gfw與ddos

gfw與ddos

Submitted by tywtyw2002 on 2010, August 14, 2:30 AM. 网络·技术

最近1984被中国ddos，然后就是封ip。
到底gfw會不會屏蔽ddos呢？
這個話題一會我們談一下。
首先先說下 gfw的屏蔽的2中方式
1.就是平時所看見的鏈接重置，這個發生在互聯網關口上。
2.ip封鎖，其實這個不是gfw做的，而是各個省級核心路由器做的。

那么ddos是什么呢？
我先copy下。。。文章沒找到。。
簡單的說下吧，現在基本的攻擊方式都是 syn flood，制造海量syn數據包去制造空連接，讓服務器消耗端口，因為空連接會有30s的等待時間導致端口不能用，所以讓正常的鏈接無法建立。
syn flood 中原ip都是偽造的是不存在的，當服務器收到這些數據包也會發送一個回應數據包，這樣就造成了2倍的流量（1倍對于服務器是下行的，就是ddos者發送的數據包，另外1倍就是服務器回饋的流量。）這樣網絡帶寬直接被消耗干凈了。
一般1m的adsl可以產生大概500kbits/s的ddos 流量， 100臺就是50mbits的流量。很輕松就能讓一臺服務器帶寬耗盡。

結論：
1。ddos不會產生tcp鏈接，他的目的是利用tcp三次握手的漏洞。
2.源ip是偽造的，只要發送者能夠把這個數據包發送到服務器那么ddos就可以進行。

好了那就說下gfw的2種情況吧
先說1吧。
鏈接重置是建立在穩定的tcp連接上，gfw審核的tcp鏈接發送的內容，如果tcp鏈接都沒法成功建立可以說gfw是無法屏蔽的。
所以即使有關鍵字被屏蔽的情況下是可以在國內發起ddos的。
ps 墻不是路由是一個監聽設備類似ids。

2.這種情況是路由器處理的，因為路由器直接參與數據包轉發所有目的ip為被封鎖ip 直接跳轉到 null0 （cisco邏輯端口丟棄數據包不產生任何回復。）
所有此種情況在國內無法發動ddos攻擊，其實ip被封了也是好事哈哈

ps 了解路由封鎖可以看下我以前寫的文章【实验】基于路由协议的的ip封锁
http://landon.v70.us/show-113-1.html