全球主机交流论坛

标题: 实现抗DDOS攻击的美国VPS思路 [打印本页]
作者: 66ip1    时间: 2011-1-28 22:53
标题: 实现抗DDOS攻击的美国VPS思路
最近有两个VPS用户受到DDOS与CC攻击。其中一位已经换了多个服务商,挂上去几天就被服务商关机了,当其到我这里来时一天就被PEER1的机房封了三个IP,该VPS用户苦不堪言!

对于CC比较容易发现与解决。用netstat -s看下同时连接数即可发现。装个CC的防范工具就可以防住了,如冰盾的免费版(要进去配置一下,限制同一IP最多30连接),我还看到一个CC的免费防护软件也很不错。

对于DDOS我分析了一下,认为在一定条件下其并不可怕。

====================
(已经提供IP供攻击测试,但期间服务未中断或异常,如果其它需要攻击测试者请联系我)

[ 本帖最后由 66ip1 于 2011-1-29 14:49 编辑 ]
作者: cnweb    时间: 2011-1-28 22:58
还没写完啊

[ 本帖最后由 cnweb 于 2011-1-28 23:02 编辑 ]
作者: easyboy    时间: 2011-1-28 23:01
可怕的是你 2个字  待续。。
作者: 66ip1    时间: 2011-1-28 23:05
现在针对美国VPS的DDOS攻击是很多的。听我的用户讲,他所做东西有一些同行,因为商业利益会盯着他的网站进行攻,而且攻击都是花钱请人干的,按时间计费。
我就想,针对美国VPS发起DDOS我想一般多会利用国外的肉鸡或机器搞吧?因为那样到被攻机器的带宽更大,更易得逞。一般应该少用国内的线路搞,因为国内线路到美国的带宽不是很好的,攻击效果会差一点;并且现在国内到处是硬防什么的,专业做攻击的除非是组织肉鸡,想自己弄服务器搞攻击难度也比较大。
(待续)
作者: southwind    时间: 2011-1-28 23:10
作者: tony1999    时间: 2011-1-28 23:12
楼主牙膏
作者: rebill    时间: 2011-1-28 23:16
一口气说完吧。
作者: 66ip1    时间: 2011-1-28 23:17
我继续想,如果可以对于访问VPS的流量进行区分,来自国外的访问限定一个很小的流量,来自国内的访问限定一个大点的流量,不就可以将可能的攻击防住了吗?当攻击时,来自国外的攻击流量会很大,但本VPS只允许一定带宽的数据过来,超出后就丢掉包,虽然此时国外可能不能访问VPS了,但国内的人照样可以访问,又有什么大碍呢?攻击是有成本,他总不会无限成本地攻下去的。
作者: 66ip1    时间: 2011-1-28 23:26
上面的想法粗糙了一点,如果可以再做细一点,将来自中国每一个IP段的访问的流量限定为一个固定值,就还可以提防来自国内的大量肉鸡的DDOS。中国的IP段不多的,很好找。

我写了一个规则,限制国内每个IP段每秒可以通过30个包,其它IP(以国外IP为主了)一共每秒可以通过30个包。

我选择了一家西岸的线路,他家网络设备好象比较牛。把这个规则弄上去。再把客户的VPS用这条线路。
作者: 66ip1    时间: 2011-1-28 23:28
已经过去有几天了,放上去受攻多月的客户反映感受不到攻击了!!
(该不会是攻击的专家正好回家过年了吧?!!)
作者: gxfsasd    时间: 2011-1-28 23:28
弄个20个1刀的VPS,,做个负载均衡,,,估计能抗5G流量攻击了的...
作者: 66ip1    时间: 2011-1-28 23:31
原帖由 gxfsasd 于 2011-1-28 23:28 发表
弄个20个1刀的VPS,,做个负载均衡,,,估计能抗5G流量攻击了的...


win vps,没那么便宜的啊
作者: moto72    时间: 2011-1-28 23:39
赶上直播了吗?强力插入养肥再看
作者: domin    时间: 2011-1-28 23:45
标题: 回复 9# 的帖子
首先网络设备必须能承受被攻击产生数据包(pps), 其次必须有足够的带宽来承受攻击产生的流量(Mbps)
更重要的是必须服务商会帮你一个VPS免费抗攻击
否则什么规则什么思路, 遇到承受不了的DDOS(无论是pps或者mbps), 都是白谈
作者: linux_fans    时间: 2011-1-28 23:49
自己用防火墙规则防D就是扯淡

记住就行了,别问为什么
作者: vnconfig    时间: 2011-1-29 00:12
你那不叫实现,也不叫思路,就是瞎折腾。
若是自己随便在VPS上加几条防火墙规则就能防住DDoS并且让业务保持正常运行,那你可以让Cisco喝西北风去了。
作者: domin    时间: 2011-1-29 00:28
我在想楼主签名那个不会就是可以抗国内DDOS攻击的VPS吧

真是浪费表情
作者: windywinter    时间: 2011-1-29 01:20
DDoS只要让数据包到达目标机器,任务就完成了,不管目标机器对待这些数据包的策略是处理还是丢弃。DDoS的本质就是用大量垃圾数据包塞满目标机器的带宽。所以位于目标机器上的或之后的防火墙对防御DDoS完全没有意义。
防御DDoS的唯一有效途径就是让位于目标机器之前的防火墙替目标机器挡下流量。这也就是硬防的作用。
作者: domin    时间: 2011-1-29 01:29
话说楼主说的是应用规则到上层网络设备, 而不是在服务器上, 这个不是不能做到, 而是必须有相应的设备和带宽.

不过我认为楼主是做广告为主
作者: qiqibian    时间: 2011-1-29 01:41
原帖由 linux_fans 于 2011-1-28 23:49 发表
自己用防火墙规则防D就是扯淡

记住就行了,别问为什么
作者: 小菜鸟    时间: 2011-1-29 02:44
求那家能抗住攻击的服务器商网站..
作者: domin    时间: 2011-1-29 06:58
godaddy据说比较强
作者: zllovesuki    时间: 2011-1-29 08:36
原帖由 windywinter 于 2011-1-29 01:20 发表
DDoS只要让数据包到达目标机器,任务就完成了,不管目标机器对待这些数据包的策略是处理还是丢弃。DDoS的本质就是用大量垃圾数据包塞满目标机器的带宽。所以位于目标机器上的或之后的防火墙对防御DDoS完全没有意义。
防 ...


同意。你的CPU是100核也没用,别人用1G流量塞满你的100MB口,再牛逼的服务器也没用
作者: daocaomen    时间: 2011-1-29 09:39
强力插入
作者: adochina    时间: 2011-1-29 10:10
再强力插入。问题是楼主现在好像感觉到起了作用,起码说明这是一个思路。
作者: cxm    时间: 2011-1-29 10:17
都回家过年了。
作者: mslxd    时间: 2011-1-29 10:27
原帖由 windywinter 于 2011-1-29 01:20 发表
DDoS只要让数据包到达目标机器,任务就完成了,不管目标机器对待这些数据包的策略是处理还是丢弃。DDoS的本质就是用大量垃圾数据包塞满目标机器的带宽。所以位于目标机器上的或之后的防火墙对防御DDoS完全没有意义。
防 ...
作者: 马甲    时间: 2011-1-29 11:45
     想法 很天真
作者: 小牧    时间: 2011-1-29 11:48
马克
作者: 66ip1    时间: 2011-1-29 12:20
原帖由 adochina 于 2011-1-29 10:10 发表
再强力插入。问题是楼主现在好像感觉到起了作用,起码说明这是一个思路。


诸多看客,就一位还有点理性。

我的两个客户已经完全经受了攻击,也许是流量小,也许是攻击人过年了?

[ 本帖最后由 66ip1 于 2011-1-29 13:38 编辑 ]
作者: 狙击手    时间: 2011-1-29 12:25
DDOS攻击的主要目标是带宽 不是要你的机器宕机!
作者: 66ip1    时间: 2011-1-29 12:31
原帖由 狙击手 于 2011-1-29 12:25 发表
DDOS攻击的主要目标是带宽 不是要你的机器宕机!


此方案不会用多少带宽。
不宕机,防的目标就达到了。只要网站可以访问,管你攻不攻呢?攻击也要成本吧。
作者: domin    时间: 2011-1-29 12:32
标题: 回复 32# 的帖子
带宽不是看方案, 而是看攻击者手头有多少肉鸡/带宽
攻击成本不高. 肉鸡到处都是.
作者: 66ip1    时间: 2011-1-29 12:33
原帖由 domin 于 2011-1-28 23:45 发表
首先网络设备必须能承受被攻击产生数据包(pps), 其次必须有足够的带宽来承受攻击产生的流量(Mbps)
更重要的是必须服务商会帮你一个VPS免费抗攻击
否则什么规则什么思路, 遇到承受不了的DDOS(无论是pps或者mbps), 都 ...


讲得有道理。
首先网络设备必须能承受被攻击产生数据包(pps),   (我选的线路商据讲全是思科的牛级设备)
其次必须有足够的带宽来承受攻击产生的流量(Mbps) (我选的线路商据讲带宽不错)
更重要的是必须服务商会帮你一个VPS免费抗攻击   (这是我自己实现的啊)
否则什么规则什么思路, 遇到承受不了的DDOS(无论是pps或者mbps), 都 ...    (我认同,极大流量时是防不住的。但如果是一般的流量,一般的美国VPS就不能访问网站了的那种流量,我这个方案是可以防住的)
作者: 66ip1    时间: 2011-1-29 12:34
原帖由 linux_fans 于 2011-1-28 23:49 发表
自己用防火墙规则防D就是扯淡

记住就行了,别问为什么


过于自信就是自负。
作者: 66ip1    时间: 2011-1-29 12:35
原帖由 vnconfig 于 2011-1-29 00:12 发表
你那不叫实现,也不叫思路,就是瞎折腾。
若是自己随便在VPS上加几条防火墙规则就能防住DDoS并且让业务保持正常运行,那你可以让Cisco喝西北风去了。 ...



我的方案不是这样的。
作者: 66ip1    时间: 2011-1-29 12:35
原帖由 domin 于 2011-1-29 00:28 发表
我在想楼主签名那个不会就是可以抗国内DDOS攻击的VPS吧

真是浪费表情


那个不是。在下那站没人攻,因为与别人没利害冲突。
作者: 66ip1    时间: 2011-1-29 12:36
原帖由 windywinter 于 2011-1-29 01:20 发表
DDoS只要让数据包到达目标机器,任务就完成了,不管目标机器对待这些数据包的策略是处理还是丢弃。DDoS的本质就是用大量垃圾数据包塞满目标机器的带宽。所以位于目标机器上的或之后的防火墙对防御DDoS完全没有意义。
防 ...


我认同你最后的看法。那也是我的方案的实现原理之一。
作者: 66ip1    时间: 2011-1-29 12:37
原帖由 domin 于 2011-1-29 01:29 发表
话说楼主说的是应用规则到上层网络设备, 而不是在服务器上, 这个不是不能做到, 而是必须有相应的设备和带宽.

不过我认为楼主是做广告为主


基本是明白人。
作者: domin    时间: 2011-1-29 12:38
标题: 回复 34# 的帖子
你说的这个方案其实很多抗DDOS的服务商都有使用的
traffic shaping, packet shaping, rate limiting..
抗某些DDOS不失为有效的方案. 但如果攻击者改变攻击方式, 就有可能会失效了.
例如攻击者使用伪造IP地址, 全部伪造为国外的IP, 那么...
作者: 66ip1    时间: 2011-1-29 12:38
原帖由 zllovesuki 于 2011-1-29 08:36 发表


同意。你的CPU是100核也没用,别人用1G流量塞满你的100MB口,再牛逼的服务器也没用


认同你的看法,无法防住巨大流量。
但对于绝大部分美国VPS来讲,不会受到这么大流量DDOS的。如果涉及的商业利益有这么大,估计也不会用VPS吧。
作者: 66ip1    时间: 2011-1-29 12:39
原帖由 cxm 于 2011-1-29 10:17 发表
都回家过年了。



也有可能吧。所以还在观察测试中。
作者: 66ip1    时间: 2011-1-29 12:39
原帖由 马甲 于 2011-1-29 11:45 发表
     想法 很天真


第一次有人说地球是圆的时,也有人这样说。
作者: zllovesuki    时间: 2011-1-29 12:40
原帖由 66ip1 于 2011-1-29 12:38 发表


认同你的看法,无法防住巨大流量。
但对于绝大部分美国VPS来讲,不会受到这么大流量DDOS的。如果涉及的商业利益有这么大,估计也不会用VPS吧。


OVH帮维基解密承受了10G+/sec的流量。。
作者: 66ip1    时间: 2011-1-29 12:40
原帖由 domin 于 2011-1-29 12:32 发表
带宽不是看方案, 而是看攻击者手头有多少肉鸡/带宽
攻击成本不高. 肉鸡到处都是.


如果涉及那么大的商业利益,不会用VPS吧
作者: 狙击手    时间: 2011-1-29 12:41

此帖蛋疼
作者: domin    时间: 2011-1-29 12:42
标题: 回复 45# 的帖子
很难说...有些做外挂或者SF站的, 甚至是刚刚开始做的, 一般都没钱用独服吧, 更加没钱买DDOS服务.
外挂或者SF站很容易就几百M甚至几个G的攻击.
作者: 66ip1    时间: 2011-1-29 12:45
原帖由 domin 于 2011-1-29 12:38 发表
你说的这个方案其实很多抗DDOS的服务商都有使用的
traffic shaping, packet shaping, rate limiting..
抗某些DDOS不失为有效的方案. 但如果攻击者改变攻击方式, 就有可能会失效了.
例如攻击者使用伪造IP地址, 全部 ...


您最后一句打错了?应该是“全部伪造国内IP地址”吧?

在本方案中,对此法可以防的,因为国内的IP地址是根据段来划分流量的。但我不太清楚假造的IP地址在路由上的实际路径,所以还需要观察。
作者: 66ip1    时间: 2011-1-29 12:46
原帖由 domin 于 2011-1-29 12:42 发表
很难说...有些做外挂或者SF站的, 甚至是刚刚开始做的, 一般都没钱用独服吧, 更加没钱买DDOS服务.
外挂或者SF站很容易就几百M甚至几个G的攻击.


在下的两位客户,基本就是属于此类的。现在我已经成功的帮助其防范住了DDOS攻击。
作者: domin    时间: 2011-1-29 12:56
标题: 回复 48# 的帖子
是的打错了.
如果是按照ASN来辨别流量是否来自国内, 那应该是可行的.
不过说来说去, 必须是机房带宽设备够强劲, 还要全力协助你才行.
我觉得除非机房有很大的利益否则不会这样做吧
作者: 兽兽    时间: 2011-1-29 13:26
原帖由 vnconfig 于 2011-1-29 00:12 发表
你那不叫实现,也不叫思路,就是瞎折腾。
若是自己随便在VPS上加几条防火墙规则就能防住DDoS并且让业务保持正常运行,那你可以让Cisco喝西北风去了。 ...
作者: windywinter    时间: 2011-1-29 13:57
原帖由 66ip1 于 2011-1-29 12:31 发表


此方案不会用多少带宽。
不宕机,防的目标就达到了。只要网站可以访问,管你攻不攻呢?攻击也要成本吧。

DDoS里面有一种是SYN攻击,是利用TCP的漏洞,不需要超高流量,以消耗目标主机的CPU和内存为目的(有点类似CC的意思)。
你的方案防御的是这种攻击。但是这种攻击也是最容易防范的一种,所以新的DDoS基本上都以消耗带宽为目的了。即使目标主机工作完全正常,攻击者也达到了令其“拒绝服务”的效果,就跟拔了网线一样。这样的攻击不可能通过对目标主机的强化来防御,只在在目标主机之前增加设备。

[ 本帖最后由 windywinter 于 2011-1-29 13:58 编辑 ]
作者: tc101    时间: 2011-1-29 14:44
提示: 作者被禁止或删除 内容自动屏蔽
作者: 66ip1    时间: 2011-1-29 14:51
提供了IP让攻击测试了半天,也没见有什么异常。
如有兴趣攻击测试者,请联系我提供IP。
作者: jumpsky    时间: 2011-1-29 14:55
膜拜强帖 学到了好多
作者: polar    时间: 2011-1-29 15:02
OVH 帮维基解密防御了10G的攻击?  是哪家.观摩一下.
作者: jiangchunlin    时间: 2011-1-29 15:02
提示: 作者被禁止或删除 内容自动屏蔽
作者: jiangchunlin    时间: 2011-1-29 15:03
提示: 作者被禁止或删除 内容自动屏蔽
作者: 66ip1    时间: 2011-1-29 15:06
原帖由 jiangchunlin 于 2011-1-29 15:02 发表
楼主 你就是瞎扯淡了


先说你说的抗cc方案    冰盾限制超过30连接数墙掉对方ip

人家只需要3000肉鸡   每个ip连接数5个  你的vps随便怎么着都挂掉了
成本  1000肉鸡大概40块钱   

抗ddos方案  限制国内ip每秒只允 ...


这位网友没有认真阅读方案。防攻是在一定条件下的,您举出的是极端的条件,现实中我的客户遇到的都不是这样的攻击。如果能受到这样的攻击,其商业利益已经让用户可以买得起更高端的防DDOS服务了。

您说1000肉鸡40块钱,我因为不懂行情不能妄加评论。但我看到客户受到的CC,第一次只有十个来源IP,第二次是三百多个来源IP。

关于国内IP段从哪里搞,这是个很简单的问题,相信坛内大部分人都知道。

关于国内几千肉鸡,按某个流量攻击美国VPS,我认为是个很可笑的设想。因为中美之间的带宽才多少?

[ 本帖最后由 66ip1 于 2011-1-29 15:11 编辑 ]
作者: 66ip1    时间: 2011-1-29 15:06
原帖由 jiangchunlin 于 2011-1-29 15:03 发表
另外   楼主的思路是出现在 借助冰盾的方案下。
冰盾本来就是一家很牛逼的抗攻击解决方案厂商了。


还是没读方案。冰盾只是用于防CC,因为CC易防,就省得在规则上动心思了。
作者: jiangchunlin    时间: 2011-1-29 15:11
提示: 作者被禁止或删除 内容自动屏蔽
作者: renothing    时间: 2011-1-29 15:11
还是硬防才得行,抓包分析规律。当然楼主的方法能抵消一部分低级攻击。
作者: 66ip1    时间: 2011-1-29 15:13
原帖由 renothing 于 2011-1-29 15:11 发表
还是硬防才得行,抓包分析规律。当然楼主的方法能抵消一部分低级攻击。


这个方案当然比不上硬防。
现实是国外,尤其是西岸,提供硬防的VPS商好象不多吧?基本都是受攻击就拨线的那种。
本方案也就是在此背景下应运而生的。

我想本方案的技术,与硬防的原理是一样的。只不过硬防的规则更完备些,并且硬防通过硬件来处理数据包,性能上更好点而已。

[ 本帖最后由 66ip1 于 2011-1-29 15:14 编辑 ]
作者: spavps    时间: 2011-1-29 15:14
娱乐和广告是可以的。
和上次搞得那个噱头异曲同工。
作者: 风声    时间: 2011-1-29 15:15
原帖由 66ip1 于 2011-1-29 14:51 发表
提供了IP让攻击测试了半天,也没见有什么异常。
如有兴趣攻击测试者,请联系我提供IP。



把IP公布出来就可以了,很多人会帮你主动 低调的测试的.
作者: 风声    时间: 2011-1-29 15:16
原帖由 66ip1 于 2011-1-29 15:13 发表


这个方案当然比不上硬防。
现实是国外,尤其是西岸,提供硬防的VPS商好象不多吧?基本都是受攻击就拨线的那种。
本方案也就是在此背景下应运而生的。

我想本方案的技术,与硬防的原理是一样的。只不过硬防的规则更完备些, ...


硬防和VPS没区别,都是分析包来进行处理...
作者: 66ip1    时间: 2011-1-29 15:17
原帖由 风声 于 2011-1-29 15:15 发表



把IP公布出来就可以了,很多人会帮你主动 低调的测试的.


已经于此前公布半天,因为IP我还要做生意用,所以不便长期公布。有兴趣攻击测试者请联系我。
作者: 66ip1    时间: 2011-1-29 15:21
原帖由 spavps 于 2011-1-29 15:14 发表
娱乐和广告是可以的。
和上次搞得那个噱头异曲同工。



“上次”应该改成“上年”更合适。去年也是春节前后,本人在HOSTLOC论坛首家提出中美双线VPS理论。(以下为广告)

虽然当时基本没有人认同,但还是有几位技术高手私下同本人交流,并且其中一位也用相近的方法实现了。
本人使用中美双线VPS理论,经过一年的时间,其技术进一步成熟。一年间,也为上百位客户提供了低成本的VPS服务。
本人签名所列即为中美双线VPS,该技术国内尚未见公开报道。一年多的时间,如果还有人说是“噱头”,只能说知识有限了啊。
作者: windywinter    时间: 2011-1-29 15:28
原帖由 66ip1 于 2011-1-29 15:21 发表



“上次”应该改成“上年”更合适。去年也是春节前后,本人在HOSTLOC论坛首家提出中美双线VPS理论。(以下为广告)

虽然当时基本没有人认同,但还是有几位技术高手私下同本人交流,并且其中一位也用相近的方法实现了。
本人 ...

Plan & Price?
美国加州Peer1线路独立IP地址1个(到中国大陆最快
在VPS中访问外部网站:速度不快
本VPS采用微软Virtual Server,性能优于Vmware(内存镜像、修剪、交换降低了性能),性能远优于VZ
不接受中差评
作者: 66ip1    时间: 2011-1-29 15:30
原帖由 windywinter 于 2011-1-29 15:28 发表

Plan & Price?




HOSTLOC多是卖家,多是同行,没必要广告了。
作者: 风声    时间: 2011-1-29 15:30
原帖由 jiangchunlin 于 2011-1-29 15:11 发表
几千肉鸡攻击是很长见的事。一点点都不极端。

照着你这么说  弄个100tb  大带宽机器   装个冰盾就能说是抗攻击vps了。

另外 你说的规则应用到哪里呢?  机房的出口路由?还是你的vps上啊 ...



你脑袋是死的,所以你经常被人日. 他做IDC的可以让机房在入口处路由/防火墙上做规则,直接丢弃, 你几十个G也没吊用.
作者: windywinter    时间: 2011-1-29 15:32
原帖由 66ip1 于 2011-1-29 15:30 发表

HOSTLOC多是卖家,多是同行,没必要广告了。

我非同行。
作者: windywinter    时间: 2011-1-29 15:33
原帖由 风声 于 2011-1-29 15:30 发表



你脑袋是死的,所以你经常被人日. 他做IDC的可以让机房在入口处路由/防火墙上做规则,直接丢弃, 你几十个G也没吊用.

10G以上的DDoS那是连机房一起DDoS了吧
作者: domin    时间: 2011-1-29 15:34
原帖由 windywinter 于 2011-1-29 15:33 发表

10G以上的DDoS那是连机房一起DDoS了吧


不止连中美网络都一起DDOS了, 抽风就是这样形成的
作者: spavps    时间: 2011-1-29 15:35
原帖由 66ip1 于 2011-1-29 15:21 发表



“上次”应该改成“上年”更合适。去年也是春节前后,本人在HOSTLOC论坛首家提出中美双线VPS理论。(以下为广告)

本人签名所列即为中美双线VPS,该技术国内尚未见公开报道。一年多的时间,如果还有人说是“噱头”,只能说知识有限了啊。


就是噱头。
作者: 风声    时间: 2011-1-29 15:36
原帖由 domin 于 2011-1-29 15:34 发表


不止连中美网络都一起DDOS了, 抽风就是这样形成的



10G的需要成本,偶然的网络堵塞不是DDOS可以引起的,DDOS的很容易被监控出来, 中美2边的gateway都是吃屎的?
作者: domin    时间: 2011-1-29 15:39
原帖由 风声 于 2011-1-29 15:36 发表



10G的需要成本,偶然的网络堵塞不是DDOS可以引起的,DDOS的很容易被监控出来, 中美2边的gateway都是吃屎的?


对于SF来说,10G完全不是问题.
中国的gateway就是吃屎的
作者: domin    时间: 2011-1-29 15:41
原帖由 风声 于 2011-1-29 15:30 发表



你脑袋是死的,所以你经常被人日. 他做IDC的可以让机房在入口处路由/防火墙上做规则,直接丢弃, 你几十个G也没吊用.


上层线路根本没这么大的带宽, 怎么丢弃都没用.
作者: 风声    时间: 2011-1-29 15:42
原帖由 domin 于 2011-1-29 15:39 发表


对于SF来说,10G完全不是问题.
中国的gateway就是吃屎的


功夫网被你搞的这么惨啊,别人过滤能力不是一般强大.

10G的话,你听说过吗? 理论上把? 一个4G的攻击警察就开始出动抓了不少人了.
作者: domin    时间: 2011-1-29 15:43
原帖由 风声 于 2011-1-29 15:42 发表


功夫网被你搞的这么惨啊,别人过滤能力不是一般强大.

10G的话,你听说过吗? 理论上把? 一个4G的攻击警察就开始出动抓了不少人了.


不是听说过. 遇到过.
现在几个G的攻击非常普通. 10G真不是难事.
作者: vnconfig    时间: 2011-1-29 15:44
10G小意思,这几天he.net洛杉矶到香港的线路就频繁被攻击。
有的防火墙是牛B啊,UDP小包发包率几十pps就drop了,这下VoIP也废了。
所以防火墙不仅要阻挡攻击,还必须保证业务正常运行。目标机器收不到攻击,网站也offline了,这就不行。
作者: domin    时间: 2011-1-29 15:49
我们用awknet算早的了, 他们刚开始营业就开始使用, 几年来遭受过G级的攻击怎么也有几十次. 10G的也有2,3次.
好几次把awknet整个网络都搞断了. 必须在ISP上做nullroute, 呵呵
还好现在他们拉多了几个10G.
作者: 风声    时间: 2011-1-29 15:55
原帖由 domin 于 2011-1-29 15:49 发表
我们用awknet算早的了, 他们刚开始营业就开始使用, 几年来遭受过G级的攻击怎么也有几十次. 10G的也有2,3次.
好几次把awknet整个网络都搞断了. 必须在ISP上做nullroute, 呵呵
还好现在他们拉多了几个10G. ...


ISP做nullroute就是我说的,没撒区别,你绕来绕去的帮我说.
作者: domin    时间: 2011-1-29 15:56
原帖由 风声 于 2011-1-29 15:55 发表


ISP做nullroute就是我说的,没撒区别,你绕来绕去的帮我说.


是吗? 哪里?
null route跟楼主所说的做filtering rule是两回事
作者: 风声    时间: 2011-1-29 16:09
原帖由 domin 于 2011-1-29 15:56 发表


是吗? 哪里?
null route跟楼主所说的做filtering rule是两回事


他的方案只能针对中小规模的,你说的是终极杀器,各自有各自的针对方案,你扯的远了.
作者: domin    时间: 2011-1-29 16:13
标题: 回复 85# 的帖子
什么终极杀器? OMG 没搞错吧

null route是跟攻击者屈服
filtering rule是跟攻击者对抗

能一样?
作者: Administrator    时间: 2011-1-29 16:22
提示: 作者被禁止或删除 内容自动屏蔽
作者: windywinter    时间: 2011-1-29 16:26
原帖由 Administrator 于 2011-1-29 16:22 发表
这论坛不知道什么时候开始流行思想家
楼主那个什么中国IP的美国服务器搞的如何了

没见过LZ的理论描述,帖子好像没了。
作者: 66ip1    时间: 2011-1-29 16:37
原帖由 windywinter 于 2011-1-29 16:26 发表

没见过LZ的理论描述,帖子好像没了。

http://www.www.91ai.net/viewthrea ... p;highlight=%2B66ip
作者: 风声    时间: 2011-1-29 16:38
原帖由 domin 于 2011-1-29 16:13 发表
什么终极杀器? OMG 没搞错吧

null route是跟攻击者屈服
filtering rule是跟攻击者对抗

能一样?



NULL是4两拨千斤,到你这里成了屈服...
Filtering其实想法,可以理解成屈服,算你很,你来的流量我都接受了,不过我处理下.
作者: 66ip1    时间: 2011-1-29 16:40
原帖由 Administrator 于 2011-1-29 16:22 发表
这论坛不知道什么时候开始流行思想家
楼主那个什么中国IP的美国服务器搞的如何了


还可以,一个母机一年可以挣X万。
作者: domin    时间: 2011-1-29 16:41
标题: 回复 90# 的帖子
照你这样说, 拔网线也可以是4两拨千斤了.
作者: vnconfig    时间: 2011-1-29 16:51
那个什么美国IP中国线路的服务器,其实就是单向走VPN,用了非对称路由,用处不大。
就比如上海电信这种上行丢包高、下行丢包少的情况,客户接收数据返回的ACK服务器不及时拿到,就别想提高吞吐量。
所以,虽然是在网络层下手,如果不考虑TCP的本质,又能带来多好的效果呢?
若客户到服务器方向的丢包也能搞定,我倒是很有兴趣。
作者: renothing    时间: 2011-1-29 17:31
真想抗D的话,除了CDN别无他法
作者: Captain    时间: 2011-1-29 20:19
哥可以送你20G



欢迎光临 全球主机交流论坛 (https://www.91ai.net/) Powered by Discuz! X3.4