VPN跑了480M流量681K个包,竟然收到GFW的RST包957K,VPN发一个包,GFW回来1.4个reset包。GFW也太狠了。

2013-01-24 13:55:59 +08:00
 gonbo
957/681=1.4 回来1.4个包。
Chain INPUT (policy ACCEPT 681K packets, 480M bytes)
pkts bytes target prot opt in out source destination
957K 38M DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x2F/0x04
4575 次点击
所在节点    程序员
25 条回复
gonbo
2013-01-24 14:00:42 +08:00
@unwiredkite 上面哪个主题计算有错误。理论上的确有可能,只要大家都发包,引发GFW回来RST包。
gonbo
2013-01-24 14:05:09 +08:00
@BOYPT 应该是有可能的,研究一下他发包机制,让他大量的发包,cpu跑满100%,正常翻墙的链接就不会被强奸。
chenshaoju
2013-01-24 14:10:26 +08:00
@gonbo 不太可能的,你一台机器不可能和TBit级的设备对抗。
而且Wa11有多个节点,就算你搞垮了一个,其他出口一切正常。
BOYPT
2013-01-24 14:11:30 +08:00
@gonbo 现在的高性能网络设备数据包根本就不用过CPU的好么~
gonbo
2013-01-24 14:13:34 +08:00
@chenshaoju 我觉得这个是一个正确思路。dns污染完全可以搞死。
gonbo
2013-01-24 14:14:26 +08:00
@BOYPT 这种需要计算的封禁肯定是cpu的。
BOYPT
2013-01-24 14:15:03 +08:00
而且你收到这么多个RST不是因为人家故意发给你那么多个,是因为同时触发了多个节点,有时候有些节点忙别的就不发给你了,

GFW的这个模式是个完美的 flexible extensive module
BOYPT
2013-01-24 14:17:30 +08:00
@gonbo 肯定不是。
SAGAN
2013-01-24 14:19:05 +08:00
很奇怪LZ一直这样drop rst还能继续使用VPN,rst发到一定程度应该就直接封ip了
ShadowStar
2013-01-24 14:19:08 +08:00
@gonbo CPU计算量很小。特征匹配、校验和都是硬件完成。
zeeler
2013-01-24 14:19:51 +08:00
你要想完美就搞个国外的卫星通道,架个小锅,就不受GFW约束了
gonbo
2013-01-24 14:25:14 +08:00
@zeeler 延迟比较大呀。
gonbo
2013-01-24 14:26:55 +08:00
@BOYPT
@ShadowStar 我觉得他们做基于流量特征的分析,肯定需要大规模计算量的。

@SAGAN 把两边把RST都drop了,所以能够用VPN,不过速度很慢。
ShadowStar
2013-01-24 14:30:54 +08:00
@gonbo 特征分析一般是在后端服务器群做,前端接入设备简单高效。
BOYPT
2013-01-24 14:48:11 +08:00
@ShadowStar Openvpn的TLS握手特征那种就扔后端做,所以一般改端口后有几个小时能用的;

关键字触发RST这种机制即时性高,完全就硬件级别识别的了。cisco的流处理单元但是很牛x的。
dndx
2013-01-24 14:50:15 +08:00
@gonbo 以 GJ 雄厚的财力,一秒 TB 级别的 RST 包根本就没感觉。

如果真要这样 DDOS ,估计 GFW 不倒国际出口先被搞挂了。GFW 用的都是曙光超级计算集群,流量分析还不是小 Case 。如果容量不够了尽管加机器,看谁能撑得住。
jackyz
2013-01-24 15:16:14 +08:00
@gonbo 现在是两边都 drop reset 所以还能连上,要是它能自动升级为封 ip 呢,还能通讯么?

另外,这是个什么状况?有点不大理解。按常规,墙完全可以弄个小脚本来自动地跑,一旦超过某个值,就触发程序来封你服务器的 ip 不就完了嘛,为啥没这么做?还是说你又做了什么反制手段,让它停留在 reset 的级别,所以还能跑?

感觉 DDOS 是主动碰线,不如想什么办法,悄悄地进村,碰线地不要。
ShadowStar
2013-01-24 15:17:10 +08:00
@BOYPT 基本是这样的,现在的设备除了通常的黑白名单外,还会有灰名单,对于不确定的流量丢到后端做(行为、特征)分析学习,然后将生成的特征下发到前端设备,后续的相同流量就前端直接处理了。
ShadowStar
2013-01-24 15:18:36 +08:00
想把GFW弄死,理论上可以,实际操作起来基本不可能。
treo
2013-01-24 19:04:22 +08:00
@jackyz 可能是因为旁路上没法封IP,主干路由上封IP不是说封就封的,路由表多了会影响转发速度,只有极少数IP享受这种待遇

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/58631

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX