免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: skipjack
打印 上一主题 下一主题

对国内ddos厂商技术点评 [复制链接]

论坛徽章:
0
131 [报告]
发表于 2006-04-30 09:55 |只看该作者
原帖由 skipjack 于 2006-4-29 21:27 发表


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...



这个方法相当的不可取,给你自己的网关添麻烦而已。

论坛徽章:
0
132 [报告]
发表于 2006-04-30 10:06 |只看该作者
深入

论坛徽章:
0
133 [报告]
发表于 2006-04-30 10:37 |只看该作者
原帖由 cnadl 于 2006-4-30 09:55 发表



这个方法相当的不可取,给你自己的网关添麻烦而已。


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

论坛徽章:
0
134 [报告]
发表于 2006-04-30 10:52 |只看该作者
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

architecture.jpg (10.9 KB, 下载次数: 30)

architecture.jpg

论坛徽章:
0
135 [报告]
发表于 2006-04-30 10:55 |只看该作者
原帖由 skipjack 于 2006-4-30 10:37 发表


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且,回送地址给哪里呢?isp接口?那些伪造的源地址?

呵呵,再说就是道德问题了。

论坛徽章:
0
136 [报告]
发表于 2006-04-30 11:27 |只看该作者
原帖由 cnadl 于 2006-4-30 10:55 发表


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且,回送地址给哪里呢?isp接口?那些伪造的源地址?

呵呵,再说就是道德问题了。


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他.紧邻我的设备必须收包.所以回送的应该是isp接口.

即使源IP是伪造的,你收到的时候也不能判断出来.所以收到syn包只有三条路可以走:
1)原样转发给身后服务器
2)修改为syn ack包后返回去
3)直接丢包,等下次重传
你感觉那种做法好?我选2.

没有道德的问题在里面,我只是依TCP/IP协议实现回复了syn ack包而己,我没有发乱包,杂包.ISP不会指责我什么.
相反,他会知道我的厉害,没准下次会主动禁堵攻击.

论坛徽章:
0
137 [报告]
发表于 2006-04-30 11:29 |只看该作者
原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。


哇~~~啥都没看出来

论坛徽章:
0
138 [报告]
发表于 2006-04-30 11:39 |只看该作者
原帖由 cnadl 于 2006-4-30 10:52 发表
如图,这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过,但是南北桥、CPU、显卡这些通用芯片都能辨认出来,就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。


如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...

论坛徽章:
0
139 [报告]
发表于 2006-04-30 12:07 |只看该作者
原帖由 skipjack 于 2006-4-30 11:27 发表


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...



接口是很重要的,不能不谈:

情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没有,那你的设备就要有相应的接入点以便能直接接入ISP的网络,so需要接口。

至于发包,你确定么。呵呵,不谈效率。如果源地址是伪造的,你的回送包会发到哪儿去?

论坛徽章:
0
140 [报告]
发表于 2006-04-30 13:18 |只看该作者
原帖由 cnadl 于 2006-4-30 12:07 发表



接口是很重要的,不能不谈:

情况很简单,就两种:桥外面有你的三层设备;桥外面没有。
有三层设备的时候,会对你的设备造成压力(当然压力要均衡,完全减低路由设备压力把自己拖垮也不可取);
如果没 ...


接口不重要,还是那句话,我是桥。也就是说,你会考虑叫一条网线了解上面跑的协议吗?数据包的封装会在网线的某一段前是封装格式A,通过这段网线后就会变成封装格式B?
ddos设备相当于把网线从某种卡断,直接接进去。这比802.1d还802.1d。
是VLAN,以太,pppoe,ppp什么协议都不要紧,因为我收到什么封装包,还要发送什么格式的封装包,不会去破坏原有的封装格式。so我根本就不需要虚接口。
从一个网口收到数据包后,不是转发就是原路返回,在网卡驱动里做这件事,就和网线没什么区别了,至少我是这么理解的,ddos厂商应该也不会有岐意。
就算我发的syn ack会到月球上去,你通过syn包也不可能预知。so必须发。如果你是纯双向千兆设备,死的肯定是ISP,他会比你着急。如果把自己拖垮了,只能说性能还有待提高。
老实说,我怀疑你就是ISP的人
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP