iKuai爱快流控路由

标题: 爱快的抗攻击能力超级低，不堪一击！！！ [打印本页]

作者: 9622315 时间: 2014-2-23 08:29
标题: 爱快的抗攻击能力超级低，不堪一击！！！
本帖最后由 9622315 于 2014-2-23 09:04 编辑

爱快的抗攻击能力弱爆了！！！

测试环境如下

爱快主机
泰安 ATOM330 双1000M服务器主板，1G内存
爱快1.3.0-P1 Build20140217-12:31

攻击主机
微星工控主板，T8300 CPU，4G内存
Windows 7 x64旗舰版，破盾者防火墙测试仪

网络环境
10/100M自适应全双工无阻塞交换机
攻击主机通过上述交换机连接至爱快主机的LAN接口

在攻击主机上启动破盾者防火墙测试仪，选择单机（攻击）模式，（攻击）线程数量设置到50，
攻击类型全选（TCP、UDP、ICMP、SYN、超级CC、TCP多连接），攻击目标填写爱快的LAN IP，
攻击端口80，其他默认，点击“开始”按钮发起攻击。

这时刷新爱快的系统信息页面，可以看到，状态连接数大约有500多个会话，CPU使用量约33%，
从流量监视页面可以看到，攻击流量大约95Mbps左右，因交换机硬件限制，不可能超过100M，
攻击持续1分钟后，系统信息页面，无响应，CPU使用量数值无变化，ping爱快不通，遂断网之。

点击停止按钮停止攻击，退出破盾者防火墙测试仪，彻底结束攻击进程，ping爱快LAN依然不通，
LAN网内的其他电脑，也无法通过DHCP服务，从爱快上获取到IP地址，3个小时以后，状态依旧。

重启爱快主机后，网络恢复正常，到此可以认为上述攻击测试过程，导致爱快网络服务彻底崩溃，
并且系统不能自愈，在不重启爱快主机的前提下，即便停止攻击后，状态依旧，攻击永久性生效。

仅仅单点攻击，仅仅50线程，仅仅100M攻击流量，仅仅1分钟左右，就能让爱快网络服务彻底崩溃，
以至永久性断网，这也太……

同样的测试环境，硬件配置更低的软路由主机，装m0n0wall系统，攻击半个小时后，系统依然OK，
停止攻击后，网络立即恢复正常，加大攻击线程至100，10分钟后，攻击测试电脑崩溃，攻击停止，
网络立即恢复正常。

从上述测试结果看，爱快要想进军商用领域，还有很长的路要走呀！任重而道远！！！

作者: oO冰Oo 时间: 2014-2-23 08:49
小声点，你知道就行了。。。别到处说。。。

作者: jes188 时间: 2014-2-23 08:59
哎~~ 不要打击这些小朋友啦，他们认为他们的东西很好的，我们也不要说太多不好的。反正又不用的嘛。

作者: zuoanyxw 时间: 2014-2-23 09:01
难道这就是传说中的《双枪老太婆》？

作者: asdqwe123 时间: 2014-2-23 09:04
有没测试其他?

作者: 小C 时间: 2014-2-23 09:10

jes188 发表于 2014-2-23 08:59
哎~~ 不要打击这些小朋友啦，他们认为他们的东西很好的，我们也不要说太多不好的。反正又不用的嘛。 ...

好酸哦

作者: 小C 时间: 2014-2-23 09:12
咳，正式答复一下楼主吧，防火墙方面我们目前基本没做任何工作，仅拿linux自带的几个简单工具，目前也未发现几家用户反馈有攻击，在极端测试环境下被搞，不代表不可以商用，

作者: sstong 时间: 2014-2-23 09:20
本帖最后由 sstong 于 2014-2-23 09:25 编辑

这个点爱快确实很弱，上周也是被攻击死了，没方法只能重启。希望爱快2.0能好点！ (, 下载次数: 27)

(, 下载次数: 32)
我不是黑爱快，我本身就是爱快的用户，只希望爱快能好用！
限制图
(, 下载次数: 25)

作者: dg02718 时间: 2014-2-23 10:07
确实在这方面值得改进

作者: cq2013 时间: 2014-2-23 10:09

sstong 发表于 2014-2-23 09:20
这个点爱快确实很弱，上周也是被攻击死了，没方法只能重启。希望爱快2.0能好点！

一般的时候应该很少遇到攻击的吧

作者: edwin3389 时间: 2014-2-23 12:58
现在爱快用户群多了，也应该重视下安全方面了，不然网吧，小区被恶意攻击或者被一些人用来做学习测试的对象，损失就大了。

作者: a4732079 时间: 2014-2-23 13:30
这个要顶。。希望爱快做的更好！！

作者: heavenedge 时间: 2014-2-23 14:04
正常情况下术有专攻同样的测试可以多测试几个其它软件和硬件产品看看结果如何但对于安全有一定要求的环境通常会使用专业硬件防火墙所以真正商用网络不会担心这个问题每一个产品都是不断完善就像人一样活到老学到老爱快还是一个新产品不可能一步登天其有其擅长之领域所以当务之急是将这些根基做强做大

作者: 网络浪子 时间: 2014-2-23 14:47
本帖最后由网络浪子于 2014-2-23 16:50 编辑

好无聊的测试。。。。。弄个ATOM 330来抗攻击？你是当ATOM是至强还是当爱快是防火墙软件？

作者: 一条大虫 时间: 2014-2-23 14:51
2.0期待有提高

作者: 9622315 时间: 2014-2-23 15:46
本帖最后由 9622315 于 2014-2-23 16:43 编辑

网络浪子发表于 2014-2-23 14:47
好无聊的测试。。。。。弄个ATOM 330来抗攻击？你是当ATOM是到强还是当爱快是防火墙软件？ ...

不要以为330非常弱智，同样的硬件，装其他路由系统，抗攻击能力都很强，最关键的是爱快不能自愈，

也就是攻击撤销后，系统仍然瘫痪。这说明爱快的系统的健康性不强，这与CPU处理能力没有任何关系。

再说我的攻击量根本就没有多大，仅仅几百个连接，100M流量，真要是遇到DDOS，瞬间就是上万连接。

就现在的情况看，你就是换双至强，对爱快来说也无济于事，几台双核电脑，瞬间秒杀爱快，不信你试试。

作者: 9622315 时间: 2014-2-23 15:51

小C 发表于 2014-2-23 09:12
咳，正式答复一下楼主吧，防火墙方面我们目前基本没做任何工作，仅拿linux自带的几个简单工具，目前也未发 ...

攻击撤销后，系统不能自愈，这就说明系统的健康性欠缺，诚然抵御攻击，拼的是CPU、内存、带宽等硬件资源，

如果硬件配置不够高，很难抵御，但是我测试时的攻击量，可以说是小只有小了，仅仅几百连接，不到100M流量，

如果真的是实际环境中有网络攻击，那么瞬间就是上万连接，攻击进行时，网络丢包，系统停止响应，这是允许的，

但攻击撤销时，必须要保证系统能恢复正常，否则一旦LAN内有网络病毒发作，将导致整个网络瘫痪的。

作者: 离岛 时间: 2014-2-23 16:46
不能　　搞破坏呀　　朋友

作者: 9622315 时间: 2014-2-23 16:49

离岛发表于 2014-2-23 16:46
不能　　搞破坏呀　　朋友

这不是搞破坏，是我在测试爱快系统的各方面性能，测试环境是独立出来的。

作者: 网络浪子 时间: 2014-2-23 16:53

9622315 发表于 2014-2-23 16:49
这不是搞破坏，是我在测试爱快系统的各方面性能，测试环境是独立出来的。 ...

路由咱还是测测转发能力和各功能模块吧。。。。
这种测试还是针对号称防火墙的设备去做更合适些。
咱不能专打弱项啊。

作者: 9622315 时间: 2014-2-23 17:11
本帖最后由 9622315 于 2014-2-23 17:21 编辑

网络浪子发表于 2014-2-23 16:53
路由咱还是测测转发能力和各功能模块吧。。。。
这种测试还是针对号称防火墙的设备去做更合适些。
咱不能 ...

可是你不能排除，万一LAN内有病毒发作，攻击网关，那岂不是就坏大事了。

我不要求爱快有很强的抗攻击能力，攻击进行时，可以停止响应，停止服务。

但攻击撤销后，一定能立即恢复正常，才行呀，能自愈的系统，才叫健康呀！

作者: 9622315 时间: 2014-2-23 17:23

小C 发表于 2014-2-23 09:12
咳，正式答复一下楼主吧，防火墙方面我们目前基本没做任何工作，仅拿linux自带的几个简单工具，目前也未发 ...

我的测试环境，很简单，攻击量也比较小，这远远算不上是极端，

区区几百连接能叫极端么？真实环境中的DDOS，瞬间上万连接。

我不要求爱快有很强的抗攻击能力，攻击进行时，允许停止响应，

允许停止服务。但攻击撤销后，一定能立即恢复正常，才可以呀，

能自愈的系统，才叫健康呀！否则就是个病秧子，早晚要出事的。

作者: auraZiD 时间: 2014-2-23 18:41
m0n0wall啊，那是某些地方可以接近商业级的防火墙啊，爱快怎么比啊…… 其实维盟什么的也一样，很容易就死掉的……

作者: slbbs 时间: 2014-2-23 22:34

你赢了行吗

作者: 9622315 时间: 2014-2-23 22:44
又不输房子不赢地的，啥赢不赢的，我就事论事，实事求是。

只是接个小工程，打算用爱快系统，所以这几天一直在测试。

不测不知道，一测还真发现了不少问题，所以上来得瑟得瑟，

我也希望爱快能尽快长大，良药苦口，忠言逆耳呀！

作者: airkin 时间: 2014-2-23 22:51
这方面爱快确实不强，一定要加强

作者: gcx6671 时间: 2014-2-23 23:13
楼主是想探讨爱快的抗攻击能力。

爱快刚出道不久这没错，

如果爱快觉得自己在抗攻击方面确实欠缺，那就应该在这方面加强。而不是找借口推脱。

顶楼主！支持楼主！

作者: xiejl1974 时间: 2014-2-25 11:27
安全和稳定最重要。

作者: chenyaoxiang 时间: 2014-2-25 17:32
中立地讲，爱快确实没有说自己的抗攻击能力有多强，也没有设置防火墙；但作为一个需要进入商业领域的系统必须要能面对各种挑战的准备，不能说一定要把防火墙做强，但也要有一定的抗击力，要有一个能拿得出来的数据进行说话，还有另一方面还需要加强的是稳定性，要商用必须要做好稳定，不能说出问题了就重启了事。

作者: kuangyanan 时间: 2014-2-25 17:51
我手贱，攻击了一下我自己，不到1分钟就嗝屁了。哎

作者: 秀字营 时间: 2014-2-25 18:31
目前爱快作为路由器为基准发展的产品,确实没有很好的防止攻击的功能
我们之后路由方面功能稳定的话会对防火墙方面尽路由器方面最大的努力
LZ所说的问题攻击可能会导致路由器本身死机,因为我们几乎所有的数据处理全部由CPU进行处理
在处理数据包括处理攻击数据的时候,CPU如果持续100%的话,可能造成CPU处理中断不过来,
导致路由器本身死机,不能自愈.不知道LZ有没有在测试的时候勾选防火墙高级设置中的连接数限制
如果使用那个功能的话看看还有没有可能会死机.

作者: yueyan 时间: 2014-2-25 18:56
楼主的测试对爱快没有坏处。
爱快也不一定要和m0n0wall比高低，功能侧重不同。
但是停止攻击还不恢复确实不好。

作者: wnhxgd 时间: 2014-2-25 19:34
007说得好，不知道楼主在防火墙中有没有设置连接数限制，再重新发个图大家看看，也好帮助IK提高。

作者: dc661022 时间: 2014-2-26 00:20
{:3_43:}攻击后恢复这个提议很好啊

作者: 9622315 时间: 2014-2-26 09:37

秀字营发表于 2014-2-25 18:31
目前爱快作为路由器为基准发展的产品,确实没有很好的防止攻击的功能
我们之后路由方面功能稳定的话会对防火 ...

我记得连接数设置了，UDP、TCP、ICMP都是500，但是貌似作用不大。

作者: 秀字营 时间: 2014-2-26 09:53

9622315 发表于 2014-2-26 09:37
我记得连接数设置了，UDP、TCP、ICMP都是500，但是貌似作用不大。

TCP连接500都算很大的连接了. 下次测试限制少点, 其他的的五百没所谓.
帮忙再测试下, 并且检查下当时攻击的时候
观察内网监视,攻击主机连接最大多少.

作者: 寂寞的解药 时间: 2014-2-26 23:11
爱快不是防火墙。你懂得

作者: lingminbao 时间: 2014-3-20 09:22

kuangyanan 发表于 2014-2-25 17:51
我手贱，攻击了一下我自己，不到1分钟就嗝屁了。哎

牛逼。。。

作者: xmii 时间: 2014-3-20 09:29
各方面都要加强，哈哈

作者: yuncai1000 时间: 2014-3-20 10:24
一般的时候应该很少遇到攻击的吧

作者: bitter841129 时间: 2014-3-20 10:29
- - 受虐倾向.谁整天惦记着被人攻击呢。

作者: 9622315 时间: 2014-3-20 10:31
本帖最后由 9622315 于 2014-3-20 10:34 编辑

yuncai1000 发表于 2014-3-20 10:24
一般的时候应该很少遇到攻击的吧

但不排除，二般的情况，想当年冲击波震荡波 ……，人为主动的攻击，虽然不多（但不排除有欠剁手的），但被动隐藏的攻击，是不可避免的，并且很多，比如病毒、蠕虫、甚至游戏外挂等恶意代码。

作者: 9622315 时间: 2014-3-20 11:44

shanlus 发表于 2014-3-20 11:31
你把防火墙里的连接数限制关了在攻击看看怎么样。。

这还用问，死的更快。

作者: 小C 时间: 2014-3-20 11:48
楼主是否可以不追一个帖子答复一个月了

作者: student 时间: 2014-3-20 11:51
遇见过几次了，公司内部电脑从来没接过网线，有次接上网络就卡死了后来发现中病毒了抗攻击太弱了

作者: 9622315 时间: 2014-3-20 12:10

小C 发表于 2014-3-20 11:48
楼主是否可以不追一个帖子答复一个月了

不是我要顶，是别人先顶起来的，哈哈哈。

作者: szflong 时间: 2014-3-20 12:24

作者: luufox 时间: 2014-3-20 12:31

9622315 发表于 2014-3-20 12:10
不是我要顶，是别人先顶起来的，哈哈哈。

爱快的先天不足，也是弱项，爱快要做的应该是感谢楼主的测试，并将这个或许不是Bug应该叫先天存在不足的问题提到下一步的开发议案上。
疑问：爱快的内部没有挑刺的TPE职位吗？还是产品经理或研发兼任了。这些问题应该在初期就考虑到的。
极其反感某些回贴里的不负责言论，居然还赤果果的反对楼主。鄙视之。
一个产品要进步就是接受批评。一味的用华丽丽的语调追捧爱快，毫用益处。

作者: luufox 时间: 2014-3-20 12:32

离岛发表于 2014-2-23 16:46
不能　　搞破坏呀　　朋友

怎么这个贴里会有这种回复。。。。

作者: vt8365a 时间: 2014-3-20 13:39
爱快的抗攻击能力超级低，不堪一击
主要是用这个软件冲击路由器会立刻导致路由器内存暴涨直到爆机系统自然要当机哦

作者: 木可 时间: 2014-3-20 14:07
看来主动防御功能还是要的。虽然只是个路由。

作者: 9622315 时间: 2014-3-20 14:11

vt8365a 发表于 2014-3-20 13:39
爱快的抗攻击能力超级低，不堪一击
主要是用这个软件冲击路由器会立刻导致路由器内存暴涨直到爆机系统 ...

1G 内存，连512M都没用完，距内存溢出还早着呢！给我的直观感觉是系统有漏洞导致的。

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)