对国内ddos厂商技术点评

skipjack

原帖由 www_ftp 于 2006-4-9 01:10 发表

我的概率不好，只是实现测中没有发现有碰撞上的。在一个缓冲单元中，有2^32中可能，只有3秒的时间有机会，况且没有成功连接时这样探测，这个IP就能自动阻止一段时间。

没碰撞上算你走运
并且我又发现你算法的一个问题，连接的4元组信息那里去了？见到返回的ack包，你不会只看seq值吧？4元组信息不会也被你压缩在这450W*2的空间里了吧？
看第9个问题，不聊cookie的问题了。呵呵......

www_ftp

原帖由 skipjack 于 2006-4-9 01:06 发表
呵呵...不在cookie上较真了，来点更实际的吧，你看我贴子上的第9个问题。发现你们的设备有什么不对劲了吗？抗ddos产品不是不能透明接入，在不改变拓扑的情况下只能接在trunk口上。我看了你们产品的说明书，现在你 ...

可以看的出，你对这个是有比较深的研究，也都是在设计抗ddos时需要认真考虑的问题。任何产品都有缺陷，只有不断的完善才能最终成为好的产品。抗ddos这东西，不象别的东西，技巧性比较强。个人认为做抗ddos比做普通防火墙难的多，因为关键时候需要生死较量。我们尊重每个抗ddos厂商，大家都为此付出了太多，因为抗ddos不象普通硬防包iptable等包装好了就行了，对付每种攻击都需要开发代码。

skipjack

原帖由 www_ftp 于 2006-4-9 01:22 发表

可以看的出，你对这个是有比较深的研究，也都是在设计抗ddos时需要认真考虑的问题。任何产品都有缺陷，只有不断的完善才能最终成为好的产品。抗ddos这东西，不象别的东西，技巧性比较强。个人认为做抗ddos比做普 ...

呵呵...谢谢
那我也就直言了，我觉的第9个问题，至少应该引起你们厂商的重视，因为如果你适应不了这种环境，会被内网反射回来的syn包射死。虽然可以避免这种拓扑，但感觉会被人精心利用。不说的太直白，希望你们能发现这里面的问题。

www_ftp

原帖由 skipjack 于 2006-4-9 01:06 发表
呵呵...不在cookie上较真了，来点更实际的吧，你看我贴子上的第9个问题。发现你们的设备有什么不对劲了吗？抗ddos产品不是不能透明接入，在不改变拓扑的情况下只能接在trunk口上。我看了你们产品的说明书，现在你 ...

我没有看明白，我们的硬防支持trunk接入，能正确识别vlan信息。只是如果接到vlan2上，这样到是能达到保护服务器的目的，可是前边防火墙很容易被ddos死。就象你说的把他放到DMZ区，vlan1一样能ddosDMZ服务器，这时防火墙第一个死。当然如果这个防火墙是我们的，我们可以定做这种直接功能的硬防，抗ddos系统与防火墙集成的这种性能可能不太好。

skipjack

原帖由 www_ftp 于 2006-4-9 01:35 发表

我没有看明白，我们的硬防支持trunk接入，能正确识别vlan信息。只是如果接到vlan2上，这样到是能达到保护服务器的目的，可是前边防火墙很容易被ddos死。就象你说的把他放到DMZ区，vlan1一样能ddosDMZ服务器，这 ...

不要把防火墙想的那么弱，否则我会急滴。你的设备在强，在百兆设备上也必须用千兆网卡，是吧？（参看我主贴的问题6）
你把ddos设备放在trunk口上，去做trunk应用当然不会有难度，但你的设备和防火墙不一样，防火墙处理VLAN数据包是靠VLAN虚网卡处理，而你的设备不同，是自己解封VLAN数据包，我说的对吧？因为你的产品手册里我没看到设置VLAN的步骤。
难点在于：从你设备内网进入的数据包，你做状态追踪吗？

www_ftp

原帖由 skipjack 于 2006-4-9 01:31 发表


呵呵...谢谢
那我也就直言了，我觉的第9个问题，至少应该引起你们厂商的重视，因为如果你适应不了这种环境，会被内网反射回来的syn包射死。虽然可以避免这种拓扑，但感觉会被人精心利用。不说的太直白，希望 ...

多谢你提的建议，多交流。我们会考虑这种问题的。最好不要用这种结构，对外服务器在内网中，如果被控制了比较危险。相对安全的是结构是：互联网--抗ddos-硬防--WEB服务器--硬防---内网这种双堡垒式的，当然造价高的多。折中的是：互联网---抗ddos--硬防----内网
                                 |
                                               WEB服务器
这个DMZ区的。

www_ftp

原帖由 skipjack 于 2006-4-9 01:43 发表


不要把防火墙想的那么弱，否则我会急滴。你的设备在强，在百兆设备上也必须用千兆网卡，是吧？（参看我主贴的问题6）
你把ddos设备放在trunk口上，去做trunk应用当然不会有难度，但你的设备和防火墙不一样， ...

什么样的设备就做什么样的事情，大集成着只能用在小企业中。我们的设备也跟踪状态，只是都是为抗ddos服务器，功能没防火墙强，但效率一定得高。这两种产品都有存在的道理，可能有做的好的防火墙，可是我测过的防火墙抗ddos都比较差，一是只限于syn flood的，范围太小。二是处理能力有限，测的比较好的是64 syn killer发的包，100M下最高到7W就挺不了了。三是扩展不好，因为他还要与防火墙本身的功能协调，很难为以后新型ddos攻击扩展。

skipjack

原帖由 www_ftp 于 2006-4-9 01:44 发表

多谢你提的建议，多交流。我们会考虑这种问题的。最好不要用这种结构，对外服务器在内网中，如果被控制了比较危险。相对安全的是结构是：互联网--抗ddos-硬防--WEB服务器--硬防---内网这种双堡垒式的，当然造价 ...

我的意思是说，因为你们总是感觉ddos发生在外网口，就会无条件放行所有内网的数据包，但你不要忘了，有一种拓扑，内网的数据包会从外网折回来。在防火墙上这种情况叫syn包的二次穿越，只要是桥都有这个问题。但防火墙很好解决，因为有状态表，你的ddos也有，但很轻量，并且主要还是用于syn proxy用的，所以对内网的syn就会忽略做状态，一不留神会死在它手里。也可能我不太了解你们的产品，但ddos设备是严格区分内外网口的，我想意义就在这里吧。

skipjack

原帖由 www_ftp 于 2006-4-9 01:54 发表

什么样的设备就做什么样的事情，大集成着只能用在小企业中。我们的设备也跟踪状态，只是都是为抗ddos服务器，功能没防火墙强，但效率一定得高。这两种产品都有存在的道理，可能有做的好的防火墙，可是我测过的防 ...

你们的百兆设备能防到几万？

skipjack

注意那条红线，前面也不一定是防火墙，但我对防火墙熟悉，所以就用它了，如果你感觉防火墙会在ddos时死掉，你可以把它替换成有NAT功能的路由器

蓝色线是外网对服务器的访问路线，syn包一次穿越
红线是内网对服务器的访问路线，syn包二次穿越

还有一个隐含的难点：
如图，我只保护VLAN2中的两台服务器(ftp、www)，而不包含192.168.20.22那台主机，此时
如果蓝、红两路访问192.168.20.22，而你的ddos上如果只有两条如图所示的规则，则：

对于蓝色线路，你要拒绝
对于红色线路，你要接受

[ 本帖最后由 skipjack 于 2006-4-9 02:19 编辑 ]