- 在线时间
- 0 小时
- 最后登录
- 2005-10-9
- 注册时间
- 2005-9-27
- 听众数
- 0
- 收听数
- 0
- 能力
- 0 分
- 体力
- 56 点
- 威望
- 0 点
- 阅读权限
- 20
- 积分
- 17
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1
- 主题
- 1
- 精华
- 0
- 分享
- 0
- 好友
- 0
升级    12.63% 该用户从未签到
 |
< >【上海遐迩网络】</P>! q* l. v* `& o* w1 E: [! Q
<>我们的选择每一步都是深思熟虑的:<BR>硬件架构部分:<BR>我们采取了工业计算机(工控机),可以承受恶劣的运行环境,稳定性非常好.<BR>操作系统核心部分:<BR>我们研究了FreeBSD,OpenBSD,Linux,NetBSD等诸多OpenSouce的OS的核心代码以及其防火墙机制.<BR>如:IPFW,IPFW2,Ipfilter,Netfilter,PF..<BR>权衡了各个因素(如:bridge性能,中断机制,POLLing等等),再三研究,最后决定采用FreeBSD的核心,<BR>然后取众家之所长.事实上,测试结果表明:<BR>FreeBSD官方的申明绝非吹嘘之言:<BR>FreeBSD offers advanced networking, performance, security and compatibility features today<BR>which are still missing in other operating systems, even some of the best commercial ones.<BR>有兴趣的朋友可以自行测试看看.或者跟我公司联系,索取测试方法,和一系列针对性优化的文档<BR>心算法部分:<BR>我们不是采用单一的SYNPROXY,SYNCOOKIES,或者所谓的等待重传机制.他们各自都有自己的优缺点.<BR>我们研究了所有的传统防火墙的算法,也是取众家之所长,并且研发出了属于自己的专利算法:<BR>单向一次性非法数据包识别方法<BR>我们所有的Filter机制都是在挂在驱动级的.<BR>至于说详细的原理,我大概提及一下:<BR>我们采用了一系列的验证机制而形成的一套有机的体制,任何一项单一的机制都有其弊端<BR>譬如说指纹验证等等.<BR>业:我们的防火墙只做抗DDOS,<BR>效率和通用是一对双刃剑,也是一对矛盾,在通用和效率面前,我们选择了后者</P>
% N: J" k7 D w$ ~; m<>智能化防御系统,无需任何烦琐操作:自动识别所有主机,按协议类型给出流量报表<BR>自动防护所有攻击,按攻击类型给出流量报表<BR>自动调整核心参数,按优先级别给出用户接口<BR>自动升级核心模块,按升级时间给出日志报表 <BR>测试目标:真实的得出本防火墙的各种性能数据</P>9 ]" g* Q8 M( Q) V" u
<>测试型号:DOSNIPE110</P>
$ y! Y1 ?$ o: E* f<>测试环境:LAN内、100M交换环境,测试所用报文皆为64字节大小的SYN报文</P># t+ A7 Q- T# h; T5 `
<>发包器配置</P>' M6 g; q6 z# M3 ~ w8 H; N
<>名称IP地址操作系统配置</P>
* v5 Z$ }. }% `, R, ~' u5 |<>发包器1192.168.1.111LINUX 2.6.12双X2.4/1G/36scsi<BR>发包器2192.168.1.112LINUX 2.6.12双X2.8/2G/36scsi<BR>发包器3192.168.1.113FreeBSD 4.10单P4 3.0/512M/80<BR>发包器4192.168.1.114FreeBSD 4.10单P4 2.4/512M/80<BR>网管控制台192.168.1.254Winodws 2kIbm r50e Notebook<BR>受保护机器192.168.1.193FreeBSD 4.10P3 1.0G/128M/40G<BR>交换机无DCS3926S(百M)</P>" p J S/ y4 `3 X. v
<>测试结果</P>3 [8 O. X# ?+ V$ q; V- R
<>SYN发送量连接丢失率新连接成功率Ping值<BR>5288.89KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms<BR>6599.29 KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms<BR>8019.22 KB/s0%100%Minimum = 0ms, Maximum = 0ms, Average = 0ms<BR>9500.22 KB/s1%99%Minimum = 1ms, Maximum = 6ms, Average = 4ms(此时发包交换机已经丢包,到达其物理极限)</P>
; K2 j! c* x: n- _5 q. o4 N<>注:4台发包器向192.168.1.193同时发起攻击,监控机器ping 192.168.1.193以确立其连通情况。<BR>根据严格的算法,百M线速=148100pps左右, 换算成KB的话,也就是等于:148100*64/1024=9256.25左右.所以,上海遐迩网络作为直接的防火墙研发的专业机构,在此提醒广大用户,不要被一些纯粹的销售商 慌称的”可以防护30万个包”而欺骗,一切结论必须要建立在科学的依据上</P>0 @. {$ g' \ }% w+ w
<>附:</P>* }* }+ h0 H, P ]
<>发包器部分代码:</P>
# t' n* X/ e: a<>tcp=(struct tcphdr *)(buffer +sizeof(struct ip));<BR>tcp->dest=addr->sin_port;<BR>tcp->ack_seq=0;<BR>tcp->doff=5;<BR>tcp->syn=1;<BR>tcp->check=0;</P>
& ~- E' e. D* }8 u9 n<>while(1)<BR>{</P># M7 h! F4 X: `* e2 m# k7 Q' l. t
<>ip->ip_src.s_addr=random();<BR>tcp->source=htons(random());<BR>tcp->check=check_sum((unsigned short *)tcp,sizeof(struct tcphdr));<BR>sendto(sockfd,buffer,head_len,0,addr,sizeof(struct sockaddr_in)); }</P>7 Z1 N5 X0 q( J" \1 ~( h
<>事实上,目前的很多案例来看,在我们的防火墙没有到极限的时候,上层的router已经开始丢包了.<BR>99.99%的客户面临的不是流量的问题,流量不是真正的杀手.ddos攻击种类中,要以synflood最为典型,它之所以能够如此嚣张,就是因为他的半开式的"以小搏大"的优势以及socket raw的编程方式导致"socket的各个位可以任意填充"而使得追踪攻击源很麻烦的原因.<BR>我们可以做出承诺:<BR>假如说你有100M的带宽,这个时候有90M的攻击流量进来,那么,你的机柜我可以说基本不受影响,事实上,进来的往往都是syn等握手过程中的包.同时由于我们的防火墙的机制是单向不反追的算法,那么尽管有90M的攻击流量,你仍然可以正常使用下载服务.对流出的流量没有任何限制.</P>0 I7 h) R2 E( g0 l
<><BR>相关文档下载地址:<a href="http://www.sharesec.com/down.html" target="_blank" >http://www.sharesec.com/down.html</A></P>) R( T) P7 i1 E$ A/ b) K
<>咨询电话: 021-58211660 / 021-58513931<BR> 技术支持 QQ:56000204 / 453270817<BR> 24小时技术咨询电话:13122444520 / 13122877082<BR> MSN: <a href="mailto:xiyang@sharesec.com" target="_blank" >xiyang@sharesec.com</A> / <a href="mailto:tonypys@sharesec.com" target="_blank" >tonypys@sharesec.com</A><BR></P> |
zan
|
IP卡
狗仔卡
发表于 2005-10-9 10:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
