不要把抽风附会到高墙上

windywinter

根据已知的可靠的研究结论，高墙不是防火墙，而是旁路设备，其运行模式有二

• 在光纤登陆点分光，将流入到Chinanet的流量复制到自己的网络进行包检测，检测到关键字后，发送RST信号或伪造的DNS响应。
• 架设黑洞路由，将被封锁的IP地址通过BGP协议散布，使Chinanet到被封锁地址的路由指向黑洞。
  

无论是RST信号、伪造的DNS响应还是指向黑洞的BGP包，高墙都不会影响正常数据包的路由，这也是高墙的设计理念。
高墙仅在北京、上海的互联网信息交换中心与Chinanet互联，RST信号、伪造的DNS响应、指向黑洞的BGP包均是在这两处发出，带宽大概是每地10G。
高墙升级不正常只会引起莫名其妙的封锁（如昨天google.com被加入关键字列表）以及自身抽风，不会引起Chinanet及中国到美国的线路的抽风。

forgotten

大多数的抽风都是被攻击导致出口堵塞引起的~~

李霞云

技术贴。。

waf7225

貌似前几天在twitter讨论过这个问题！

freeweb

看不懂

wdlth

高墙V5，不过我还有IPv6。

卡恩

正解

瘦够了

群众演员飘过

安心

原帖由 vnconfig 于 2010-12-30 19:44 发表
另外，线路抽风跟运营商的基础设施有关，联通的设施很烂，以至于有时候墙的 RST 都发不过来。可以肯定的是，IDS 设备不用串联的方式接入，而是旁路，这个做过网络安全的都知道。延迟和丢包不能怪墙。 ...