对国内ddos厂商技术点评

cnadl

原帖由 skipjack 于 2006-4-29 21:27 发表


回复的不是r数据包,因为此时的syn包合法性是未知的,我只能回复syn ack包.
攻击者不会建立session,他发送的数据包,只要发出去了,他自己都不知道是什么了.呵呵...

这个方法相当的不可取，给你自己的网关添麻烦而已。

bz169

深入

skipjack

原帖由 cnadl 于 2006-4-30 09:55 发表



这个方法相当的不可取，给你自己的网关添麻烦而已。

网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

cnadl

如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

cnadl

原帖由 skipjack 于 2006-4-30 10:37 发表


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且，回送地址给哪里呢？isp接口？那些伪造的源地址？

呵呵，再说就是道德问题了。

skipjack

原帖由 cnadl 于 2006-4-30 10:55 发表


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且，回送地址给哪里呢？isp接口？那些伪造的源地址？

呵呵，再说就是道德问题了。

ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他.紧邻我的设备必须收包.所以回送的应该是isp接口.

即使源IP是伪造的,你收到的时候也不能判断出来.所以收到syn包只有三条路可以走:
1)原样转发给身后服务器
2)修改为syn ack包后返回去
3)直接丢包,等下次重传
你感觉那种做法好?我选2.

没有道德的问题在里面,我只是依TCP/IP协议实现回复了syn ack包而己,我没有发乱包,杂包.ISP不会指责我什么.
相反,他会知道我的厉害,没准下次会主动禁堵攻击.

skipjack

原帖由 cnadl 于 2006-4-30 10:52 发表
如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

哇~~~啥都没看出来

skipjack

原帖由 cnadl 于 2006-4-30 10:52 发表
如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...

cnadl

原帖由 skipjack 于 2006-4-30 11:27 发表


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...

接口是很重要的，不能不谈：

情况很简单，就两种：桥外面有你的三层设备；桥外面没有。
有三层设备的时候，会对你的设备造成压力（当然压力要均衡，完全减低路由设备压力把自己拖垮也不可取）；
如果没有，那你的设备就要有相应的接入点以便能直接接入ISP的网络，so需要接口。

至于发包，你确定么。呵呵，不谈效率。如果源地址是伪造的，你的回送包会发到哪儿去？

skipjack

原帖由 cnadl 于 2006-4-30 12:07 发表



接口是很重要的，不能不谈：

情况很简单，就两种：桥外面有你的三层设备；桥外面没有。
有三层设备的时候，会对你的设备造成压力（当然压力要均衡，完全减低路由设备压力把自己拖垮也不可取）；
如果没 ...

接口不重要，还是那句话，我是桥。也就是说，你会考虑叫一条网线了解上面跑的协议吗？数据包的封装会在网线的某一段前是封装格式A，通过这段网线后就会变成封装格式B？
ddos设备相当于把网线从某种卡断，直接接进去。这比802.1d还802.1d。
是VLAN，以太，pppoe，ppp什么协议都不要紧，因为我收到什么封装包，还要发送什么格式的封装包，不会去破坏原有的封装格式。so我根本就不需要虚接口。
从一个网口收到数据包后，不是转发就是原路返回，在网卡驱动里做这件事，就和网线没什么区别了,至少我是这么理解的,ddos厂商应该也不会有岐意。
就算我发的syn ack会到月球上去，你通过syn包也不可能预知。so必须发。如果你是纯双向千兆设备，死的肯定是ISP，他会比你着急。如果把自己拖垮了，只能说性能还有待提高。
老实说，我怀疑你就是ISP的人