对国内ddos厂商技术点评

清水飘萍

原帖由 zeroflag 于 2006-10-12 00:23 发表


别理它，那臭厮把那个GP东西以不可思议的价格卖给了不可思议的客户，他在那沾沾自喜呢！

所谓透明接入，就是什么作用都没有的接入，全透明，根本不存在。在syn flood发起的时候，它依然透明。

目前所谓的透明都是通过桥接的方式,zeroflag兄弟所说的全透明,现实存在吗？

mavsguy

现在有没有攻击手段可以做到使用伪造的ip和被攻击的服务器完成三次握手的过程

zeroflag

原帖由 清水飘萍 于 2006-10-12 14:34 发表
目前所谓的透明都是通过桥接的方式,zeroflag兄弟所说的全透明,现实存在吗？

有哇，不接入网络或者假接入网络不就是全透明嘛！
技术上X86透明当然是桥接了，商务上透明的方式就多了。

当然透明这个词其实本来也不太规范。其实交换机就是一种特殊的网桥，从这个角度说，除了HUB以外，包括交换机路由器，所有的设备的以太网连接方式都是桥接。

zeroflag

原帖由 skipjack 于 2006-10-12 12:00 发表
谢了,上次看了zjzf_1的旁路模式说明,也知道是用这个原理了.
存在的问题应该是在切换时,已有的连接会断掉,是吧?

从你的发言上来看,你的客户都是大客户啊.

呵呵，还行吧。我现在的工作是负责大项目支持没错。老板下指标，要求我明年每个月至少支持成功一个300万以上的项目，晕死了！估计快被开除了，呵呵！

colddawn

关于旁路引流原理，相信已经不是什么难题了。
我现在管理的网络，就是用一台机器挂在核心交换机的流量镜像端口上，利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西，将超过我规定值的ip作日志，这些个ip基本上100%就是被攻击的ip了。然后通过BGP将这些个IP直接路由到blackhole去，BGP路由20S发布一次，避免某些ip因为大流量攻击影响整个网络。
如果能有可用防火墙的话，稍微修改一下，将IP路由到防火墙，那网络就完美了，再进一步加上选路机制，就能做到防火墙集群。说白了，就这么简单的技术。

zeroflag

原帖由 colddawn 于 2006-10-15 12:01 发表
关于旁路引流原理，相信已经不是什么难题了。
我现在管理的网络，就是用一台机器挂在核心交换机的流量镜像端口上，利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西，将超过我规定值的ip作日志，这些 ...

说旁路引流的方案有问题，就在使用BGP这个协议上。在比较大型的网络上，谁会让你用BGP来回的切换，这可能会引起路由震荡的。尤其时在电信的网络中。而且BGP协议使用的是TCP协议，本身就是可以被Syn Flood的。如果别人发现你这么搞，攻击你前面的路由器，怎么办？

colddawn

原帖由 zeroflag 于 2006-10-17 00:02 发表


说旁路引流的方案有问题，就在使用BGP这个协议上。在比较大型的网络上，谁会让你用BGP来回的切换，这可能会引起路由震荡的。尤其时在电信的网络中。而且BGP协议使用的是TCP协议，本身就是可以被Syn Flood的。 ...

1，您是否知道BGP是现在最通用的域间路由协议？基本上目前的骨干网都是在运行BGP。
2，如果说要攻击BGP本身的话，为什么我不可以在网内通过私有地址假设BGP通讯呢，虽然BGP可以用在广域传输，但没有规定必须用于广域传输吧。

skipjack

原帖由 colddawn 于 2006-10-15 12:01 发表
利用pcap写了一个监测每秒钟每个ip收到的包数量和流量的小东西，将超过我规定值的ip作日志

足够随机的源IP，你这个判断条件无效吧

colddawn

原帖由 skipjack 于 2006-10-17 22:59 发表

足够随机的源IP，你这个判断条件无效吧

因为我已经假定所有攻击源IP都是伪装的，所以源IP不作为判别条件，判别条件仅仅是流入目标IP的流量值。
我是封锁目标IP，因为我的网络接入是Gbps，然而最终每台服务器却是用100Mbps的网络环境，所以一旦某台服务器被攻击流量达到101M，死得不只是这台服务器，还包括此服务器同一个100Mbps交换机下的其他服务器，为了保护其他服务器，我只能将这个流量从上层截断，当然此时如果有防火墙过滤攻击流量，则所有机器都可以保全，然而我买不起防火墙，所以自己搞出这么个东西用避让策略牺牲一台保全大家。

另外你可能说用大流量攻击我的IP段里面所有机器或者是随机的机器，但这样本身就会让攻击流量分散，你攻我2台我大不了封2台，你攻我10台......你能发起1000Mbps的攻击流量？那我认栽了。

对于DDOS，我只能说在国内是由于网络管理员管理不善造成攻击者非常容易发起大流量攻击，并促使形成了一个专门玩攻击的利益集团，同时催生了anti DDOS这个产业，这所有的一切，都不是该发生的，然而在电信和网通的英明领导下确实产生了这种产业链。我所能做的：1-从技术上尽量避免损失，2-大声谴责攻击者，3-BS电信网通这些骨干运营商的不作为，4-对所有anti-DDOS厂商吐口水，不要以为你们是正义的，早晚有一天有人会看清你们的丑恶嘴脸，我宁死不给你们一分钱

zeroflag

原帖由 colddawn 于 2006-10-17 16:16 发表
1，您是否知道BGP是现在最通用的域间路由协议？基本上目前的骨干网都是在运行BGP。
2，如果说要攻击BGP本身的话，为什么我不可以在网内通过私有地址假设BGP通讯呢，虽然BGP可以用在广域传输，但没有规定必 ...

1、我当然知道BGP是现在最通用的域间路由协议，所以在骨干网上才不能随便用BGP切换。切换不当就会引起路由振荡。
2、你用私有地址假设BGP通讯当然没有问题，但是骨干路由器一般也都会过滤掉私网路由，路由协议我不擅长，不知道这个问题在BGP上会怎么处理。

至于DDOS的起源，不是管理不当，而是TCP协议本身具有安全漏洞，如果要怨，找美国人去吧，谁让他们发明了这么一个漏洞百出的协议，还全世界推广。