V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  SeedMssP  ›  全部回复第 1 页 / 共 1 页
回复总数  16
2016-09-20 14:20:32 +08:00
回复了 SeedMssP 创建的主题 云计算 DNS 攻击防护博弈,大型 DNS 攻击防护解析
@akw2312 没问题,上线后欢迎来测试。
2016-09-18 14:56:18 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@usernametoolong 主要看哪层的攻击,三四层的 TCP 协议攻击防护基本都不难(算法基本上可以过滤掉 99.99%的异常流量),七层针对性比较强,所以需要更细粒度的模型去定义防护。七层也有针对 WEB DNS GAME 的通用算法,但是遇到针对性的攻击基本上都歇菜了
2016-09-18 11:32:07 +08:00
回复了 SeedMssP 创建的主题 云计算 DNS 攻击防护博弈,大型 DNS 攻击防护解析
@flily 上面的图片不属于递归查询的图片,映入了一张 DNS 放大,所以这里的错误我在这里纠正下,没仔细看图片就上传了
2016-09-18 11:23:20 +08:00
回复了 SeedMssP 创建的主题 云计算 DNS 攻击防护博弈,大型 DNS 攻击防护解析
@flily 通俗的描述一下 DDoS ,因为 DDoS 下手方式太多,简单拿一个 DNS 作为例子。
2016-09-18 09:20:14 +08:00
回复了 SeedMssP 创建的主题 云计算 DNS 攻击防护博弈,大型 DNS 攻击防护解析
@aveline 10 月上线,现在产品都还没上线,还在 Beta ,上线后会提供 30 天的免费试用
2016-09-08 17:03:22 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@millken

1. 第一个问题我在回答的稍微详细一点, 10Gbps - 40Gbps 包处理线速的代价是需要多核(主要还是硬件设计,我们测试过不同主板和工控厂商的硬件,每家的数据都不一样,所以性能和主板设计也有一定关系),但是 DPDK 的性能增长并不会随着核心的增多而线性增长,所以这个对代码质量要求很高。

2. 攻击器如果能用 JS 引擎计算 JS 验证码或者跳转的情况下, V-ADS 还有通过频率限制或采用验证码方式对此类攻击进一步防护。
2016-09-08 16:53:09 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@millken
1. 这个和你的硬件有关系, DPDK 达到 10Gbps-40Gbps 线速很轻松,但是 DPDK 的性能增长到后面的硬件成本会很高,因为性能增长并不会随着核心的增多而线性增长,而 DPDK 的核心多了之后也会有争用问题。

2. 我们的网卡用了基于 FPGA 的 Netcope NFB-100G2 ,所以相对来说会比纯 DPDK 灵活一些。

3. 学习攻击特征是基于包特征学习,并非简单的阈值判断。
2016-09-08 15:45:11 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@wafm 解铃还须系铃人, DDoS 既然是分布式发起最后通过 ISP 路由汇聚并成为巨型攻击,那么解决方案同样就是分布式的对抗,足够好的带宽资源并能够有效利用各大 ISP Peer 和 eXchange 来平衡 DDoS 防护成本,提高 DDoS 攻击难度。
到底还是需要分布式的清洗中心和强大的清洗系统。
2016-09-08 13:02:42 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@des 另外 V-ADS 并不是在云主机上运行,而是构建在 V-ADS Cluster 中,单个 V-ADS Cluster 拥有 400Gbps / 640Mpps 的异常流量清洗能力。
2016-09-08 13:00:03 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@des 针对这类攻击, V-ADS 可以通过学习攻击特征进行自动防御,或者租户自行设定防护方式。
大部分 CC 攻击的 Slave 是无法解析跳转和 JS 以及 Cookie 或验证码,所以防御这类攻击是比较简单,而目前 95%以上的攻击都无法逃过这三类防护方式。
2016-09-08 12:59:42 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@des 如果和 iptables 一样的话,我觉得这个产品不叫产品,因为 iptables 的处理能力在我们看来应该还是幼儿园级别的。
2016-09-08 12:58:45 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@canglaoshi 和阿里云没有任何关系
2016-09-08 12:58:30 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@nilai 如果每秒连接数达到数百万的情况下,我觉得 Nginx 就很吃力了, V-ADS 设计当初就是高性能的清洗系统,单台新建 TCP 能力超过 150 万每秒,我相信跑在 Kernel TCP/IP Stack 下的 Nginx 做不到。
2016-09-08 12:57:01 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@nilai 针对这类攻击, V-ADS 可以通过学习攻击特征进行自动防御,或者租户自行设定防护方式。
大部分 CC 攻击的 Slave 是无法解析跳转和 JS 以及 Cookie 或验证码,所以防御这类攻击是比较简单,而目前 95%以上的攻击都无法逃过这三类防护方式。
2016-09-08 12:54:56 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@lhbc
1. https 流量需要用户证书配合。
2. 随机的 args 目前 V-ADS 可以通过 Redirect 和 验证码方式对此类攻击进行有效防护(大约 95%以上的 CC 攻击)
3. V-ADS 会向 Server 发送 Rst 重置。
2016-09-08 12:49:46 +08:00
回复了 SeedMssP 创建的主题 推广 如何抓包分析报文防护 DDoS 攻击?
@denghongcai NetFilter 的所有流量都是需要通过 Kernel TCP/IP Stack , V-ADS 完全基于 User Spaces TCP/IP Stack ,能够实现 10Gbps / 14Mpps - 200Gbps / 280Mpps 的清洗性能(Layer 3 , 4 , 7)。
另外据我所知 iptables 在七层上无法达到线速,而 V-ADS 是可以达到线速
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1226 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 18:23 · PVG 02:23 · LAX 10:23 · JFK 13:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.