对国内ddos厂商技术点评

skipjack

原帖由 cnadl 于 2006-4-30 09:55 发表



这个方法相当的不可取，给你自己的网关添麻烦而已。

网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

cnadl

如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

cnadl

原帖由 skipjack 于 2006-4-30 10:37 发表


网关不是我的,是ISP给我的一个下一跳地址而己.
就是让ISP知道,如果你不帮我解决攻击问题,我会叫你也和我一起死.嘿嘿......

那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且，回送地址给哪里呢？isp接口？那些伪造的源地址？

呵呵，再说就是道德问题了。

skipjack

原帖由 cnadl 于 2006-4-30 10:55 发表


那你要保证isp给你的是以太网连接、或者你的设备支持广域接口才行。

而且，回送地址给哪里呢？isp接口？那些伪造的源地址？

呵呵，再说就是道德问题了。

ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他.紧邻我的设备必须收包.所以回送的应该是isp接口.

即使源IP是伪造的,你收到的时候也不能判断出来.所以收到syn包只有三条路可以走:
1)原样转发给身后服务器
2)修改为syn ack包后返回去
3)直接丢包,等下次重传
你感觉那种做法好?我选2.

没有道德的问题在里面,我只是依TCP/IP协议实现回复了syn ack包而己,我没有发乱包,杂包.ISP不会指责我什么.
相反,他会知道我的厉害,没准下次会主动禁堵攻击.

skipjack

原帖由 cnadl 于 2006-4-30 10:52 发表
如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

哇~~~啥都没看出来

skipjack

原帖由 cnadl 于 2006-4-30 10:52 发表
如图，这两根兰线是我BS的最主要原因。

BTW 打磨过归打磨过，但是南北桥、CPU、显卡这些通用芯片都能辨认出来，就是型号比较模糊。唯一说不准的就是唯一的pci卡上的那块芯片。

如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...

cnadl

原帖由 skipjack 于 2006-4-30 11:27 发表


ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...

接口是很重要的，不能不谈：

情况很简单，就两种：桥外面有你的三层设备；桥外面没有。
有三层设备的时候，会对你的设备造成压力（当然压力要均衡，完全减低路由设备压力把自己拖垮也不可取）；
如果没有，那你的设备就要有相应的接入点以便能直接接入ISP的网络，so需要接口。

至于发包，你确定么。呵呵，不谈效率。如果源地址是伪造的，你的回送包会发到哪儿去？

skipjack

原帖由 cnadl 于 2006-4-30 12:07 发表



接口是很重要的，不能不谈：

情况很简单，就两种：桥外面有你的三层设备；桥外面没有。
有三层设备的时候，会对你的设备造成压力（当然压力要均衡，完全减低路由设备压力把自己拖垮也不可取）；
如果没 ...

接口不重要，还是那句话，我是桥。也就是说，你会考虑叫一条网线了解上面跑的协议吗？数据包的封装会在网线的某一段前是封装格式A，通过这段网线后就会变成封装格式B？
ddos设备相当于把网线从某种卡断，直接接进去。这比802.1d还802.1d。
是VLAN，以太，pppoe，ppp什么协议都不要紧，因为我收到什么封装包，还要发送什么格式的封装包，不会去破坏原有的封装格式。so我根本就不需要虚接口。
从一个网口收到数据包后，不是转发就是原路返回，在网卡驱动里做这件事，就和网线没什么区别了,至少我是这么理解的,ddos厂商应该也不会有岐意。
就算我发的syn ack会到月球上去，你通过syn包也不可能预知。so必须发。如果你是纯双向千兆设备，死的肯定是ISP，他会比你着急。如果把自己拖垮了，只能说性能还有待提高。
老实说，我怀疑你就是ISP的人

cx6445

原帖由 skipjack 于 2006-4-30 11:39 发表


如果没有asic芯片在F5里面
我下个月有往做出F6出货.嘿嘿...

不错，最好能比F5强，F5在我们这儿口碑不是非常好。

zeroflag

原帖由 skipjack 于 2006-4-29 21:20 发表
一,二的问题上贴解释了,我不需要回朔到真正的攻击者,我只需要叫紧挨着我的设备发包速度减下来就可以.如果双方都是纯双向千兆设备,这就是搏杀了.呵呵...
syn flood的确没有必要回朔.这必须有攻击路线上的全 ...

一般说来抗DDoS设备都接在自己路由器后面，这么搞等于是先搞死自己的路由器还是先抗DDoS设备自己先死的问题了，与其这么费神折腾还不如直接对路由器接口速率做限制，低于抗DDoS设备就行了，何必自家兄弟互相过不去，在这里可不能“攘外必先安内”！