对国内ddos厂商技术点评

testab

[quote]原帖由 skipjack 于 2006-4-30 16:20 发表


发完广告贴就跑了（楼下）
上面引用的链接描述了三种接法，如下：
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才是正规的接入方式，放在公司的最出口处。
呵呵...你应该把你们公司的链接放上来。
http://www.sharesec.com/soft/dosnipe-ds.pdf

ft..我在其它帖子上看到那个人昵称是 sharesec，我只是登陆上去看看。发现他们的东东真的能吹，于是就贴了上去。。。
btw 你想像力够丰富，当时要是能贴边最好 just a joke . have a fun.

skipjack

原帖由 testab 于 2006-4-30 16:32 发表
[quote]原帖由 skipjack 于 2006-4-30 16:20 发表


发完广告贴就跑了（楼下）
上面引用的链接描述了三种接法，如下：
1.保护主机当然要只放在主机前面了
2.保护网络当然也要放在网络前面了
3.这才 ...

误杀误杀...不好意思，道谦。

testab

原帖由 skipjack 于 2006-4-30 16:34 发表


误杀误杀...不好意思，道谦。

嘿嘿 . 客气了.关注这个帖子好多天了.有人说 问题本质还是在 syncookie算法上。

skipjack

原帖由 testab 于 2006-4-30 16:36 发表


嘿嘿 . 客气了.关注这个帖子好多天了.有人说 问题本质还是在 syncookie算法上。

Yes～
绝对不能叫人猜出来，猜出来必死。
cookie算法就像密吗一样，写出来的cookie算法就不再是好的cookie算法了。
下文介绍了cookie的应用，但随后用的是地址状态迁移法，没有用syn proxy。
http://www.bingdun.com/article_view.asp?id=18

[ 本帖最后由 skipjack 于 2006-4-30 16:45 编辑 ]

zeroflag

skipjack:

1、关于接口问题：路由器有很多非以太网接口，这是路由器目前最主要的功用之一，包括ATM/SDH/DDN/帧中继等等，这些接口都是不能直接接在以太网口上，所以路由器必须放在抗DDoS设备前面。如果是以太网接入，则完全可以考虑不要路由器，由防火墙做出口路由。

2、关于多ISP出口问题，这是非常常见的，一台路由器接两个ISP的出口，抗DDoS设备如果部署在路由器后面就会出现我上面说的问题。

3、不要只考虑抗DDoS设备自身怎样怎样，要从全网的角度考虑，保护住了服务器，但把出口路由器打死了，客户一样会发飙的。

4、Syn-proxy/Syn-cookie技术是解决syn flood攻击的主要技术是勿庸置疑的，但是也未必能适应任何环境，某些环境下可能简单的缩短超时等待时间会受到更好的效果，一个方法烂不烂还是要通过实际数据来证明。

testab

有的时候 DDOS攻击往往将交换机或者路由器先搞挂了.
无论那个死掉都会有人发飙的.
多ISP 我最常见是在学校中 .

skipjack

原帖由 cnadl 于 2006-4-30 15:45 发表


兄弟，不是vi，是货真价实的物理接口。

e1
e3
oc-3
oc-12

这些常见端口为什么要路由器，就是因为它们上面跑的不是ethernet。

其他zeroflag说的很明白了。

我始终觉得，你的产品还停留在原形的 ...

我想了想，又琢磨了琢磨
好像找到咱俩分岐的地方了，你认为syn proxy/syn cookie可以在网络中的任一点实现。其实不是这样的。在骨干路由器上是做不到的，因为对它来说，分不出要保护谁，也分不清那里是内网，那里是外网、最要命的是不去理会TCP首部中的信息。
所以syn proxy/syn cookie只适用于企业、网站这些ether_type接入的终端结点上。
不知，我这回分析的对不对。

skipjack

就凭你打了这么多字，也要提前先道声“谢”

1、关于接口问题：路由器有很多非以太网接口，这是路由器目前最主要的功用之一，包括ATM/SDH/DDN/帧中继等等，这些接口都是不能直接接在以太网口上，所以路由器必须放在抗DDoS设备前面。如果是以太网接入，则完全可以考虑不要路由器，由防火墙做出口路由。
答：如果是这样，的确不能蛮干了。但如果ISP下来的是以太网接入，并且路由器不是我财产的一部分，我保留我这么做的权利。其实很多厂商不这么做，是因为硬件性能不行了。如果性能强劲的话，他们真不一定比我手软。

2、关于多ISP出口问题，这是非常常见的，一台路由器接两个ISP的出口，抗DDoS设备如果部署在路由器后面就会出现我上面说的问题。
答：两个ISP，如果匀是以太网接入，ddos设备上可以起两组桥。分别跨在两个ISP出口处，这是可以的。只要在链路上我看得到TCP首部信息就可以。

3、不要只考虑抗DDoS设备自身怎样怎样，要从全网的角度考虑，保护住了服务器，但把出口路由器打死了，客户一样会发飙的。
答：如果把ISP打死了，我相信他们会为我喝彩的。关键是攻击包把我的上行带宽堵死后，我闲着也是闲着，用空闲的下行带宽做一次尝试，也无可厚非啊。

4、Syn-proxy/Syn-cookie技术是解决syn flood攻击的主要技术是勿庸置疑的，但是也未必能适应任何环境，某些环境下可能简单的缩短超时等待时间会受到更好的效果，一个方法烂不烂还是要通过实际数据来证明。
答：如果采用缩短超时时间的做法，我还是会倾向于syn重传。因为大量的定时器在短期内超时不是什么好主意。当然我不怀疑你说的，能解决问题的方法就是好方法的判断。

大大狗

好东东,值得收藏,谢过楼主.

kris_1882

虽说还有很多不太懂，还是先收了～～