对国内ddos厂商技术点评

zeroflag

原帖由 skipjack 于 2006-4-30 11:27 发表
ISP给我什么接口,对我来说已经不重要了(因为我是桥,没有虚接口,IP层以下的封装我必须依靠自己来构造,其实更多的是修改收到的数据包.),重要的是数据包已经到达我这里了,所以我反转源/目的IP后,也同样可以发给他 ...

1、听起来有点象syn-proxy/syn-cookie的做法。
2、多ISP出口的时候，很有可能出现链路不对称的情况，比如有目的攻击一个同时具有CERNET和电信双出口的学校，我从电信发动攻击，伪造地址范围全部限定在CERNET的地址段，那么你回复的数据包都从另外的CERNET的接口出去了，攻击的数据包还从电信的链路传过来，无论是电信还是cernet的路由器都只发送或者只接收，你的所谓降速的情况就不会出现，反倒是更加为难你的出口路由器了，是它在同时接收并发送，死也是它先死，终究伤到的还是自己人。
我还是认为不能把希望寄托在这个身上。

cnadl

原帖由 skipjack 于 2006-4-30 13:18 发表


接口不重要，还是那句话，我是桥。也就是说，你会考虑叫一条网线了解上面跑的协议吗？数据包的封装会在网线的某一段前是封装格式A，通过这段网线后就会变成封装格式B？
ddos设备相当于把网线从某种卡断，直接 ...

兄弟，不是vi，是货真价实的物理接口。

e1
e3
oc-3
oc-12

这些常见端口为什么要路由器，就是因为它们上面跑的不是ethernet。

其他zeroflag说的很明白了。

我始终觉得，你的产品还停留在原形的阶段，需要多看看应用环境，有些事情（比如无限增大出口路由器压力）不应该这么理想化的，用户不会买账。

cnadl

btw一下

来到cu以来，被人评论过：

ibm的
hp的
huawei的
topsec的
emc的
ms的
……
现在又多了个isp的

呵呵，不过……为啥就没人说对呢……

skipjack

原帖由 zeroflag 于 2006-4-30 15:34 发表

1、听起来有点象syn-proxy/syn-cookie的做法。
2、多ISP出口的时候，很有可能出现链路不对称的情况，比如有目的攻击一个同时具有CERNET和电信双出口的学校，我从电信发动攻击，伪造地址范围全部限定在CERNET的 ...

1.我指的就是syn-proxy/syn-cookie，我认为这两种方法最好。当然也有用源地址状态迁移原理的。就是利用服务器的性能来达到防御，syn flood会暂时以connect flood到服务器上面去。如果是虚假IP，超时后会再发rst拆链，我感觉这种方法很烂，所以没有提及。

2.你说的情况不会出现。从A口进，就一定会从A口出，ddos设备是工作在二层的，它没有路由表。更不会去做路由判断。这也是他快的地方。

skipjack

原帖由 cnadl 于 2006-4-30 15:47 发表
btw一下

来到cu以来，被人评论过：

ibm的
hp的
huawei的
topsec的
emc的
ms的
……
现在又多了个isp的

呵呵，不过……为啥就没人说对呢……

这也是好事，说明你不做广告。如果把广告放到签名里，我当然就不会猜错了。

skipjack

原帖由 zeroflag 于 2006-4-30 15:17 发表


一般说来抗DDoS设备都接在自己路由器后面，这么搞等于是先搞死自己的路由器还是先抗DDoS设备自己先死的问题了，与其这么费神折腾还不如直接对路由器接口速率做限制，低于抗DDoS设备就行了，何必自家兄弟互相过 ...

客户真的这么接吗？
把自己的路由器放到ddos设备前面，肯定？？？！！！
www_ftp快出来帮忙说句话

skipjack

原帖由 cnadl 于 2006-4-30 15:45 发表


兄弟，不是vi，是货真价实的物理接口。

e1
e3
oc-3
oc-12

这些常见端口为什么要路由器，就是因为它们上面跑的不是ethernet。

其他zeroflag说的很明白了。

我始终觉得，你的产品还停留在原形的 ...

兄弟，还没明白....，看看ddos厂商的手册是怎么描述自己产品的接口特性的。
什么接口都不重要，vi ri这点在软件上是透明的。
只要能把包从网线上勾上来，能找到对应的IP头和TCP头的位置就可以处理了。
如果你上面的e1 e3 oc-3 oc-12上收到的包找不到ip tcp头就说明这些结点还不到防御的时机，或者说防御的时机已经错过了。
如果我理解有偏差，就给我图一幅拓扑图吧。
BTW：我怎么都有自己的产品了，我不是做这个的呀？

testab

原帖由 skipjack 于 2006-4-30 15:58 发表


客户真的这么接吗？
把自己的路由器放到ddos设备前面，肯定？？？！！！
www_ftp快出来帮忙说句话

http://www.nsfocus.com/homepage/products/collapsar.htm
上面提到的链接是这样设计的..^_^  
我先走 你们继续讨论...

[ 本帖最后由 testab 于 2006-4-30 16:15 编辑 ]

skipjack

原帖由 testab 于 2006-4-30 16:14 发表


http://www.nsfocus.com/homepage/products/collapsar.htm
上面提到的链接是这样设计的..^_^  
我先走 你们继续讨论...

发完广告贴就跑了（楼下）
上面引用的链接描述了三种接法，如下：
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式，放在公司的最出口处。
呵呵...你应该把你们公司的链接放上来。
http://www.sharesec.com/soft/dosnipe-ds.pdf

看看，三种常见拓扑图真相似，谁参考谁的呢？

[ 本帖最后由 skipjack 于 2006-4-30 16:29 编辑 ]

testab

原帖由 skipjack 于 2006-4-30 16:20 发表


发完广告贴就跑了（楼下）
上面引用的链接描述了三种接法，如下：
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式，放在公司的最出口处。
呵呵...你应该把 ...

晕,我和nsfocus一点关系没有.只是看见讨论位置的问题 去搜索了一下。
btw:偶对广告没兴趣.