打印

05.04.24 流量牵引

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

1^# 大中小发表于 2005-4-24 22:34 只看该作者

05.04.24 流量牵引

实在没想到，给我们上TCSP课的竟然是绿盟这边平台的技术总监，其网络安全方面非富的经验实在让俺敬仰。为了不错过机会，俺利用下课时间狠狠的与之交流了一下。

在聊到抗DOS方面，他谈到了一个概念，叫做“流量牵引”。既是说，把异常流量引到另一个专门的设备，以区分正常与非正常的数据，并跟据策略进行处理。这样做的好处，一是在大规模的攻击之下，将还能够最大程度的保障网络的连通。二是将前面引走的流量，还能再进行一次检查，这样能最大程度的不影响正常的通讯。

不可否认这样去布署确实有独到的地方，理论上讲应该是非常有效的。但是具体如何实施，用何种技术进行牵引，没有继续聊下去，实在可惜。

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

mzwa

版主

Rank: 7 Rank: 7 Rank: 7

精华: 4
积分: 2444

发短消息
加为好友
当前离线

2^# 大中小发表于 2005-4-24 23:31 只看该作者

绿盟的黑洞产品在抵御DDOS方面就是利用了“流量牵引”的思想吧？？

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6255

发短消息
加为好友
当前离线

3^# 大中小发表于 2005-4-25 00:23 只看该作者

首先跳出的感觉是“流量牵引”是个骗人的概念

不急着下结论，再看看J有什么发现吧

TOP

DragonGo

七哥

超级版主

Rank: 8 Rank: 8

-=行者=-

精华: 8
积分: 5502

发短消息
加为好友
当前离线

4^# 大中小发表于 2005-4-25 09:09 只看该作者

Cisco的Anti-DDoS的方案里面也有类似的概念！

感觉是个不错的想法！

信心源自实力，努力成就未来！
欢迎访问龙七客栈和睿博工作室

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

5^# 大中小发表于 2005-4-25 09:12 只看该作者

当时第一感觉的疑虑的地方是：
路由器如何去确认这种异常流量，并如何去牵引？如果说把所有流量都牵到其他设备以避免单点故障倒是可行，而如果仅仅是牵引异常的流量方面应该是非常困难的。因为当时时间比较短，没有很细致的聊，等下回了~

不知道V大考虑到的是不是这个问题？

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

DragonGo

七哥

超级版主

Rank: 8 Rank: 8

-=行者=-

精华: 8
积分: 5502

发短消息
加为好友
当前离线

6^# 大中小发表于 2005-4-25 09:13 只看该作者

引用:

Originally posted by jingshne at 2005-4-25 09:12 AM:
当时第一感觉的疑虑的地方是：
路由器如何去确认这种异常流量，并如何去牵引？如果说把所有流量都牵到其他设备以避免单点故障倒是可行，而如果仅仅是牵引异常的流量方面应该是非常困难的。因为当时时间比较短， ...

路由器怎么会做牵引。。另外的设备！

信心源自实力，努力成就未来！
欢迎访问龙七客栈和睿博工作室

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

7^# 大中小发表于 2005-4-25 12:36 只看该作者

引用:

Originally posted by DragonGo at 2005-4-25 09:13 AM:

路由器怎么会做牵引。。另外的设备！

俺也这般猜想，

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6255

发短消息
加为好友
当前离线

8^# 大中小发表于 2005-4-27 21:21 只看该作者

引用:

Originally posted by DragonGo at 2005-4-25 09:13:

路由器怎么会做牵引。。另外的设备！

不好意思，这次出差就去“牵引”了一下，
具体就是做策略路由 route-map让流量在本地两个网口先绕一圈到一个过滤设备再走向真实路径
不知道这是不是绿盟的人说的“牵引”

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

9^# 大中小发表于 2005-4-27 22:49 只看该作者

引用:

Originally posted by Vader at 2005-4-27 09:21 PM:

不好意思，这次出差就去“牵引”了一下，
具体就是做策略路由 route-map让流量在本地两个网口先绕一圈到一个过滤设备再走向真实路径
不知道这是不是绿盟的人说的“牵引”

应该是这个意思吧～

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

DragonGo

七哥

超级版主

Rank: 8 Rank: 8

-=行者=-

精华: 8
积分: 5502

发短消息
加为好友
当前离线

10^# 大中小发表于 2005-4-27 22:49 只看该作者

引用:

Originally posted by Vader at 2005-4-27 09:21 PM:

不好意思，这次出差就去“牵引”了一下，
具体就是做策略路由 route-map让流量在本地两个网口先绕一圈到一个过滤设备再走向真实路径
不知道这是不是绿盟的人说的“牵引”

作策略路由挺耗资源的。。。。
这种牵引，别人还没有开始DDoS。。
设备已经瘫倒那里了

信心源自实力，努力成就未来！
欢迎访问龙七客栈和睿博工作室

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

11^# 大中小发表于 2005-4-27 23:00 只看该作者

相对来说，做策略路由只对数据包IP头查看和转发，应该会比真接处理数据包及去匹配应用规则等更少资源消耗的吧？

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

1259

认证专家

Rank: 4

精华: 3
积分: 1662

发短消息
加为好友
当前离线

12^# 大中小发表于 2005-4-28 07:23 只看该作者

现在培训TCSP都嫩高高人??
偶当时记得培训讲师好像是马宜兴,从头到尾都是他一个人,都某换个新面孔给俺们看看....

喜神过境，活人勿近，天高地宽，各走一半......

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

13^# 大中小发表于 2005-4-28 09:07 只看该作者

TCSP确实挺基础的，没有什么很特别的地方，但老师不一样的话，听课的效果确实有很大不同。

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

wizard

管理员

Rank: 9 Rank: 9 Rank: 9

Trouble Maker

精华: 2
积分: 9784

发短消息
加为好友
当前离线

14^# 大中小发表于 2005-4-29 09:18 只看该作者

流量牵引……听着好像是sales才能说出来的东西。

想和你去抓抓包～

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

15^# 大中小发表于 2005-5-13 16:02 只看该作者

俺再次向俺们老师确认：
流量牵引主要是用于解决单点故障的问题上。而且也主要是对电信级的骨干网来做的。
举个例子：
在一个骨干网的线路上串联一个抗DOS产品，肯定不太现实，所以就把这个产品布署在傍路上。当发现有异常流量的情况下，再把这些异常流量引到该设备。比如现发现某一IP正受到DOS攻击，便在路由器上把发往这个IP的流量全部引到抗DOS的设备进行处理，这便就可以最大程度地，保证骨干网络的网络性能。

据证实，黑洞就是这么布署的。

[ Last edited by jingshne on 2005-5-13 at 16:05 ]

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

config

大内总管

Rank: 10

精华: 1
积分: 2863

网络安全专家 Netexpert小白鼠勋章

发短消息
加为好友
当前离线

16^# 大中小发表于 2005-5-13 16:17 只看该作者

看绿盟的官方白皮书，黑洞是串联di
http://www.nsfocus.com/homepage/products/collapsar.htm

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

17^# 大中小发表于 2005-5-13 16:23 只看该作者

引用:

Originally posted by config at 2005-5-13 04:17 PM:
看绿盟的官方白皮书，黑洞是串联di
http://www.nsfocus.com/homepage/products/collapsar.htm

只是图示拉~~

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

mzwa

版主

Rank: 7 Rank: 7 Rank: 7

精华: 4
积分: 2444

发短消息
加为好友
当前离线

18^# 大中小发表于 2005-5-13 16:27 只看该作者

牵引是通过策略路由实现的吗？具体怎么实现的？老j能不能举个例子说明一下

TOP

jingshne

版主

Rank: 7 Rank: 7 Rank: 7

=Netexpert第一JS=

精华: 11
积分: 4888

发短消息
加为好友
当前离线

19^# 大中小发表于 2005-5-13 16:34 只看该作者

如果纯粹是上面俺说的情况，俺想应该是做策略路由就可以了吧？
把发往某个IP的数据全部路由到另一个IP上。
其他情况俺就不是太清楚了。

不过俺上回看书，有说到一个包分类的技术，
就是说当数据包到达后，一次性提取数据包链数帧报头，IP报头，TCP/UDP报头，然后通过相应的运算，一次包转发到相应的流上。
这样一个进程就完成了转发操作。

因为俺看的不是很深入，也没有做过开发，所以就不知道包分类这个东东算不算是个好东西了。

[ Last edited by jingshne on 2005-5-13 at 16:46 ]

技术永不放弃市场一定角逐 http://www.netexpert.cn

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6255

发短消息
加为好友
当前离线

20^# 大中小发表于 2005-5-15 19:32 只看该作者

刚刚看了config转贴在自己blog的文章，大致了解了所谓的牵引其实是用BGP来做地，
可能策略路由可以作为一种辅助。

TOP