Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: EE Times

De EE Times schrijft dat VHB Technologies een chip, de Vipre, heeft ontworpen waarmee DDoS aanvallen effectief afgeweerd kunnen worden. De chip moet geknoopt worden aan een router en éénmaal geïnstalleerd onderzoekt het alle langskomende data. De eerste versie zal snelheden tot 2,5Gbit per seconde aankunnen en afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar:

The Vipre and sorter are embedded in a small rack-mountable system, the VHB-2000, that can perform searches at all seven layers of the Open System Interconnect protocol stack.

Users can set up searches and filters on the fly, without bringing down the system or network. A variety of Layer 1 and 2 interfaces are provided as both inputs and outputs to the system, including asynchronous transfer mode and Sonet operating at OC-12 and OC-48c rates; Gigabit Ethernet (or 10/100 Ethernet on the premises side); and Packet Over Sonet operating at OC-12 and OC-48c. Depending on its interfaces and daughter-card adjuncts, the system will list in a price range of $19,000 to $44,000.

In addition to filtering packets to watch for hacker attacks, the VHB-2000 can process in parallel up to 380,000 access-control-list lines, making it an all-purpose accelerator for router-table acceleration.
Moderatie-faq Wijzig weergave

Reacties (34)

Als ze met "Open System Interconnect" het OSI-model bedoelen, dan werkt dit niet op TCP/IP, aangezien TCP/IP eerder tot stand is gekomen is dan t OSI-model en daarom daarvan afwijkt qua opbouw. TCP/IP bestaat IIRC uit 4 lagen (exclusief de fysieke laag), niet uit 7.

Hoe zit t nou?
TCP/IP past ook in het OSI plaatje.

TCP/IP begint bij Layer 3 en loopt door tot Layer 7, en dat zijn dus 5 "Layers".

Layer 1 : Physical (de kabel)
Layer 2 : Network (Ethernet / tokenring /enz)
Layer 3 : Protocol (TCP)
Layer 4 : Transport (Connection oriented/ of niet)
Layer 5 : Session (onderhoud transport heen en weer)
Layer 6 : Presentation (file formaat.. *.jpg, *.txt)
Layer 7 : Application (Bijvoorbeeld Telnet)

Vanaf Layer 3 komt TCP/IP ter sprake. (Of IPX/SPX)

Disclaimer : zwaar gesimplificeerd !
Eigenlijk hoort IP in layer 3 en TCP in layer 4 omdat TCP bovenop IP ligt en de connectie(transport) met het andere station regelt. Hetzelfde geld voor SPX dat bovenop IPX ligt, al zul je IPX/SPX tegenwoordig niet veel meer tegenkomen tenzij je een Novell netwerk hebt.

Wat ze dus waarschijnlijk bedoelen is dat ze het pakket analyseren op verschillende nivo's. Bekijk een pakketje maar eens met een sniffer bijna elk laag gebruikt wel weer een vorm van adresering waarmee een afzender achterhaald kan worden. Eerst binnen de network layer waar je vaak een MAC adres van de afzender of router tegenkomt dan binnen IP het IP-Adress en uiteindelijk op de hogere lagen HTTP etc eventueele computer/browser of andere gebruiker gerelateerde info. Ik neem aan dat zo'n chippy dus al de info van deze lagen verifieerd (Checksum, afzender lengte van pakketten). Hij kan dan verdachte niet kloppende pakketjes droppen waardoor de uiteindelijk server beschermd blijft. Als je al deze checks op een PC wilt doen zou je software een stuk trager worden en je hebt één of meerdere behoorlijke PC('s) nodig om 2,5 Gbit te halen.
Simpel gezegd is hety OSI stelsel datgene waar alle moderne netwerk protocollen "gebruik van maken". Het OSI is niets anders dan een standaard voor het creeren van protocollen tbv netwerk communicatie, waaronder bijvoorbeeld TCP, IP, IPX en NetBeui vallen.

De diverse protocollen maken gebruik van 1 of meerdere lagen van het OSI (zie hierboven voor de OSI-layout).

Bijvoorbeeld IP maakt vooral gebruik van OSI layer 2/3/4 terwijl TCP gebruik maakt van de hogere (dichter bij application) layers 4/5/6. Voor alle protocollen geldt dat ze communicatie mogelijk maken tussen 2 (of meer) network nodes en doen dat dus via communicatie gebaseerd op OSI, om zo de zaak standaard te houden.
Ik denk dat OSI zo standaard en vaag geformuleerd is dat elk mogelijk bedenkbaar protocol toch wel op de 1 of de andere manier binnen OSI valt te beschrijven. Ik als software techneut zie OSI ook meer als iets om je nieuwe protocol etc, een manager 8tig verhaaltje te kunnen geven voor mensen wie je niet het hele verhaal uit wilt leggen. Uiteindelijk komt alles neer op gestapelde record structuur waar bij elke uitbreiding van dit record (layer) sprake wordt van een steeds meer toegespitst protocol. Ja OSI is niet anders dan een aantal stappen om dit in te doen maar deze stappen zijn zo logisch dat je er eigenlijk ook niet omheen kunt.
Ik wil nu niet gaan bitneuken maar toch voor de duidelijkheid: TCP implementeert lagen 5 6 en 7 van het OSI model NIET! ... Die implementatie wordt overgelaten aan de programmeurs van de applicatie software... Er zit GEEN session of presentation layer in TCP... Trouwens presentation layer betekent helemaal niet gif of jpg ... het heeft te maken met op welke manier welke data van een frame zichtbaar is voor een applicatie...
TCP/IP zou je wel met een aantal lagen kunnen vergelijken, waarschijnlijk bedoelen ze dat ze de 7 lagen kunnen filteren, dus je kan ze op allerlei soorten routers gebruiken.

Lijkt mij dat het alleen nuttig is voor tcp/ip, ipxspx ed.
Lijkt me niet echt waarschijnlijk dat iemand een aanval doet met atm-frames :)
Zelfs met deze chip kun je nog een DoS attack uitvoeren, het is gewoon een kwestie van genoeg slaafjes vinden die op het goede moment voor jouw pakketjes gaan sturen. Maar het is in ieder geval beter dan helemaal geen beveiliging
Als je met slaafjes / demons werkt dan is het geen DoS attack maar een DDoS attack volgens mij...

* 786562 The
Boeit toch weinig voor de Chip of het nu DoS of DDoS is ? Het ene is de "heftigere" variant van de ander.

Het principe is gelijk, alleen de uitvoering groter.

Heeft dus alleen maar impact over hoeveel het kreng moet kunnen verwerken, niet op de werking zelf.
*zucht* al zet jer er 100 chippies tussen. Zolang de packets die richting op gaan dan werkt een (D)Dos. Alles wat je blokkeert beschermd misschien wel je machines maar ondertussen wordt die bandbreedte toch gewoon opgeslokt. Conclusie: Voorlopig kan je er gewoon niets aan doen of je moet het x aantal stappen voor het doel al kunnen opvangen. (En wel meerdere routes naar dat doel hebben)

*grin* Wat zouden ze betalen als je bewijst dat het niet tegen te houden is ? De helft van de aanschaf lijkt mij wel leuk :)
Het ding moet ook bij een router worden geplaatst. Dus als alle/veel backbone providers deze chips gaan inzetten, dan heeft het wel degelijk zin.

Denk eraan dat het niet zo hoeft te zijn dat deze chip packets herkent die duiden op een DDoS (al doet'ie dat waarschijnlijk ook), je kan ze wellicht ook inzetten als een soort load-balancer op OSI niveau. Alleen een load-balancer redirect bij teveel traffic dat dezelfde kant op komt, deze discard de boel gewoon.
Dan moet je met verdraait (ahum) veel slaafjes komen. Ik denk dat de bottleneck dan de beschikbare bandbreedte zal worden.

Dus ongetwijfeld zal zo'n chip in de praktijk (zoveel slaafjes zijn er vast niet te vinden) afdoende blijken.

:7
Ja heel veel slaafjes...Als je een site als Altavista of een andere geweldige zoekmachine :) wilt platleggen moet je dus alle bandbreedte opslokken.
Het gaat er om dat DoS uiteindelijk niet op te lossen is.
Dit is duidelijk het product van een hype. DDoS attacks zijn ook zonder deze chip al makkelijk bij de border routers af te vangen.
Niet makkelijk, je zet dan toch bepaalde limieten op bepaald verkeerd, wat ook wel werkt, maar deze chip zal wel een of ander algoritme gebruiken waardoor het veel efficienter en beter gebeurt.
Die gaan me daar denk een hoop geld verdienen zeg.

Als de consument dit gelooft (bedrijven ed) dan gaan die dingen als warme broodjes over de toonbank.
Ja, maar het is voor veel bedrijven duurder om een uur of meer offline te zijn.
Ik vraag me af of dit wel echt werkt.
Je kan toch ook gewoon al je slaafjes de hele bandbreedte die zo'n bedrijf heeft in beslag nemen.
Je blijft die machine maar bombarderen, en ondanks dat die machine je fake requests niet meer in behandeling neemt, word wel je bandbreedte gebruikt.
Of werkt het niet zo? Gewoon een varient op een DDOS attack dan dus.
Tja, je Site blijft even onbereikbaar als zonder zo'n ding, (Bandbreedte wordt inderdaad verbruikt!) maar je Servers gaan niet op hun gat.

Dat lijkt me toch ook wel wat waard.
Maar de mensen die de DoS attack uitvoeren zijn OOK kun bandbreedte kwijt, de site gaat niet plat, het is dan ook eigenlijk gewoon netzoiets flauws als een server te overbelasten door telkens de zelfde file te downloaden ofzo, en dan met veel man, het heeft niks meer met platgooien te maken.

* 786562 TheGhostInc
Als je als grote provider het verkeer filtert voordat het naar leased line klantjes gaat, kan je zo een (d)dos attack op die klantjes minimaliseren.

Voorbeeld: Level3 filtered de boel, zodat hostingprovider bla er geen last van heeft
De eerste trekt 320 meg per seconde.......lijkt me toch wel ruim voldoende voor een huurlijntje ? De meeste bedrijven zullen daar wel genoeg aan hebben.
DoS attacks zijn aardig goed af te vangen.... Het probleem is dus DDoS attacks... Dan zijn er dus wereldwijd machines/servers die je aanvallen...
Euh...
De chip moet geknoopt worden aan een router en éénmaal geïnstalleerd onderzoekt het alle langskomende data. De eerste versie zal snelheden tot 2,5Gbit per seconde aankunnen en afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar:
Ik neem aan dat we het over een volledig device hebben voor die prijzen ?

Chippies knopen ook zo slecht aan Routers... ;)
afhankelijk van de smaak zijn de kosten voor een Vipre van 19.000 tot 44.000 dollar
Doe mij dan maar aardbei :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True