VHB Technologies komt met anti-DoS chip

De EE Times schrijft dat VHB Technologies een chip, de Vipre, heeft ontworpen waarmee DDoS aanvallen effectief afgeweerd kunnen worden. De chip moet geknoopt worden aan een router en éénmaal geïnstalleerd onderzoekt het alle langskomende data. De eerste versie zal snelheden tot 2,5Gbit per seconde aankunnen en afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar:

The Vipre and sorter are embedded in a small rack-mountable system, the VHB-2000, that can perform searches at all seven layers of the Open System Interconnect protocol stack.

Users can set up searches and filters on the fly, without bringing down the system or network. A variety of Layer 1 and 2 interfaces are provided as both inputs and outputs to the system, including asynchronous transfer mode and Sonet operating at OC-12 and OC-48c rates; Gigabit Ethernet (or 10/100 Ethernet on the premises side); and Packet Over Sonet operating at OC-12 and OC-48c. Depending on its interfaces and daughter-card adjuncts, the system will list in a price range of $19,000 to $44,000.

In addition to filtering packets to watch for hacker attacks, the VHB-2000 can process in parallel up to 380,000 access-control-list lines, making it an all-purpose accelerator for router-table acceleration.

Door Hielko van der Hoorn

Feedback • 08-02-2001 16:18 34

08-02-2001 • 16:18

34

Bron: EE Times

Lees meer

Xs4all wordt al een week door DDoS-aanval geteisterd
Xs4all wordt al een week door DDoS-aanval geteisterd Nieuws van 24 oktober 2003
FBI: internetaanvallen kwamen uit VS en Zuid-Korea
FBI: internetaanvallen kwamen uit VS en Zuid-Korea Nieuws van 5 november 2002
Internet weerstaat grootste DDoS aanval ooit
Internet weerstaat grootste DDoS aanval ooit Nieuws van 23 oktober 2002
Computers

Reacties (34)

-Moderatie-faq
34
33
31
22
5
0
Wijzig sortering
N8w8 8 februari 2001 16:28
Als ze met "Open System Interconnect" het OSI-model bedoelen, dan werkt dit niet op TCP/IP, aangezien TCP/IP eerder tot stand is gekomen is dan t OSI-model en daarom daarvan afwijkt qua opbouw. TCP/IP bestaat IIRC uit 4 lagen (exclusief de fysieke laag), niet uit 7.

Hoe zit t nou?
GaMeOvEr @N8w88 februari 2001 16:45
TCP/IP past ook in het OSI plaatje.

TCP/IP begint bij Layer 3 en loopt door tot Layer 7, en dat zijn dus 5 "Layers".

Layer 1 : Physical (de kabel)
Layer 2 : Network (Ethernet / tokenring /enz)
Layer 3 : Protocol (TCP)
Layer 4 : Transport (Connection oriented/ of niet)
Layer 5 : Session (onderhoud transport heen en weer)
Layer 6 : Presentation (file formaat.. *.jpg, *.txt)
Layer 7 : Application (Bijvoorbeeld Telnet)

Vanaf Layer 3 komt TCP/IP ter sprake. (Of IPX/SPX)

Disclaimer : zwaar gesimplificeerd !
PuzzleSolver @GaMeOvEr8 februari 2001 18:58
Eigenlijk hoort IP in layer 3 en TCP in layer 4 omdat TCP bovenop IP ligt en de connectie(transport) met het andere station regelt. Hetzelfde geld voor SPX dat bovenop IPX ligt, al zul je IPX/SPX tegenwoordig niet veel meer tegenkomen tenzij je een Novell netwerk hebt.

Wat ze dus waarschijnlijk bedoelen is dat ze het pakket analyseren op verschillende nivo's. Bekijk een pakketje maar eens met een sniffer bijna elk laag gebruikt wel weer een vorm van adresering waarmee een afzender achterhaald kan worden. Eerst binnen de network layer waar je vaak een MAC adres van de afzender of router tegenkomt dan binnen IP het IP-Adress en uiteindelijk op de hogere lagen HTTP etc eventueele computer/browser of andere gebruiker gerelateerde info. Ik neem aan dat zo'n chippy dus al de info van deze lagen verifieerd (Checksum, afzender lengte van pakketten). Hij kan dan verdachte niet kloppende pakketjes droppen waardoor de uiteindelijk server beschermd blijft. Als je al deze checks op een PC wilt doen zou je software een stuk trager worden en je hebt één of meerdere behoorlijke PC('s) nodig om 2,5 Gbit te halen.
Qman @PuzzleSolver8 februari 2001 23:39
Simpel gezegd is hety OSI stelsel datgene waar alle moderne netwerk protocollen "gebruik van maken". Het OSI is niets anders dan een standaard voor het creeren van protocollen tbv netwerk communicatie, waaronder bijvoorbeeld TCP, IP, IPX en NetBeui vallen.

De diverse protocollen maken gebruik van 1 of meerdere lagen van het OSI (zie hierboven voor de OSI-layout).

Bijvoorbeeld IP maakt vooral gebruik van OSI layer 2/3/4 terwijl TCP gebruik maakt van de hogere (dichter bij application) layers 4/5/6. Voor alle protocollen geldt dat ze communicatie mogelijk maken tussen 2 (of meer) network nodes en doen dat dus via communicatie gebaseerd op OSI, om zo de zaak standaard te houden.
PuzzleSolver @PuzzleSolver9 februari 2001 00:29
Ik denk dat OSI zo standaard en vaag geformuleerd is dat elk mogelijk bedenkbaar protocol toch wel op de 1 of de andere manier binnen OSI valt te beschrijven. Ik als software techneut zie OSI ook meer als iets om je nieuwe protocol etc, een manager 8tig verhaaltje te kunnen geven voor mensen wie je niet het hele verhaal uit wilt leggen. Uiteindelijk komt alles neer op gestapelde record structuur waar bij elke uitbreiding van dit record (layer) sprake wordt van een steeds meer toegespitst protocol. Ja OSI is niet anders dan een aantal stappen om dit in te doen maar deze stappen zijn zo logisch dat je er eigenlijk ook niet omheen kunt.
Verwijderd @GaMeOvEr9 februari 2001 11:51
Ik wil nu niet gaan bitneuken maar toch voor de duidelijkheid: TCP implementeert lagen 5 6 en 7 van het OSI model NIET! ... Die implementatie wordt overgelaten aan de programmeurs van de applicatie software... Er zit GEEN session of presentation layer in TCP... Trouwens presentation layer betekent helemaal niet gif of jpg ... het heeft te maken met op welke manier welke data van een frame zichtbaar is voor een applicatie...
deef- @N8w88 februari 2001 16:40
TCP/IP zou je wel met een aantal lagen kunnen vergelijken, waarschijnlijk bedoelen ze dat ze de 7 lagen kunnen filteren, dus je kan ze op allerlei soorten routers gebruiken.

Lijkt mij dat het alleen nuttig is voor tcp/ip, ipxspx ed.
Lijkt me niet echt waarschijnlijk dat iemand een aanval doet met atm-frames :)
Kanarie 8 februari 2001 16:22
Zelfs met deze chip kun je nog een DoS attack uitvoeren, het is gewoon een kwestie van genoeg slaafjes vinden die op het goede moment voor jouw pakketjes gaan sturen. Maar het is in ieder geval beter dan helemaal geen beveiliging
The Source @Kanarie8 februari 2001 16:28
Als je met slaafjes / demons werkt dan is het geen DoS attack maar een DDoS attack volgens mij...

* 786562 The
GaMeOvEr @The Source8 februari 2001 16:34
Boeit toch weinig voor de Chip of het nu DoS of DDoS is ? Het ene is de "heftigere" variant van de ander.

Het principe is gelijk, alleen de uitvoering groter.

Heeft dus alleen maar impact over hoeveel het kreng moet kunnen verwerken, niet op de werking zelf.
Verwijderd @GaMeOvEr8 februari 2001 19:18
*zucht* al zet jer er 100 chippies tussen. Zolang de packets die richting op gaan dan werkt een (D)Dos. Alles wat je blokkeert beschermd misschien wel je machines maar ondertussen wordt die bandbreedte toch gewoon opgeslokt. Conclusie: Voorlopig kan je er gewoon niets aan doen of je moet het x aantal stappen voor het doel al kunnen opvangen. (En wel meerdere routes naar dat doel hebben)

*grin* Wat zouden ze betalen als je bewijst dat het niet tegen te houden is ? De helft van de aanschaf lijkt mij wel leuk :)
JeroenB @GaMeOvEr8 februari 2001 20:16
Het ding moet ook bij een router worden geplaatst. Dus als alle/veel backbone providers deze chips gaan inzetten, dan heeft het wel degelijk zin.

Denk eraan dat het niet zo hoeft te zijn dat deze chip packets herkent die duiden op een DDoS (al doet'ie dat waarschijnlijk ook), je kan ze wellicht ook inzetten als een soort load-balancer op OSI niveau. Alleen een load-balancer redirect bij teveel traffic dat dezelfde kant op komt, deze discard de boel gewoon.
gumkop @Kanarie8 februari 2001 16:27
Dan moet je met verdraait (ahum) veel slaafjes komen. Ik denk dat de bottleneck dan de beschikbare bandbreedte zal worden.

Dus ongetwijfeld zal zo'n chip in de praktijk (zoveel slaafjes zijn er vast niet te vinden) afdoende blijken.

:7
Kanarie @gumkop8 februari 2001 16:40
Ja heel veel slaafjes...Als je een site als Altavista of een andere geweldige zoekmachine :) wilt platleggen moet je dus alle bandbreedte opslokken.
Het gaat er om dat DoS uiteindelijk niet op te lossen is.
Bigs 8 februari 2001 16:30
Dit is duidelijk het product van een hype. DDoS attacks zijn ook zonder deze chip al makkelijk bij de border routers af te vangen.
deef- @Bigs8 februari 2001 16:49
Niet makkelijk, je zet dan toch bepaalde limieten op bepaald verkeerd, wat ook wel werkt, maar deze chip zal wel een of ander algoritme gebruiken waardoor het veel efficienter en beter gebeurt.
DeTeraarist 8 februari 2001 16:24
Die gaan me daar denk een hoop geld verdienen zeg.

Als de consument dit gelooft (bedrijven ed) dan gaan die dingen als warme broodjes over de toonbank.
JT @DeTeraarist8 februari 2001 18:23
Ja, maar het is voor veel bedrijven duurder om een uur of meer offline te zijn.
Glottis 8 februari 2001 16:51
Ik vraag me af of dit wel echt werkt.
Je kan toch ook gewoon al je slaafjes de hele bandbreedte die zo'n bedrijf heeft in beslag nemen.
Je blijft die machine maar bombarderen, en ondanks dat die machine je fake requests niet meer in behandeling neemt, word wel je bandbreedte gebruikt.
Of werkt het niet zo? Gewoon een varient op een DDOS attack dan dus.
GaMeOvEr @Glottis8 februari 2001 16:54
Tja, je Site blijft even onbereikbaar als zonder zo'n ding, (Bandbreedte wordt inderdaad verbruikt!) maar je Servers gaan niet op hun gat.

Dat lijkt me toch ook wel wat waard.
TheGhostInc @GaMeOvEr9 februari 2001 14:28
Maar de mensen die de DoS attack uitvoeren zijn OOK kun bandbreedte kwijt, de site gaat niet plat, het is dan ook eigenlijk gewoon netzoiets flauws als een server te overbelasten door telkens de zelfde file te downloaden ofzo, en dan met veel man, het heeft niks meer met platgooien te maken.

* 786562 TheGhostInc
deef- @Glottis8 februari 2001 16:55
Als je als grote provider het verkeer filtert voordat het naar leased line klantjes gaat, kan je zo een (d)dos attack op die klantjes minimaliseren.

Voorbeeld: Level3 filtered de boel, zodat hostingprovider bla er geen last van heeft
JT 8 februari 2001 16:22
De eerste trekt 320 meg per seconde.......lijkt me toch wel ruim voldoende voor een huurlijntje ? De meeste bedrijven zullen daar wel genoeg aan hebben.
Verwijderd 8 februari 2001 16:28
DoS attacks zijn aardig goed af te vangen.... Het probleem is dus DDoS attacks... Dan zijn er dus wereldwijd machines/servers die je aanvallen...
GaMeOvEr 8 februari 2001 16:31
Euh...
De chip moet geknoopt worden aan een router en éénmaal geïnstalleerd onderzoekt het alle langskomende data. De eerste versie zal snelheden tot 2,5Gbit per seconde aankunnen en afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar:
Ik neem aan dat we het over een volledig device hebben voor die prijzen ?

Chippies knopen ook zo slecht aan Routers... ;)
Speedtracer 8 februari 2001 18:03
Voor de fans, de vergelijking tussen, tcp/ip en het osi model..

http://cache.netacad.net/prot-doc/curriculum/1060/en /content/1047/1051/1103/d0140203e.gif
SiGNe 9 februari 2001 04:16
afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar
Doe mij dan maar aardbei :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq