对国内ddos厂商技术点评

www_ftp

原帖由 skipjack 于 2006-4-9 02:01 发表


你们的百兆设备能防到几万？

syn killer 64包 到14W/秒。

skipjack

原帖由 www_ftp 于 2006-4-9 02:11 发表

syn killer 64包 到14W/秒。

14万的包你都能收到，不丢包？你的网卡芯片是什么类型？

www_ftp

你说的结构是存在的，也是现实的，我们遇到过。这种结构我们的抗ddos系统是安全的不会被D死。你的担心是对的，如果简单使用 源ip +源端口+目的ip+目的端口建立连接的话，会因为重复建立多个连接把抗ddos拖死。我们的进行了优化，象这样情况会自动合并多连接的，在新建连接时hash查找相关连接功能。所以不会发生你说的这种情况。感兴趣的话，可以找我们的产品测试。。。

www_ftp

原帖由 skipjack 于 2006-4-9 02:20 发表


14万的包你都能收到，不丢包？你的网卡芯片是什么类型？

因我们的设备全都是1000M网卡，intel 82546吧，一个包都不丢包我不敢保证。新建连接能99%以上都成功，用telnet IE ssh ftp都是这样的。

skipjack

原帖由 www_ftp 于 2006-4-9 02:25 发表
你说的结构是存在的，也是现实的，我们遇到过。这种结构我们的抗ddos系统是安全的不会被D死。你的担心是对的，如果简单使用 源ip +源端口+目的ip+目的端口建立连接的话，会因为重复建立多个连接把抗ddos拖死。我们 ...

呵呵...我的图画的不错吧
必须去睡觉了，虽然现在还没有什么睡意，最后问两个问题
1.你怎么知道你收到14W个数据包并且没有丢包呢？
2.你的产品不错，感觉到了，呵呵...不知你是研发还是设计？你的每秒建立连接率能达到多少？

skipjack

原帖由 www_ftp 于 2006-4-9 02:30 发表

因我们的设备全都是1000M网卡，intel 82546吧，一个包都不丢包我不敢保证。新建连接能99%以上都成功，用telnet IE ssh ftp都是这样的。

倒～千兆平台＋千兆网卡，14W这是当然的了。你说的人家防7W的产品用的是百兆芯片吧。

www_ftp

原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线，前面也不一定是防火墙，但我对防火墙熟悉，所以就用它了，如果你感觉防火墙会在ddos时死掉，你可以把它替换成有NAT功能的路由器

蓝色线是外网对服务器的访问路线，syn包一次穿越
红线是内网对服 ...

对于是否保护一台服务器，你可以指定的，如果不想保护，加于不保护队列服务器列表中就是了。
如果想拒绝一个IP对服务器的访问，加于黑名单就行了。
这些实现都是hash+静态连表做的，效率大可放心。

skipjack

原帖由 www_ftp 于 2006-4-9 02:37 发表

对于是否保护一台服务器，你可以指定的，如果不想保护，加于不保护队列服务器列表中就是了。
如果想拒绝一个IP对服务器的访问，加于黑名单就行了。
这些实现都是hash+静态连表做的，效率大可放心。

你没仔细看图，规则中就指定两台服务器，但对两路访问192.168.20.22的结果是相反的
对于蓝色线路要拒绝
对于红色线路要接受
不用问我为什么这么怪吧，因为你不这么实现就不对了。仔细想想

www_ftp

原帖由 skipjack 于 2006-4-9 02:36 发表
倒～千兆平台＋千兆网卡，14W这是当然的了。你说的人家防7W的产品用的是百兆芯片吧。

没办法，这就是100M产品呀，只是配置高些。

skipjack

原帖由 www_ftp 于 2006-4-9 02:49 发表


没办法，这就是100M产品呀，只是配置高些。

所以懂行的人,根本不会去买什么千兆ddos设备
百兆设备用千兆平台,性价比很高滴,哈哈......不知我说的对不对.
:em11: