对国内ddos厂商技术点评

skipjack

原帖由 qintel 于 2006-4-9 21:18 发表
我的水平是极低的，但不我忽悠人，有一说一，有二说二，最烦这些故意装高深的，写文没一点逻辑故意装高深吓人的。最最看不起这种人。

大家不要人身攻击
讨论技术就可以了,当然你可能感觉本贴没什么技术可以讨论了
世上没有人一无是处 (除了你女朋友或老婆的前任男朋友)
zjzf_1以他现在的年龄而言,水平已经相当不错了.

qintel

原帖由 skipjack 于 2006-4-9 21:56 发表


大家不要人身攻击
讨论技术就可以了,当然你可能感觉本贴没什么技术可以讨论了
世上没有人一无是处 (除了你女朋友或老婆的前任男朋友)
zjzf_1以他现在的年龄而言,水平已经相当不错了.

说得是，看得出他是有一些技术的，但做人是首位的，如果他认为你的文是扯淡，为什么不拿技术出来论证，光说些与技术无关的话，一看就知道他心虚，说不出来，而他明知道自己技术这块不如你，不服输，还要借其它与技术无关的东西攻击你，这样做人，是不好的。

相对你的态度，看看他的，
以下为引用zjzf_1的原话。

如果真的要我给一个评价  ---->  skipjack比较适合幼师工作。



顺便质疑斑竹的能力 skipjack 这种文章怎么能给他加精 是不是因为字数多呀？

还是因为skipjack 的猫 和 ayazero 的龙猫是近亲。

再问问 skipjack   投的是哪个一级刊物  我高二在硅谷动力写了一千字就有一百二十多元了。你写了8000字还有图才给你100多

是不是回收纸的钱呀?

还有skipjack   不管是从文章 还是文章的题目  都把我的ID:zjzf_1放在最前面的位置

难道你就这么崇拜我? 下次给你签个名

[ 本帖最后由 qintel 于 2006-4-9 22:05 编辑 ]

switchtdh

呵呵 高手!!!

数通行业的兄弟 也来凑个热闹!!!

cnadl

原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线，前面也不一定是防火墙，但我对防火墙熟悉，所以就用它了，如果你感觉防火墙会在ddos时死掉，你可以把它替换成有NAT功能的路由器

蓝色线是外网对服务器的访问路线，syn包一次穿越
红线是内网对服 ...

关于 No.9，为什么一定要指定防护内网、而不能转移到DMZ呢。将对外提供服务的和不对外提供服务的混淆在一起，这本身就是安全隐患。

东西是一样的，偏要用最别扭的用法，并不见得是好事情。

shellboy

好精彩

skipjack

原帖由 cnadl 于 2006-4-10 00:22 发表


关于 No.9，为什么一定要指定防护内网、而不能转移到DMZ呢。将对外提供服务的和不对外提供服务的混淆在一起，这本身就是安全隐患。

东西是一样的，偏要用最别扭的用法，并不见得是好事情。

别扭也就算了，最字还是不要加了吧！这种拓扑太常见了，本来ddos设备就不是防火墙，它对服务器的位置也就没有防火墙敏感。我的本意你还没有解理，但我感觉我描述的已经很清楚了。
1)No.9所要描述的是桥设备都要特殊处理的情况，即然厂商把透明当特点，我当然就试图驳一下。
2)ddos设备在syn包第二次穿越时，依然要把它看成是内部数据包，这点对防火墙来说不难，对它就未必了。
3)ddos设备无权对数据的通过还是丢弃做裁决，这本来就是上层防火墙的值责，ddos设备厂商总认为自己在出口的最外面，这是不正确的，有时防火墙在你的上游而不是下游。
4)ddos对规则中没有指定的服务器访问，是丢弃还是放行，要看连接发起的方向，而不是syn包进入的网卡位置。君不见ddos设备上醒目的网口属性标识吗？如果这是判断syn包来源的依据未免就太幼稚了点吧。

[ 本帖最后由 skipjack 于 2006-4-10 10:40 编辑 ]

cnadl

原帖由 skipjack 于 2006-4-10 09:42 发表


别扭也就算了，最字还是不要加了吧！这种拓扑太常见了，本来ddos设备就不是防火墙，它对服务器的位置也就没有防火墙敏感。我的本意你还没有解理，但我感觉我描述的已经很清楚了。
1)No.9所要描述的是桥设备都 ...

别的不说，ddos的目标是对外提供服务的设备吧。不对外提供服务，为什么要保护呢（即图中左右两个vlan）。

如果一定要强调说这样就是改变拓扑了，那只能说原来的拓扑就是不合理的，需要改变。

此外，未必什么责任都要压倒ddos设备上来，禁止syn二次穿越最简单的方法就是禁止左右vlan访问中间vlan。

从实践角度的一点陋见，望考虑。

skipjack

原帖由 cnadl 于 2006-4-10 11:58 发表


别的不说，ddos的目标是对外提供服务的设备吧。不对外提供服务，为什么要保护呢（即图中左右两个vlan）。

如果一定要强调说这样就是改变拓扑了，那只能说原来的拓扑就是不合理的，需要改变。

此外，未必 ...

好，听你的，我把蓝色线去掉，防火墙现在不对外提供服务了。OK？
我的访问控制在防火墙上做，这一点你不会反对吧？否则我要防火墙做什么？
VLAN1与VLAN2之间的访问如果防火墙是放行的，则你的ddos设备就应该是直通的对吧？我的本意就是希望你不对VLAN1和VLAN2做保护。但你ddos设备上没有指定到1、2VLAN的防护规则，通常会被drop掉。哈...现在内网不通了。

cnadl

原帖由 skipjack 于 2006-4-10 12:12 发表


好，听你的，我把蓝色线去掉，防火墙现在不对外提供服务了。OK？
我的访问控制在防火墙上做，这一点你不会反对吧？否则我要防火墙做什么？
VLAN1与VLAN2之间的访问如果防火墙是放行的，则你的ddos设备就应该 ...

为什么要去掉兰色线呢？是我的表达有问题么？

这种拓扑应该在防火墙上禁止的是红色流量。

也就是说：
要么使用DMZ区、双防火墙或者非统一路径访问等等改变拓扑设计的方案；
要么维持拓扑不变，那么防火墙同一接口下的设备应当具有同一安全等级，换句话说，信任内网所有机器，对vlan10和vlan30到vlan20的访问不应当限制。


此外我觉得有一些概念要澄清一下：

一般路由功能都是在交换机上作，而不是防火墙上；
通常从业务上来讲，vlan10和vlan30的机器没有必要使用vlan20对外所提供的服务；
如果企业的关键业务平台对内对外都是统一的，那最安全的方式是对vlan10和vlan30开放另一条出口线路，同时对vlan20做物理隔离；
如果不能提供满足安全级别的条件，那么错误并不在ddos产品上。

最后，我不是厂家的人，我只是说我对安全的理解而已，并非替他们辩解什么。

cnadl

原帖由 skipjack 于 2006-4-9 02:11 发表
注意那条红线，前面也不一定是防火墙，但我对防火墙熟悉，所以就用它了，如果你感觉防火墙会在ddos时死掉，你可以把它替换成有NAT功能的路由器

蓝色线是外网对服务器的访问路线，syn包一次穿越
红线是内网对服 ...

其实这个图最像的不是企业正常情况，而是一台整合了anti-ddos的交换机

最下面是交换引擎，最上面是路由引擎，中间是anti-ddos的module。

这个时候的实现，主要就是看anti-ddos的module上面能有多少个虚拟接口和能分出多少个独立实例了，单单一接口一实例就会出问题。

其他一些比如ddos模块是置于路由引擎上方还是下方、流量先流经哪个引擎接口等等和我们的话题没什么直接关系，不谈了。
——发散了一下。