不要把抽风附会到高墙上

windywinter · 发表于 2010-12-30 19:35:44

根据已知的可靠的研究结论，高墙不是防火墙，而是旁路设备，其运行模式有二

在光纤登陆点分光，将流入到Chinanet的流量复制到自己的网络进行包检测，检测到关键字后，发送RST信号或伪造的DNS响应。
架设黑洞路由，将被封锁的IP地址通过BGP协议散布，使Chinanet到被封锁地址的路由指向黑洞。

无论是RST信号、伪造的DNS响应还是指向黑洞的BGP包，高墙都不会影响正常数据包的路由，这也是高墙的设计理念。
高墙仅在北京、上海的互联网信息交换中心与Chinanet互联，RST信号、伪造的DNS响应、指向黑洞的BGP包均是在这两处发出，带宽大概是每地10G。
高墙升级不正常只会引起莫名其妙的封锁（如昨天google.com被加入关键字列表）以及自身抽风，不会引起Chinanet及中国到美国的线路的抽风。

组长 · 发表于 2010-12-30 19:37:09

技术贴

windywinter · 发表于 2010-12-30 19:37:14

竟然高级了

weishimi · 发表于 2010-12-30 19:37:34

技术文，不懂～

小夜 · 发表于 2010-12-30 19:37:49

不明真相的群众路过。

mslxd · 发表于 2010-12-30 19:38:15

厉害，这都给你知道了

vnconfig · 发表于 2010-12-30 19:38:16

BGP 不是用来分发黑洞的，BGP 路由表里只写 AS 路径，实际采用的可能是 OSPF。

yang · 发表于 2010-12-30 19:38:17

就是这样的,上网行为管理设备的原理跟墙类似,找下相关厂家的资料就知道了.

windywinter · 发表于 2010-12-30 19:41:12

原帖由 vnconfig 于 2010-12-30 19:38 发表
BGP 不是用来分发黑洞的，BGP 路由表里只写 AS 路径，实际采用的可能是 OSPF。

高墙与其他运营商是不同的AS，之间是没法用OSPF的，它只要宣称被封锁的IP为自己所有，就可以使用BGP了。

vnconfig · 发表于 2010-12-30 19:44:08

另外，线路抽风跟运营商的基础设施有关，联通的设施很烂，以至于有时候墙的 RST 都发不过来。可以肯定的是，IDS 设备不用串联的方式接入，而是旁路，这个做过网络安全的都知道。延迟和丢包不能怪墙。

		自动登录	找回密码
密码			注册

不要把抽风附会到高墙上

评分

评分

浏览过的版块