|
看了《問綠盟黑洞》的文章好幾天了,,有點(diǎn)想法不吐不快,。前兩天正忙,現(xiàn)在閑下來了,,說說我的想法,。文章中會提到一些廠商的技術(shù),,有正有反,大家不要對號入座,,主要是希望對你們的技術(shù)提高有幫助,。我以原始的ddos的先行者syn flood來舉例說明,cc我不打算評價(jià),,因?yàn)槲艺J(rèn)為syn flood的效果遠(yuǎn)遠(yuǎn)好于cc,,而隱蔽性是cc遠(yuǎn)遠(yuǎn)達(dá)不到的。先點(diǎn)評一下關(guān)于DDoS話題方面的一些網(wǎng)友的錯誤認(rèn)識和廠商的技術(shù)弱點(diǎn),。以下如果沒有特殊指明,,ddos我指的就是syn flood這種最原始、最有效,、最簡單,、最可愛的東西。 1.只要一談?wù)揹dos想到的就是大流量,,就是無邊無際,、無際無邊的帶寬消耗戰(zhàn)。 錯了,,syn flood可不是帶寬消耗戰(zhàn),,drdos才是!那是因?yàn)閟yn flood的使用者使用不當(dāng),,才會有今天大家的錯誤認(rèn)識,。 2.天,我CPU都滿跑了,,為什么目標(biāo)機(jī)一點(diǎn)事都沒有?我用的可以Linux下開源的,、大家都害怕的,、網(wǎng)評第1的攻擊軟件呀。 檢查一下你的網(wǎng)關(guān)是不是有NAT,,如果有,。不是你的包沒出去,就是你的網(wǎng)關(guān)快陣亡了,,您趕快住手吧,。 去掉你前面的防火墻,因?yàn)榉阑饓υ谀惆l(fā)起攻擊時(shí),,最先受到損害,,更重要的是它是你財(cái)產(chǎn)的一部分。 你極有可能拿一款ether下的攻擊程序在pppoe網(wǎng)絡(luò)中使用了,,為了提高效率攻擊數(shù)據(jù)包都是自己填充的,,所以程序本身可能把數(shù)據(jù)包進(jìn)行了ether_type的二層封裝,,如果你在pppoe環(huán)境中攻擊,請自己修改源代碼改為PPPOE封裝,。否則的話,,你攻擊的不是目標(biāo)機(jī),而是在自己的房間里大小便,。要學(xué)會分析協(xié)議,,下面才是二層PPPOE封裝的正確格式: 88 64 11 00 0B D0 00 56 00 21 3.這個ddos設(shè)備沒什么了不起,用的就是syn cookie和syn proxy,。 我認(rèn)為這兩種方法是當(dāng)前最有效的解決方法,,就像攻擊者必須聯(lián)網(wǎng)才能發(fā)起攻擊一樣,這兩種措施是必做的,。如果您沒用這兩種方法就實(shí)現(xiàn)了ddos防御,,以下的內(nèi)容您就不用看了。因?yàn)槟俏乙娺^的第一牛人,,我在您面前絕對是個晚輩的,。在此就不浪費(fèi)您的寶貴時(shí)間了。如果您感覺我還可救,,給我留點(diǎn)面子傳張紙條教侮我一番吧,。 4.drdos比ddos時(shí)髦多了,可以四兩撥千斤 真不好意思,,syn ack這個數(shù)據(jù)包應(yīng)該從內(nèi)網(wǎng)口收到才對,,從外網(wǎng)口收到時(shí)直接丟掉就可以了。它浪費(fèi)的是你的寬帶而不是內(nèi)存或者大量的cpu,。 你可能會說我后面的服務(wù)器是ftp并工作在主動模式,,所以有時(shí)syn ack也是不能丟的。嗯…解決方案你自己已經(jīng)說出來了,,自己想個辦法吧,。 5.DDoS是最沒有水準(zhǔn)的攻擊類型,菜鳥才用,。 這只能說明你只是使用ddos工具的人,,而不是一個編寫ddos攻擊類程序的人。大家知道一款好的ddos攻擊軟件,,所發(fā)的包在各協(xié)議首部字段的合法范圍內(nèi)越隨機(jī)越好,。只要有一個字段該變但你沒變的,特證過濾一下子就把你干掉了,。如果攻擊包是以多播,、回環(huán)為源ip發(fā)送,我只能說攻擊者在和你開玩笑,,看看日歷確認(rèn)今天不是愚人節(jié),。 但滿足隨機(jī)就是好的攻擊軟件嗎,?喵~喵~俺家的小花貓都知道,遠(yuǎn)遠(yuǎn)不是滴,,單純發(fā)syn攻擊包就不是好的攻擊方式,。浪費(fèi)ddos設(shè)備資源的是握手的第三個ack包。但第三個包構(gòu)造上又很有講究,,舉個例子:國內(nèi)某某ddos廠商的主頁,,我小流量正常訪問時(shí)抓包,可以發(fā)現(xiàn)他沒有做syn proxy,,但當(dāng)我1000pps時(shí),,通過抓包就可以看出,他啟用syn proxy了,,并且syn cookie也隨之打開了,,你問我怎么知道的?看看它回復(fù)的syn ack包的tcp選項(xiàng)部分的變化你就明白了,。這時(shí)是他啟用防護(hù)的時(shí)機(jī),,也是它最脆弱的時(shí)候,細(xì)心的構(gòu)造一個syn包,,一個ack包,,算準(zhǔn)了它的cookie,喂給它,。喵~小花貓都知道5000pps足夠了,。我不是有意這么做的,是它在CU里叫大家?guī)兔ψ鰷y試,,我簡單的分析了一下,,是這個原理。沒叫勁,,睡覺了,,第二天具說有3000臺肉機(jī)參與了,不知是真是假,,如果沒有了解原理,你就算動用8000臺也沒用??! 這里真正的技術(shù)是推算cookie,但我在市面上找不到一款ddos攻擊軟件有這個方面的功能,,你可能會說這不就是cookie攻擊嗎,,我不這么認(rèn)為,我不會發(fā)大量的ack來消耗它的cpu資源,,我只是想鉆它算法的空子,。因?yàn)橐环Ncookie的算法就好比是一類ddos設(shè)備的指紋,,推出這個cookie的參數(shù)與運(yùn)算法則,以后遇到它的時(shí)候,,它就死定了,。當(dāng)然廠商也不傻,算cookie的參數(shù)是個很大的數(shù)并且還是在不斷變化,,但不會經(jīng)常變,,每次啟動的時(shí)候變一次就算很智能了。因?yàn)槊刻煨』ㄘ埑燥埖臅r(shí)候,,我都會便順發(fā)送一個相同的syn包給它,,它返給我的syn ack中的cookie一直都是一樣的。哈哈…如果我有耐心,,終有一天我會推出來的,,注意:這個syn包源IP是真實(shí)的,所以我能觀察到它的返回?cái)?shù)據(jù)包,,并且他根本就發(fā)現(xiàn)不了偶,。一天才一個syn包嘛。 順便問問版主,,綠盟在測試黑洞的時(shí)候,,肯定有一種攻擊軟件是他們自己寫的,針對自己的產(chǎn)品的弱點(diǎn),、軟肋,、命門、死穴,、捫門發(fā)送5000pps應(yīng)該就可以掛了,。喵~喵~喵~小花貓咽到了。 6.這個百兆ddos設(shè)備真牛呀,,百兆的線路我都D滿了,,還可以正常訪問保護(hù)的服務(wù)器 你的感嘆用錯對像了,你應(yīng)該感嘆于這條網(wǎng)線的質(zhì)量很好,,一條質(zhì)量優(yōu)秀的網(wǎng)線,,百兆千兆的確都可以跑起來呀。另外一個設(shè)備適用于百兆還是千兆環(huán)境的瓶頸,,你沒有弄清楚,。我用82559網(wǎng)卡,我的算法再好也不可能你把百兆線路D滿了,,后面的服務(wù)器你還可以訪問,。你的這種情況,我可以很負(fù)責(zé)任的告訴你,這個外表百兆ddos設(shè)備實(shí)際采用了千兆平臺和千兆網(wǎng)卡,,而流量的瓶頸在你測試中的其它結(jié)點(diǎn)上,。僅此而己。 7.我們的算法不對syn包做回追處理,,所以你的下行帶寬沒有被浪費(fèi),。 這話也說的出口,真汗,!小花貓甩甩尾巴跑去喝水了,。你把10kpps的發(fā)包器真接插在百兆ddos設(shè)備上面試一下,看看是回復(fù)syn ack時(shí)CPU使用率高,,還是只接受syn包不回復(fù)時(shí)CPU占用率高,。告訴你,后者的cpu占用率更高一些,。為什么呢,?因?yàn)槲一貜?fù)syn ack時(shí)也是一種另類的保護(hù)策略,在局域網(wǎng)中,,攻擊者發(fā)的數(shù)據(jù)包也必須依照沖突檢測載波監(jiān)聽的方式來發(fā)送攻擊包,,如果你回復(fù)等量的syn ack也就是在堵攻擊者的嘴,他發(fā)包的速度會成倍的減下來,。這意味這什么,?意味著你用你的下行帶寬換來了上行帶寬,這么好的機(jī)會你為什么要放棄,?這就好像一群人在用磚頭拍你,,拍的你上串下蹦,左躲右閃,,累的你呼吃帶喘,,你心里還在想我TM怎么這么聰明呀,沒有回拍他們,,節(jié)約了不少力氣,,所以現(xiàn)在身行才能如此敏捷。 8.你看我們的設(shè)備連IP地址都沒有,,可以實(shí)現(xiàn)網(wǎng)絡(luò)隱身,,所以很安全 幸好小花貓不在身邊,否則還不得被嗆個半死呀,。這個因果關(guān)系也說的出來,?那我是不是可以說工作在橋模式下的設(shè)備都很安全?這是我見過的最大的拿缺點(diǎn)當(dāng)優(yōu)點(diǎn)忽憂人的說詞,。你把IP地址給我設(shè)上,我為什么要網(wǎng)絡(luò)隱身啊,我光明正大,!你不是防ddos攻擊嗎,?你自己的ip為什么不敢暴露在公網(wǎng)上提供http管理控制?廠商會找出各種的手段來忽憂你,,以下是最常見的托詞:設(shè)置管理IP地址當(dāng)然可以了,,但要從另外的一個網(wǎng)口專門引出來,并且我們不對管理網(wǎng)口做防護(hù),,因?yàn)檫@樣會增加我們系統(tǒng)的負(fù)載呀,。呀~~呀~~呀~~,回想起測試性能的時(shí)候他們好像說自己的算法很牛,,什么國際領(lǐng)先啦,,什么可以抵御所有未知的ddos攻擊啦,什么算法CPU零負(fù)載啦,,什么指紋啦,,什么單向數(shù)據(jù)包一次檢測啦,什么身份證啦,、什么syn包實(shí)名制啦,、什么暫住證啦….什么這個,什么那個了,,你都這么強(qiáng)了,,暴露一下嘛。 不想做過多技術(shù)分析,,主機(jī)型syn proxy syn cookie和網(wǎng)關(guān)型syn proxy syn cookie的難度不是一個數(shù)量級,,原因是廠家為了效率把syn proxy syn cookie都在驅(qū)動層實(shí)現(xiàn)了,你叫他們把數(shù)據(jù)包上送到系統(tǒng)的TCP/IP協(xié)議棧給系統(tǒng)自身,,真的是很難為他們,。但你實(shí)現(xiàn)不了可以直說,忽憂我家小花貓就不厚道了,。 9.我們的設(shè)備是透明接入,,不會修改你的拓?fù)?/b> 嗯…這要看你對透明接入的了解程度了,我翻了翻所有ddos廠商的手冊,,吃驚的發(fā)現(xiàn),,都是一個模子,不知是誰抄誰的,。上畫三張用戶常用拓?fù)?,一個保護(hù)服務(wù)器、一個保護(hù)防火墻,,一個保護(hù)網(wǎng)絡(luò),,就認(rèn)為自己可以全透明接入了?下面這張圖你能透明接入嗎?內(nèi)網(wǎng)為三個VLAN網(wǎng)段,,服務(wù)器放在VLAN2中,,每個網(wǎng)段互相訪問都必須通過防火墻內(nèi)網(wǎng)口的三個對應(yīng)VLAN網(wǎng)卡(各網(wǎng)段默認(rèn)網(wǎng)關(guān)),防火墻通過DNAT后對外映射VLAN2網(wǎng)段服務(wù)器,。我的要求是即要求你防外網(wǎng)的ddos還要你防止內(nèi)網(wǎng)對VLAN2的ddos,,敢問您,您打算怎么個透明進(jìn)入法,? 1) 透明接入在防火墻外網(wǎng)口,? 2) 透明接入在防火墻內(nèi)網(wǎng)口? 你八成會修改我的拓?fù)?,把VLAN2轉(zhuǎn)到DMZ,,然后透明接入在防火墻DMZ網(wǎng)口上 外網(wǎng) | 防火墻 | |交換機(jī)trunk口 | switch | | | VLAN 1 VLAN2 VLAN3 10.利用超時(shí)重傳來判斷syn包是否合法 這種方法是相當(dāng)?shù)挠行О。h(yuǎn)處傳來小花貓的聲音:“給它在三秒鐘之內(nèi)發(fā)第二個syn包” 11.可能您感覺本文寫的不錯,,但要轉(zhuǎn)載的時(shí)候,,請注明原作者是skipjack,僅些而己,,謝謝了 很不幸,,年初時(shí)給國家某某一級刊物投稿,先開始寫了8000字,,后來叫我一刪再刪,,刪了再刪,圖是左減一個,,右減一個,,上減一個,下減一個,,前減一個,,后減一個。本來是一個從淺入深的分析過程,,后來成了個半調(diào)子,,沒幾個人可以讀懂了。稿費(fèi)匯給我時(shí),,我都快哭了,,4000多字才給俺103元,從郵局走出來的時(shí)候,,手里握著這103元錢,,心里想:“今兒中午我是請老婆吃飯呢,還是請小花貓吃飯呢,?”,。 2006-4-6 23:33 skipjack 備注: 2006-4-9 22:02 1)修改原文,去掉筆誤(一處)與錯別字(兩處) xiyang網(wǎng)友說我文章中有"憤青"言語和人身攻擊詞匯,我把我認(rèn)為是的去掉了.在此表示謙意. 2)我不是做ddos產(chǎn)品的,所以我寫文章這么大膽,否則我不是自己砸自己飯碗嘛? 3)我的身份大家不要猜了,我不是綠盟 天融信 金盾 神州盾 dosnipe的人(排名不分先后) |
|
|
