1
siyanmao 2013-06-20 23:41:19 +08:00
这种封源IP的办法很早就有了,封端口就用这种方法。我一直怀疑部分出口线路上已经部署上了这种硬防,隐蔽,效率高,可靠性好,可以远程更新配置(,或许还可以给规则配置老化时间?)。但是对设备的具体类型/型号不太清楚。这种要求绝对是商品设备,自己攒要出事的。
黑洞路由毕竟还是麻烦,要广播路由表,要配置路由器,要有专用光纤/链路,路由条数太多(当年方校长的论文里提到大概是10^5量级) 估计和CA没什么关系,有用自签名被干掉的,也犯不着和CA作对。 |
2
est 2013-06-21 00:19:48 +08:00
关于第二点,你们太天真了。墙早就有伪造ttl响应的能力了。不信你们去电信省级骨干网去ping
|
3
pubby 2013-06-21 00:23:57 +08:00
真的被墙了?
昨天一批vps连不上,过了十几小时全恢复了。 |