对国内ddos厂商技术点评

GunKing

精彩~~！！！忍不住赞一个~~！！
麻烦AYA在适当的时候把我的回复DEL掉
以免打乱高手过招的连续性：）

zjzf_1

支持vlan trunk小学生都会搞

我实现vlan trunk的支持 只用了20多分钟就加好了  真他妈的简单

skipjack

原帖由 zjzf_1 于 2006-4-9 11:44 发表
支持vlan trunk小学生都会搞

我实现vlan trunk的支持 只用了20多分钟就加好了  真他妈的简单

指针多移4个字节就可以了是吧,用的了20还多分钟吗?20秒不到就应该OK了吧?

www_ftp

原帖由 skipjack 于 2006-4-9 11:06 发表


所以懂行的人,根本不会去买什么千兆ddos设备
百兆设备用千兆平台,性价比很高滴,哈哈......不知我说的对不对.
:em11:

因为1000M与100M平台在硬件上价钱差别不是很大,一般都用1000M代替100M平台.当然100M产品可能在软件上做了限制,使其不能用在1000M上,如限了syn每秒的处理包数,多了就丢掉或限速.

skipjack

原帖由 www_ftp 于 2006-4-9 12:57 发表

因为1000M与100M平台在硬件上价钱差别不是很大,一般都用1000M代替100M平台.当然100M产品可能在软件上做了限制,使其不能用在1000M上,如限了syn每秒的处理包数,多了就丢掉或限速.

喜欢老实人,这是一般厂商的策略
经手过一个设备,我已经判断出它的百兆设备是82540了,但测试仪和它协商就是不能正确协商出千兆全双工.哈哈...如果能协商出来,我肯定第一个买下来.

www_ftp

原帖由 skipjack 于 2006-4-9 13:07 发表


喜欢老实人,这是一般厂商的策略
经手过一个设备,我已经判断出它的百兆设备是82540了,但测试仪和它协商就是不能正确协商出千兆全双工.哈哈...如果能协商出来,我肯定第一个买下来.

去掉强制100M,不过不建议对厂商的设备进行改造,可能带来可怕的后果.加密是多种多样的,不一定能完成清除.

skipjack

原帖由 www_ftp 于 2006-4-9 13:54 发表

去掉强制100M,不过不建议对厂商的设备进行改造,可能带来可怕的后果.加密是多种多样的,不一定能完成清除.

如果我去掉你设备的100M限制,你的防盗版功能不会叫你的设备调炮往里揍吧?
那底是粉可怕的呀,呵呵....ddos设备没准会成为直连服务器的攻击器

zero-B

看到了看到了，不过没看懂

qintel

原帖由 zjzf_1 于 2006-4-9 11:44 发表
支持vlan trunk小学生都会搞

我实现vlan trunk的支持 只用了20多分钟就加好了  真他妈的简单

老大，别在这装了，明眼人一看就知道了谁高谁低了，识相点吧。
看看您的两个精华都是什么东西吧，

---------------------------------之一--------------------------------------------------------------
pf的synproxy 实现在nat 上
这可不是 个好的选择    低效呀   而且要改变网络拓扑

我粗略的看了看pf  发表点看法  不当之处希望高手指出

pf对每一个连接要用struct pf_state这个数据结构保存连接状态

pf通过调用RB_FIND RB_INSETR... ...完成对连接状态表的操作(openbsd/src/sys/tree.h)

这是一个树形结构好像叫什么red-black trees

我要说的是 我觉得 对防火墙这种 实时要求比较高的东西上 我觉得这种做法不是很妥当   我建议用hash 分段  来处理这个问题
以上两点 我个人认为 是pf synproxy 不怎么样的关键原因
我个人实在ethernet bridge上面实现的 效果还不错哈  已经有产品出了
[/code]
----------------------------之二----------------------------------------------------------------------------------------
近来经常听到圈子里的朋友跟我提到CC这种攻击

见不到虚假ip
见不到特别大的流量
但无法进行正常连接
传说一条adsl 足以搞掂一台高性能服务器
据可靠消息 重庆电信的很多游戏服务器虽在黑洞之下但饱受CC之苦

本人只是耳闻并没有机会亲历
我在google搜索
CC相关内容很少
XFOCUS给出了一个什么CCsource作者是bigboyq
这里是他的blog http://blog.n-ku.com/blog.asp?name=bigboyq

我粗略的看了下CCsource这个东西
他的基本原理就是 攻击发起主机(attacker host) 多次通过 网络中的HTTP代理服务器(HTTP proxy)  向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主

机拒绝服务( Denial of Service )

这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service )
与典型的分布式拒绝服务攻击不同 攻击者不需要去寻找大量的傀儡机 代理服务器充当了这个角色

bigboyq针对自己的CC提出了解决办法我引述原文:
"对于HTTP请求可以使用COOKIE和SESSION认证来判断是否是CC的请求页面，防止多代理的访问请求，而且CC通过代理攻击，代理在转发数据的时候会向HTTP服务器提交一个x-

forward-ip（好像是，这就是为什么我们有时使用了代理，对方服务器一样知道我们的真实IP）这样也是一个非常好的判断方法，因为网络上的代理虽然多，但是大部分都是非匿

名的，就是说会发送x-forward-ip的代理。"

简单的说bigboyq的这个CC攻击器的实现 可以通过特征过滤的办法 有效的解决

####我所听说的案例大部分都是游戏服务器,没有WEB服务的。但据攻击发起者宣称使用了CC。(接受wstest  的意见把这里改下)
####我提到我对CC的攻击案例也只是耳闻,不过我觉得这种攻击方式也就是利用proxy充当傀儡机是种不错的想法而且不应该只局限于对web的攻击我没有鼓励攻击之意只是就技术论技术


这说明这些案例中攻击者使用的CC并不是bigboyq写的CC,但据我个人估计很可能CC攻击都是用了同样的原理。
借助的可能是SOCKS5 proxy或者SOCK4 proxy。

这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数。造成拒绝服务。

例如很多apache连接数不过是512或者1024这是很容易造成DOS。


本贴意在抛砖引玉 希望行家们提供更准确地信息 揭开CC神秘的面纱

[ 本帖最后由 qintel 于 2006-4-9 22:36 编辑 ]

qintel

我的水平是极低的，但不我忽悠人，有一说一，有二说二，最烦这些故意装高深的，写文没一点逻辑故意装高深吓人的。最最看不起这种人。