04-29 21:00 |只看该作者

原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

对,这点在铜铀电缆环境下是正确的.在双绞线"全双工模式"下这么说的确不太严谨,
双绞线的上/下行带宽是完全分开的.收对发,发对收.
我上面提的发包器,因为源MAC没有伪造,只是伪造了源IP,所以当我回复syn ack时,攻击者也必须处理收包工作.这样它的CPU负载就加大了,发包就会慢下来.
你可能会说,没有伪造源MAC的攻击包就是~傻~包呀,
但你不要丢记,在单一网关出口时,网关就是这种情况下的发包器,
观点七: 想说明那些被动的等待重传来判断syn包合法性的作法是多么的不可取.与其被堵死,不如搏一下.

[ 本帖最后由 skipjack 于 2006-4-29 21:38 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

skipjack

丰衣足食

论坛徽章:: 0

126楼 [报告]

发表于 2006-04-29 21:20 |只看该作者

原帖由 zeroflag 于 2006-4-29 19:56 发表

第一，作者不是这么解释的，作者的意思是通过冲突检测的方式，不断的回包会增加冲突的几率降低攻击者的发送速率。
第二，所谓syn flood攻击就是没打算建立完整TCP连接的攻击，所以绝大多数这种攻击都是使用的 ...

一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...

syn flood的确没有必要回朔.这必须有攻击路线上的全程路由器支持才行.
有文章说用攻击数据包抽样的方式进行回朔.不同意这种做法
用IDS IPS来检测syn flood攻击就更可笑了.还没反应过来没准就被人家给弄死了.好可怜....