29.27里的SYN Cookie是否真的有效
如题 效果明显,但只针对自身。 多了也不行。 如果只是针对自身就没多少意思了 效果不是很明显,自身也不行~测试过了 原帖由 zzyzzyboy 于 2007-2-14 19:23 发表
效果不是很明显,自身也不行~
测试过了
什么方法测试?有权威性吗? 我之前用2.8.x和2.9.27做过测试,在本版发过帖,但昨天找不到了,就没回这帖,但我想还是有些人看过的吧,所以我希望5搂能展示一下你的测试结果,对比一下什么地方有差异。 接5楼的话
继续说
首先说明,只是自己测试,没有权威
内网使用SYN FLOOD攻击,
ROS配置如下:AMD 速龙3000512MB 8139*2
ROS做NAT模式
分别做对外网某一个IP进行SYN 攻击,流量为100MBPS ROS挂掉
攻击ROS的某一端口(非打开的端口)ROS也挂掉
和我没有选择ENABLE SYN COOKIE 基本上效果相当,基本上就是DOWN ......“效果明显,但只针对自身”......
P.S:内网对外网syn,本地死那是应该的,很详细具体的原理我也说不上,首先需要了解nat是在内网和外网之间建立一个握手,所以,因为syn大多是虚构ip,nat在内网根本找不到报文里宣称的这个地址,所以崩溃是必然的(对外的连接还没建立,nat就已经挂掉了)。一个被动的解决办法是加一个策略对内网网卡drop掉所有非内网ip的报文。 9楼的,看我以前发的帖子~~
发表过你说的那种策略~
效果基本上一样,只不过在小流量的时候可以顶住(但是一般我遇到的没小流量)
大流量的时候一样挂
不过在攻击停止的时候收敛速度快一些 那个策略,的确就是个没办法的办法......这玩意本来就一分钱一分货,别说我们用D版,就算正版再加mikrotik他的原配硬件,价格和真正站得出来的syn火墙也没办法比,当然这个是次要问题,主要的是,如果他要为火墙为功能,那么系统是小需要从底层做出很多修改的,而ros本身就定位在中低档路由系统,所以他直接使用了自己修改的linux,而绝大多数网络功能,实际是镶嵌在linux内核的,类似于很多“类”,ros直接作为“对象”呼叫出来即可使用,这样可以大幅减少开发代价,当然为此而支付的代价的就是部分性能会比预期的低了。
不过私人说一句,对于网吧内网攻击,实际上我并不算非常重视这个问题,来来去去就那一千几百平方了,在一个可以直接目视且操控全场的环境里,如果还不能直接找到故障源,那么我觉得瓶颈并不在机器而在人。如果实在没办法,我建议考虑一下pppoe,另外我也假想过这种模型,就是网吧分出几个小区域,每个小区域做一个ros透明网桥,把各种策略放在最前线,那么我想至少可以把损失减少、锁定问题位置。
最后,祝大家新年快乐,可能过一个季度,我又要回去管网吧了,呵呵 有那么一点点效果的。 原帖由 zzyzzyboy 于 2007-2-14 19:23 发表 http://bbs.routerclub.com/images/common/back.gif
效果不是很明显,自身也不行~
测试过了
接5楼的话
继续说
首先说明,只是自己测试,没有权威
内网使用SYN FLOOD攻击,
ROS配置如下:AMD 速龙3000512MB 8139*2
ROS做NAT模式
分别做对外网某一个IP进行SYN 攻击,流量为100MBPS ROS挂掉
攻击ROS的某一端口(非打开的端口)ROS也挂掉
和我没有选择ENABLE SYN COOKIE 基本上效果相当,基本上就是DOWN
从以上可以看出你对"自身"防护的这个理解是错误的,要测试“自身”的防护能力,要将“分别做对外网某一个IP进行SYN 攻击”改为““分别做对ROS直接进行SYN 攻击”那样测试才能得到真正的“自身”防护能力的结论 另外,还要提示一下概念,防止路由器本身被攻击用SYN COOKIE,而要防止路由器被针对路由器以外的地址攻击而受附带连累致死,应该起用的是SYN PROXY,这两个东东是有些相象,但又有很大不同的。
目前版本的ROS好象还没有SYN PROXY功能 :victory:
页:
[1]
2