血色眼泪

或许很多公司都吹嘘自己的抗DDOS防火墙有多强大

实际上

那种所谓的DDOS是分布式拒绝服务的含义

什么叫做拒绝服务

顾名思义

想办法让您无法向别人提供正常的服务

包括干扰

阻塞

通常拒绝服务的手法是阻塞

因为干扰正常运行的难度相对较大

分布式拒绝服务就是分散式的阻塞攻击

那么那些自称非常牛X的的防火墙又是如何来实现所谓的防火墙又是如何实现对这些分散式的阻塞实现防护的呢

事实上

并没有任何防火墙能有效的对阻塞实施防护

而是在早期所谓的DDOS(分布式拒绝服务)是属于干扰型的拒绝服务

通过大家熟知的TCP三握手的方式

来实现干扰

具体方式如下

A系统(黑客控制的攻击傀儡机器)

向

B系统(遭受DDOS攻击的系统)

发送带有虚假源地址(C)的syn包(请求链接的包)

此时B系统将回复C进行确认

而实际上C可能无法到达

此时B系统将会消耗固定的时间去等待

并且重新回复确认

在这个过程中

B系统将浪费大量的CPU时间片

由于这种干扰数据包数额十分可观

结果B系统将最终因为大量的虚假数据包的资源开销

而无法正常的提供服务

这种现象在早期的网络中极为普遍

由于当时情况下的服务器性能相对低下

在这个时候

某种替代B系统进行链接确认的设备(软件)出现了

它们优化了确认过程中的算法和资源开销

使用更面向硬件的语言开发

同样的CPU时间片可以处理更大的吞吐量

并且智能的丢弃了部分不合理的虚假数据包

因此他们减少了B系统的负担

有效的防护了B系统

但是随着时间的变迁和市场环境的改变

几乎所有的IDC(服务器托管商)都提供了类似的系统(硬件)

同时个人电脑的数量飞快的上升

电脑用户的程度不断的下降

黑客可以操纵的傀儡系统也逐步上升

从最初的数十台到现在的以万计的傀儡机

很快

网络攻击的格局开始变化

从早前的虚假数据包开始变为真实的链接或者纯粹的流量

由于链接是真实有效

所以可以绕过这类设备对服务器实行大规模的资源消耗

有些时候

黑客们不花多少力气

就可以向B系统建立起百万计的连接

此时的防火墙的资源开销

仅仅只有寥寥无几的10%左右

很显然成了又瞎又聋的猫

使用纯粹流量的攻击可以很快的消耗掉机房的宽带

很多情况下所谓的防火墙已经成为装饰

普通机房经常配备2.5G~25G的带宽

而黑客们可以轻松的送出该数额数倍的流量

经常最终导致网络无法访问的是链路中的线路被阻塞

或者路由器无法承受如此庞大的报文群瘫痪

使通向B系统的通路中断

而最终导致B系统无法提供正常的服务

血色眼泪

以下方式的技术细节请垂询技术人员

此处不提供详细的过程

1.DNS欺骗

分布式拒绝服务实施中存在着有个技术难题

也就是究竟是通过域名做为攻击目标呢

还是直接攻击IP

通常情况下大家为了防止被攻击者更换IP

经常选用直接使用域名做为攻击目标

攻击软件基本上只会向最早得到的IP发送数据

DNS欺骗可以有效的缓解这种攻击方式给您带来的麻烦

如"绿盟"也采用了这套技术

通过查询DNS得到他们的IP地址将有多个

只有其中某个才是正确的IP地址

这种情况下攻击者将会十分苦恼和难堪

事实上您可以将首IP报中的IP地址指向当地公安,电信,政府网站

或者gov.cn

此时我想我们的公安机关会为您出这口恶气

2.分布式服务

既然是分布是拒绝服务

我们也可以采取分布式服务的方式

由于服务分布式以后

攻击者很难寻找到攻击的焦点

即便是某个机房遭受到极为强烈的攻击

由于其他机房安然无恙

自然的您的网站依然可以展现在大家的面前

其中CDN就是此类技术的代表

通过使用高度优化的缓存软件

你可以发现

事实上服务器处理连接的开销完全小于用户建立链接的开销

当然这项技术也可以避免同机房内某个系统遭受剧烈攻击时因为带宽被大量消耗的"连坐"之苦

walkerxk

理论上是可以做出非常牛X的抗DDOS防火墙的，其实只要判断是否属于恶意连接就可以，不过这个基本上需要人的智商，不知道现在电脑的AI是多少。估计这个成本会比特地雇佣一个人专门负责这块花费还要大。

血色眼泪

尽可能多的使用不同公司的DNS来解析您的域名

实际上"财大气粗"的黑客已经不在意被攻击者的网络状况

转而直接攻击为您域名提供解析服务的系统

这时如果您只使用独家公司去解析您的域名的话

很可能成就了那些黑客们的懒惰

其次就是勇于报案

绝不妥协

否则的话对方的气焰会越来越盛

最终吃亏的还将会是您

血色眼泪

引用:

下面是引用walkerxk于2006-11-14 16:23发表的Re:揭开抗DDOS防火墙的神秘面纱-另类SK-II的神话-教你打造稳定高抗性网络(编辑中:
理论上是可以做出非常牛X的抗DDOS防火墙的，其实只要判断是否属于恶意连接就可以，不过这个基本上需要人的智商，不知道现在电脑的AI是多少。估计这个成本会比特地雇佣一个人专门负责这块花费还要大。

实际上人的智商也不够啊

但是事实上即使硬件抗拒绝服务防火墙术再先进再突破

随着时间的发展

也将变为历史

现在可以说硬件抗拒绝服务防火墙的老年期已经到了

walkerxk

引用:

下面是引用血色眼泪于2006-11-14 16:31发表的Re:Re:揭开抗DDOS防火墙的神秘面纱-另类SK-II的神话-教你打造稳定高抗性网络(编辑中:


实际上人的智商也不够啊

群众的力量是够的，其实如果真的这样的话就变成了比人数，和打群架差不多了。

血色眼泪

引用:

下面是引用walkerxk于2006-11-14 16:33发表的Re:Re:Re:揭开抗DDOS防火墙的神秘面纱-另类SK-II的神话-教你打造稳定高抗性网络(编辑中:

群众的力量是够的，其实如果真的这样的话就变成了比人数，和打群架差不多了。

问题是这种信任如何建立

依据有是什么

其次就是这种信任如何能做到不被滥用

防护DDOS本身就属于打群架

谁能打

谁人多是非常重要

同时也要协调好这么多人这么去打

红色小魔鬼

人都很可能误判是否是正常连接的。
关键在于多少的误判率，
是否可以接受这样的误判率。
理论上还是很难找到这样的依据的。

wenx

强烈支持 原来是这么回事呀 刚刚明白 谢谢

chaak0910

dns那个我听说过     很厉害的   .......还有....