免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: skipjack
打印 上一主题 下一主题

对国内ddos厂商技术点评 [复制链接]

论坛徽章:
0
131 [报告]
发表于 2006-04-30 10:37 |只看该作者
原帖由 cnadl 于 2006-4-30 09:55 发表



这个方法相当的不可取,给你自己的网关添麻烦而已。


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

论坛徽章:
0
132 [报告]
发表于 2006-04-30 10:52 |只看该作者
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

architecture.jpg (10.9 KB, 下载次数: 29)

architecture.jpg

论坛徽章:
0
133 [报告]
发表于 2006-04-30 10:55 |只看该作者
原帖由 skipjack 于 2006-4-30 10:37 发表


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且,回送地址给哪里呢?isp接口?那些伪造的源地址?

呵呵,再说就是道德问题了。

论坛徽章:
0
134 [报告]
发表于 2006-04-30 11:27 |只看该作者
原帖由 cnadl 于 2006-4-30 10:55 发表


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且,回送地址给哪里呢?isp接口?那些伪造的源地址?

呵呵,再说就是道德问题了。


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他.紧邻我的设备必须收包.所以回送的应该是isp接口.

即使源IP是伪造的,你收到的时候也不能判断出来.所以收到syn包只有三条路可以走:
1)原样转发给身后服务器
2)修改为syn ack包后返回去
3)直接丢包,等下次重传
你感觉那种做法好?我选2.

没有道德的问题在里面,我只是依TCP/IP协议实现回复了syn ack包而己,我没有发乱包,杂包.ISP不会指责我什么.
相反,他会知道我的厉害,没准下次会主动禁堵攻击.

论坛徽章:
0
135 [报告]
发表于 2006-04-30 11:29 |只看该作者
原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。


哇~~~啥都没看出来

论坛徽章:
0
136 [报告]
发表于 2006-04-30 11:39 |只看该作者
原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。


如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...

论坛徽章:
0
137 [报告]
发表于 2006-04-30 12:07 |只看该作者
原帖由 skipjack 于 2006-4-30 11:27 发表


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...



接口是很重要的,不能不谈:

情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没有,那你的设备就要有相应的接入点以便能直接接入ISP的网络,so需要接口。

至于发包,你确定么。呵呵,不谈效率。如果源地址是伪造的,你的回送包会发到哪儿去?

论坛徽章:
0
138 [报告]
发表于 2006-04-30 13:18 |只看该作者
原帖由 cnadl 于 2006-4-30 12:07 发表



接口是很重要的,不能不谈:

情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没 ...


接口不重要,还是那句话,我是桥。也就是说,你会考虑叫一条网线了解上面跑的协议吗?数据包的封装会在网线的某一段前是封装格式A,通过这段网线后就会变成封装格式B?
ddos设备相当于把网线从某种卡断,直接接进去。这比802.1d还802.1d。
是VLAN,以太,pppoe,ppp什么协议都不要紧,因为我收到什么封装包,还要发送什么格式的封装包,不会去破坏原有的封装格式。so我根本就不需要虚接口。
从一个网口收到数据包后,不是转发就是原路返回,在网卡驱动里做这件事,就和网线没什么区别了,至少我是这么理解的,ddos厂商应该也不会有岐意。
就算我发的syn ack会到月球上去,你通过syn包也不可能预知。so必须发。如果你是纯双向千兆设备,死的肯定是ISP,他会比你着急。如果把自己拖垮了,只能说性能还有待提高。
老实说,我怀疑你就是ISP的人

论坛徽章:
0
139 [报告]
发表于 2006-04-30 13:39 |只看该作者
原帖由 skipjack 于 2006-4-30 11:39 发表


如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...


不错,最好能比F5强,F5在我们这儿口碑不是非常好。

论坛徽章:
0
140 [报告]
发表于 2006-04-30 15:17 |只看该作者
原帖由 skipjack 于 2006-4-29 21:20 发表
一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...
syn flood的确没有必要回朔.这必须有攻击路线上的全 ...


一般说来抗DDoS设备都接在自己路由器后面,这么搞等于是先搞死自己的路由器还是先抗DDoS设备自己先死的问题了,与其这么费神折腾还不如直接对路由器接口速率做限制,低于抗DDoS设备就行了,何必自家兄弟互相过不去,在这里可不能“攘外必先安内”!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP