アカウント名:
パスワード:
金盾はそれだけのパケットをチェックして通過させたんだよね。なかなか性能高い感じなのかな。
実はGoogleでなく、金盾に対する攻撃だったら面白い。
そりゃ国がやっているのだから、バイパス機能はついているだろう。
金盾自身がそのパケットを生成すれば、チェックする必要ないよ。
ただ、中国の越境インターネットの帯域は2016年の時点で平均10Tbps超えてたみたいなので、2017年にピークで2.5Tbpsならそれほどでもないのかも。https://www.jetro.go.jp/biz/areareports/2018/380fd5f0d9c4bb4d.html [jetro.go.jp]
金盾の外やそれ自体が生成する場合はそうだね。
でも内側で生成して通す場合に、ピークで2.5TBpsがそれほどでもないとかは言えないでしょ…どんだけユーザーいると思ってんの。一箇所で1/4も食ってたら明らかに異常だし、余裕なくなると思うよ。
わざわざ平均とピークを分けて書いてるのに、混同したらいかんでしょ。平均で10Tbpsさばく必要があるシステムに、たった+1/4のピーク負荷乗せただけで余裕無くなるなら設計がおかしい。このDDoS攻撃が無くたって、通常の負荷変動だけでも破綻する。
金盾の脆弱性を突かれてリフレクション攻撃に利用された可能性が微レ存。
いつだったかユーザ側から見た金盾の挙動を説明する記事があったのだけど、基本はDNSでの名前解決時に禁止ドメインだと正規応答より先に解決失敗のパケット投げて、直接のTCP通信だとRSTパケットを投げ込んで中断させるって挙動だったって話だったかな……?リアルタイムで全部フィルタリングしてるんじゃなくて、基本はDNSだけ乗っ取って、残りは非リアルタイムな盗聴を基本に、必要時は妨害用パケットを混ぜ込む事で最小限の干渉で妨害してたらしい。何もかもを全て検閲するのは難しいと認めた上で、盗聴の有無を遮断時以外は見えないようにするコンセプトだったのかな。
今のTLSストリームまみれなインターネットではどうやっているのやら。どうにもならないから国内で類似サービス立ち上げさせる方向になってるのだろうか。
多分、下記ストーリーとかその辺だと思います。中国の「Great Firewall」ではパターンマッチを使ったDNS監視も行われている [it.srad.jp]
あと、OpenVPNとかのポート番号とかも監視してて、接続しようとした瞬間RSTが飛んできたりしますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
金盾凄いな。 (スコア:1)
金盾はそれだけのパケットをチェックして通過させたんだよね。
なかなか性能高い感じなのかな。
実はGoogleでなく、金盾に対する攻撃だったら面白い。
Re: (スコア:0)
そりゃ国がやっているのだから、バイパス機能はついているだろう。
Re: (スコア:0)
金盾自身がそのパケットを生成すれば、チェックする必要ないよ。
ただ、中国の越境インターネットの帯域は2016年の時点で平均10Tbps超えてたみたいなので、2017年にピークで2.5Tbpsならそれほどでもないのかも。
https://www.jetro.go.jp/biz/areareports/2018/380fd5f0d9c4bb4d.html [jetro.go.jp]
Re: (スコア:0)
金盾の外やそれ自体が生成する場合はそうだね。
でも内側で生成して通す場合に、ピークで2.5TBpsがそれほどでもないとかは言えないでしょ…
どんだけユーザーいると思ってんの。
一箇所で1/4も食ってたら明らかに異常だし、余裕なくなると思うよ。
Re: (スコア:0)
わざわざ平均とピークを分けて書いてるのに、混同したらいかんでしょ。
平均で10Tbpsさばく必要があるシステムに、たった+1/4のピーク負荷乗せただけで余裕無くなるなら設計がおかしい。
このDDoS攻撃が無くたって、通常の負荷変動だけでも破綻する。
Re: (スコア:0)
金盾の脆弱性を突かれてリフレクション攻撃に利用された可能性が微レ存。
Re: (スコア:0)
いつだったかユーザ側から見た金盾の挙動を説明する記事があったのだけど、
基本はDNSでの名前解決時に禁止ドメインだと正規応答より先に解決失敗のパケット投げて、
直接のTCP通信だとRSTパケットを投げ込んで中断させるって挙動だったって話だったかな……?
リアルタイムで全部フィルタリングしてるんじゃなくて、
基本はDNSだけ乗っ取って、残りは非リアルタイムな盗聴を基本に、
必要時は妨害用パケットを混ぜ込む事で最小限の干渉で妨害してたらしい。
何もかもを全て検閲するのは難しいと認めた上で、
盗聴の有無を遮断時以外は見えないようにするコンセプトだったのかな。
今のTLSストリームまみれなインターネットではどうやっているのやら。
どうにもならないから国内で類似サービス立ち上げさせる方向になってるのだろうか。
Re:金盾凄いな。 (スコア:1)
多分、下記ストーリーとかその辺だと思います。
中国の「Great Firewall」ではパターンマッチを使ったDNS監視も行われている [it.srad.jp]
あと、OpenVPNとかのポート番号とかも監視してて、接続しようとした瞬間RSTが飛んできたりしますね。