对国内ddos厂商技术点评

skipjack

原帖由 cx6445 于 2006-4-27 09:24 发表


5台机器一般来说对负载均衡设备没什么压力，当然也要看具体应用，我们这儿的负载均衡后边对应上百台的机器。

这和具体应用关系密切，这句话说对了。
和身后有多少台服务器确实关系不大。
这只和访问量有关，说的更准确一点：第一是并发率、第二才是流量
你后面是100台ftp集群，和我后面是10台http集群，没准后者对F5的负载压力更强。

cnadl

它的机器后面有个标签压着个螺丝，写着

warranty void if broken

so为了避免麻烦，就不上photo了。

这款产品内部大体可以分为两块

用过的大都知道，接口是在front panel上的，打开看到：front panel 紧挨着的是块板，从芯片判断是broadcom model的交换机，在这块板上面没看到什么特殊的asic芯片

rear panel挨着的板应当就是control plane的所在了，这块mother board上面搭载了个ati rage的video adapter，以及两个ps/2接口和两个usb接口，尺寸比较大，看起来像是AT设计（ 好多年不玩DIY了，只能说是好像）

最大的processor上面的散热器比较牢，没敢用力卸下来，所以不能判断是p2还是p3；旁边有一个hitachi的hd，貌似还不是scsi的；

主板上有一块pci卡，上面芯片的字（基本上这款机器里面所有重要ic都被磨过，包括主板上的南北桥）被磨得很不清楚，无法判断作用。

嗯……要是说还有什么特别的……

前后两部分是通过两根utp-5+的线缆联接起来的，这应该是出乎我意料之外了；当然，我丝毫不怀疑这是GB级别的联接……

以上，现在还没开起来。

zeroflag

对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

Jobs.AE@

原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

回复一个r的数据报，攻击者的协议栈就会关掉已建立的Session，然后攻击者要重建，等于增加了攻击者的CPU的负担，不能全力以赴的发包了。

zeroflag

原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表
回复一个r的数据报，攻击者的协议栈就会关掉已建立的Session，然后攻击者要重建，等于增加了攻击者的CPU的负担，不能全力以赴的发包了。

第一，作者不是这么解释的，作者的意思是通过冲突检测的方式，不断的回包会增加冲突的几率降低攻击者的发送速率。
第二，所谓syn flood攻击就是没打算建立完整TCP连接的攻击，所以绝大多数这种攻击都是使用的伪造的源IP地址，回复数据包99.99％不可能到达发送数据包的主机，而是根本就不知道转到哪里去了，这样做对攻击者的影响应该是微乎其微，或者说干脆没有影响吧。

我对DOS攻击采用溯源回追基本不感兴趣，不觉得那有什么用。

skipjack

原帖由 cnadl 于 2006-4-29 12:05 发表
它的机器后面有个标签压着个螺丝，写着

warranty void if broken

so为了避免麻烦，就不上photo了。

这款产品内部大体可以分为两块

用过的大都知道，接口是在front panel上的，打开看到：front panel  ...

都被打磨了呀,还看到什么有用的信息了.
不是有显卡接口吗,接显示器呀,呵呵.....
内存大小也很关键,必竟F5是要记录连接状态的.
不管怎么说先谢谢你.

skipjack

原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试，不知道你说不回追CPU占有率高是不是正确，但是你的解释有问题。全双工模式下，收发不相干，回复数据包怎么可能降低对方发包速度呢？望明鉴！

对,这点在铜铀电缆环境下是正确的.在双绞线"全双工模式"下这么说的确不太严谨,
双绞线的上/下行带宽是完全分开的.收对发,发对收.
我上面提的发包器,因为源MAC没有伪造,只是伪造了源IP,所以当我回复syn ack时,攻击者也必须处理收包工作.这样它的CPU负载就加大了,发包就会慢下来.
你可能会说,没有伪造源MAC的攻击包就是~傻~包呀,
但你不要丢记,在单一网关出口时,网关就是这种情况下的发包器,
观点七: 想说明那些被动的等待重传来判断syn包合法性的作法是多么的不可取.与其被堵死,不如搏一下.

[ 本帖最后由 skipjack 于 2006-4-29 21:38 编辑 ]

skipjack

原帖由 zeroflag 于 2006-4-29 19:56 发表


第一，作者不是这么解释的，作者的意思是通过冲突检测的方式，不断的回包会增加冲突的几率降低攻击者的发送速率。
第二，所谓syn flood攻击就是没打算建立完整TCP连接的攻击，所以绝大多数这种攻击都是使用的 ...

一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...

syn flood的确没有必要回朔.这必须有攻击路线上的全程路由器支持才行.
有文章说用攻击数据包抽样的方式进行回朔.不同意这种做法
用IDS IPS来检测syn flood攻击就更可笑了.还没反应过来没准就被人家给弄死了.好可怜....

skipjack

原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表


回复一个r的数据报，攻击者的协议栈就会关掉已建立的Session，然后攻击者要重建，等于增加了攻击者的CPU的负担，不能全力以赴的发包了。

回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...

Jobs.AE@

原帖由 skipjack 于 2006-4-29 21:27 发表


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...

嗯，对，我的理解有点问题。
学习，呵呵~~