免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: skipjack
打印 上一主题 下一主题

对国内ddos厂商技术点评 [复制链接]

论坛徽章:
0
121 [报告]
发表于 2006-04-29 15:58 |只看该作者

NO7有点疑问

对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!

论坛徽章:
0
122 [报告]
发表于 2006-04-29 18:13 |只看该作者
原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!


回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。

论坛徽章:
0
123 [报告]
发表于 2006-04-29 19:56 |只看该作者
原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表
回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。


第一,作者不是这么解释的,作者的意思是通过冲突检测的方式,不断的回包会增加冲突的几率降低攻击者的发送速率。
第二,所谓syn flood攻击就是没打算建立完整TCP连接的攻击,所以绝大多数这种攻击都是使用的伪造的源IP地址,回复数据包99.99%不可能到达发送数据包的主机,而是根本就不知道转到哪里去了,这样做对攻击者的影响应该是微乎其微,或者说干脆没有影响吧。

我对DOS攻击采用溯源回追基本不感兴趣,不觉得那有什么用。

论坛徽章:
0
124 [报告]
发表于 2006-04-29 20:09 |只看该作者
原帖由 cnadl 于 2006-4-29 12:05 发表
它的机器后面有个标签压着个螺丝,写着

warranty void if broken

so为了避免麻烦,就不上photo了。

这款产品内部大体可以分为两块

用过的大都知道,接口是在front panel上的,打开看到:front panel  ...


都被打磨了呀,还看到什么有用的信息了.
不是有显卡接口吗,接显示器呀,呵呵.....
内存大小也很关键,必竟F5是要记录连接状态的.
不管怎么说先谢谢你.

论坛徽章:
0
125 [报告]
发表于 2006-04-29 21:00 |只看该作者
原帖由 zeroflag 于 2006-4-29 15:58 发表
对你说的第七点有点疑问。
没做过测试,不知道你说不回追CPU占有率高是不是正确,但是你的解释有问题。全双工模式下,收发不相干,回复数据包怎么可能降低对方发包速度呢?望明鉴!


对,这点在铜铀电缆环境下是正确的.在双绞线"全双工模式"下这么说的确不太严谨,
双绞线的上/下行带宽是完全分开的.收对发,发对收.
我上面提的发包器,因为源MAC没有伪造,只是伪造了源IP,所以当我回复syn ack时,攻击者也必须处理收包工作.这样它的CPU负载就加大了,发包就会慢下来.
你可能会说,没有伪造源MAC的攻击包就是~傻~包呀,
但你不要丢记,在单一网关出口时,网关就是这种情况下的发包器,
观点七: 想说明那些被动的等待重传来判断syn包合法性的作法是多么的不可取.与其被堵死,不如搏一下.

[ 本帖最后由 skipjack 于 2006-4-29 21:38 编辑 ]

论坛徽章:
0
126 [报告]
发表于 2006-04-29 21:20 |只看该作者
原帖由 zeroflag 于 2006-4-29 19:56 发表


第一,作者不是这么解释的,作者的意思是通过冲突检测的方式,不断的回包会增加冲突的几率降低攻击者的发送速率。
第二,所谓syn flood攻击就是没打算建立完整TCP连接的攻击,所以绝大多数这种攻击都是使用的 ...


一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...

syn flood的确没有必要回朔.这必须有攻击路线上的全程路由器支持才行.
有文章说用攻击数据包抽样的方式进行回朔.不同意这种做法
用IDS IPS来检测syn flood攻击就更可笑了.还没反应过来没准就被人家给弄死了.好可怜....

论坛徽章:
0
127 [报告]
发表于 2006-04-29 21:27 |只看该作者
原帖由 Jobs.AE@ 于 2006-4-29 18:13 发表


回复一个r的数据报,攻击者的协议栈就会关掉已建立的Session,然后攻击者要重建,等于增加了攻击者的CPU的负担,不能全力以赴的发包了。


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...

论坛徽章:
0
128 [报告]
发表于 2006-04-29 22:10 |只看该作者
原帖由 skipjack 于 2006-4-29 21:27 发表


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...


嗯,对,我的理解有点问题。
学习,呵呵~~

论坛徽章:
0
129 [报告]
发表于 2006-04-30 09:55 |只看该作者
原帖由 skipjack 于 2006-4-29 21:27 发表


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...



这个方法相当的不可取,给你自己的网关添麻烦而已。

论坛徽章:
0
130 [报告]
发表于 2006-04-30 10:06 |只看该作者
深入
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP