全球主机交流论坛

标题: 不要把抽风附会到高墙上 [打印本页]

作者: windywinter 时间: 2010-12-30 19:35
标题: 不要把抽风附会到高墙上
根据已知的可靠的研究结论，高墙不是防火墙，而是旁路设备，其运行模式有二

在光纤登陆点分光，将流入到Chinanet的流量复制到自己的网络进行包检测，检测到关键字后，发送RST信号或伪造的DNS响应。
架设黑洞路由，将被封锁的IP地址通过BGP协议散布，使Chinanet到被封锁地址的路由指向黑洞。

无论是RST信号、伪造的DNS响应还是指向黑洞的BGP包，高墙都不会影响正常数据包的路由，这也是高墙的设计理念。
高墙仅在北京、上海的互联网信息交换中心与Chinanet互联，RST信号、伪造的DNS响应、指向黑洞的BGP包均是在这两处发出，带宽大概是每地10G。
高墙升级不正常只会引起莫名其妙的封锁（如昨天google.com被加入关键字列表）以及自身抽风，不会引起Chinanet及中国到美国的线路的抽风。

作者: 组长 时间: 2010-12-30 19:37
技术贴

作者: windywinter 时间: 2010-12-30 19:37

竟然高级了

作者: weishimi 时间: 2010-12-30 19:37
技术文，不懂～

作者: 小夜 时间: 2010-12-30 19:37
不明真相的群众路过。

作者: mslxd 时间: 2010-12-30 19:38
厉害，这都给你知道了

作者: vnconfig 时间: 2010-12-30 19:38
BGP 不是用来分发黑洞的，BGP 路由表里只写 AS 路径，实际采用的可能是 OSPF。

作者: yang 时间: 2010-12-30 19:38
就是这样的,上网行为管理设备的原理跟墙类似,找下相关厂家的资料就知道了.

作者: windywinter 时间: 2010-12-30 19:41

原帖由 vnconfig 于 2010-12-30 19:38 发表
BGP 不是用来分发黑洞的，BGP 路由表里只写 AS 路径，实际采用的可能是 OSPF。

高墙与其他运营商是不同的AS，之间是没法用OSPF的，它只要宣称被封锁的IP为自己所有，就可以使用BGP了。

作者: vnconfig 时间: 2010-12-30 19:44
另外，线路抽风跟运营商的基础设施有关，联通的设施很烂，以至于有时候墙的 RST 都发不过来。可以肯定的是，IDS 设备不用串联的方式接入，而是旁路，这个做过网络安全的都知道。延迟和丢包不能怪墙。

作者: 菠萝 时间: 2010-12-30 19:45
主要还是中美带宽的问题，国内分给民用的带宽不足，一到高峰时段就会感觉抽。如果是刻意，慢就应该是常态而不是抽，而且就不会电信网通有别

作者: 挨个搞 时间: 2010-12-30 19:48
虽然实事求是很重要
但是就让这个成为大家更痛恨高墙的理由吧。
原因不解释。。。

作者: vnconfig 时间: 2010-12-30 19:48
标题: 回复 9# 的帖子
返回 ICMP dest unreachable 消息的是运营商自己的 IP，因此我认为数据包没有离开运营商的 AS，也可以认为没有使用 BGP 来分发。参考＠ｇｆｗｒｅｖ 2009 年 11 月的文章。

作者: foxlovefox 时间: 2010-12-30 19:54
没他拦着哪这么多出国旅游的？

作者: flylight 时间: 2010-12-30 20:22
牛人，技术贴

作者: pmalc 时间: 2010-12-30 20:31
楼主真牛

作者: 安心 时间: 2010-12-30 20:44

原帖由 vnconfig 于 2010-12-30 19:44 发表
另外，线路抽风跟运营商的基础设施有关，联通的设施很烂，以至于有时候墙的 RST 都发不过来。可以肯定的是，IDS 设备不用串联的方式接入，而是旁路，这个做过网络安全的都知道。延迟和丢包不能怪墙。 ...

作者: 瘦够了 时间: 2010-12-30 20:56
群众演员飘过

作者: 卡恩 时间: 2010-12-30 23:06
正解

作者: wdlth 时间: 2010-12-30 23:20
高墙V5，不过我还有IPv6。

作者: huyan83 时间: 2010-12-31 01:31
提示: 作者被禁止或删除内容自动屏蔽

作者: freeweb 时间: 2010-12-31 04:40
看不懂

作者: waf7225 时间: 2010-12-31 06:49
貌似前几天在twitter讨论过这个问题！

作者: 李霞云 时间: 2010-12-31 07:45
技术贴。。

作者: forgotten 时间: 2010-12-31 09:20
大多数的抽风都是被攻击导致出口堵塞引起的~~

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)