周围宽广无限,远处貌似有几个人在唱歌,有微微的歌声传来.动感和忧郁的歌声夹杂在一起同时传来.奇怪.这是什么什么地方.走近一看.汗!!!这不是前几天刚刚购买上架的防火墙吗!!!!几个juniper ssg-140 和一个 isg-1000.防火墙都会唱歌了.莫非到了传说中平田君漫画中的世界.那也应该有个宿敌之类的登场才对.
  "宿敌!宿敌!"大叫两声也没人登场...想想也是,古语有云"日有所思,归而形诸梦".可没有"日有所思,归而形诸漫画."估计是个梦中的世界吧.既然防火墙都会唱歌.反正肯定不是在现实之中.
   "come,come,给我感觉,给我给我真的感觉..."几个ssg-140拿着麦大声吼着.这不是张惠妹的<给我感觉>吗?
   "你们好好的怎么在这唱歌?"
   "前几天的压力测试,流量太小,pps太低,太没感觉了.麻烦老湿给点力"
   "不小啊,怎么着也有10M的流量,2.5w的pps,再说也是百独的带宽打过去的,估计到服务器的极限了吧."
   "不行.我要感觉.流量太小,pps太低没有感觉.我要感觉!!!!"
   "去,说点别的吧.平时受攻击的流量只有5k,压力测试打2.5w已经不错了.话说就因为这个唱歌啊"
   "那你以为呢.come.come.给我感觉..."
   "......你个小白慢慢唱吧"

   再来看看这边,"你听寂寞在唱歌,轻轻地,狠狠地...."isg-1000貌似唱的是阿桑的<寂寞在唱歌>
   "这又是哪门子原因?"
   "你想140那小白级都在唱<给我感觉>,我这运营商级的唱什么,想了半天只有<寂寞在唱歌>符合哥的品位了.你听寂寞在唱歌...."

   这是什么破梦.赶快醒吧."神啊.赶快让偶醒来吧,梦见啥不行,梦见一群防火墙在唱歌.这不是扯蛋嘛"
   "你们累了,需要休息,好好休息休息吧"天上传来声音....
  "太假了,梦境中就是不一样.防火墙会唱歌,上帝都说话了."想想也是.自6月19日花儿为什么那么红时,lonlife仅有的两名linux技术人员就星夜兼程赶赴上海去上防火墙,本来计划两天之内就部署完毕,不过硬防太贵,加起来要10w+,可不能像买冰棍一样说买就买.买以前要把方案定好,测试设备的性能.<花儿为什么那样红>中的"照单全收,悉数奉还"那只是个警示作用,不要攻击就好了.果然公告发完后就好几天再没有攻击了.以至于当时就取消了采购计划,于周四(6月24日启程返回),不想在火车上接到salesA的电话"很多用户反应抽风,掉线,是不是受攻击了,你查下""不是攻击"当时的techA还很肯定的回复,结果周五(6月25日)回公司一看监控图.真是攻击.想想自己服务器的安全可不能将希望寄托给对手.心情好了不攻,心情不好就攻,那还得了.就又于周日(6月27日)再次坐上去上海的火车.真像同事形容的一样
"像你这样的小白,去北京几回也不知道tian'an'men长啥样",
去上海一样,在上海待了几天,每天来来回回在地铁里,经常听到"到世博园区请在此站下车"却也不知道世博大门长啥样.回公司后朋友问
"去上海也没带点啥回来?"
"带,带了啊,techB,咱在上海买的康师傅呢"techB笑而不语,
"不好意思,好像在火车上吃了,不过还有点别的,在上海买的农夫山泉还剩半瓶,来点吧"
"我打电话(call的文明用语),你就这,真短"....
再去上海买了十几万的设备后把重要节点部署到位后就又马不停蹄地直奔广州去上墙.在上海到广州的t99上(坐票都没买到),地铁里,广深高铁上,广佛大巴上,两名技术的小脑袋都情不自禁地变成小布朗鼓,东倒西歪的.晚上好不容易回到酒店,才9点,鞋都没脱就躺床上睡了.貌似确实有点累.上帝还真体量他的fans.不过就算是好好休息,也不能听这群废柴在这唱大合唱.话说两首歌单独听还不错.不过合在一起.
"come""寂寞""come""在唱歌""给我感觉""轻轻地"又快又慢的烦死人
"你们这群废柴能不能甜蜜地(TMD的文明用语)别唱了!!!!!!烦死人"techA大吼一声,废柴们果然停下来了.
"我要感觉!!!" ---- ssg-140
"哥唱的不是歌,哥唱的是寂寞" ---- isg-1000
...........
     两位配角并不像techA说的一样真是废柴,juniper本身就是世界排名第一硬件防火墙,ssg-140-sh虽说入门级产品,但它已经能过滤300M的数据,能挡10w的pps攻击,而一般的服务器,5k的pps就能使整团地掉线.压力测试时,用一台百独的服务器打一台在140防护下跑有正常业务的服务器,攻击流量10M,pps服务器上显示是2.5w,但在监控图仅显示有2w多点,处理这些攻击,ss5在有正常流量的情况最高到35%的cpu,到凌晨没有流量的时候,看了下cup,只用了5%,而压力测试时正常业务没有受到丝毫地影响.如图所示:
还记得和juniper工程师谈方案时他们分析完抓包数据后所说的话:
"这种攻击是最初级地攻击,他的源地址全是假的,攻击服务器和被攻击服务器之间全是路由流量才能过来,中间只要有墙流量就过不来"
"哦,怪不得我们自己打流量也打不到联通服务器上去,可能是他们攻了,不过流量没能过去"
"估计是这样的,我们公司直接对联通就出了好多墙,但坦白说,对电信没有出过"
"哦"
"你看这包,tcp三次握手时客户端应该先发syn包,然后服务器返回ack和syn,然后客户端再返回ack包,连接建立,而它直接就发ack包过来,略过了前两步,这本身就是不合法的包,所以你在服务器上也看不到TIME_WAIT.防火墙就算你不配置也直接会挡掉的.不会到你的服务器上去."
"哦"

"140挡这样的攻击非常轻松,就算他多台服务器同时攻过来也没问题,只要你的带宽够就行了"
"哦"

而isg-1000目前更是无用武之地了.isg-1000是运营商级的防火墙,一般自建机房用的多一些,他们一个机房就5g左右的带宽,然后买个isg2000正好够,或是联通电信买些给vip客户用,过滤一两G的流量是没有问题的.或是游戏运营商,他们的服务器前面都有墙,而且有映像,一台挂掉没事的,现在游戏服务器基本没有裸奔的"
"哦"
"安全起见,你把防火墙全配置成透明(即防火墙没有公网ip地址)的就行了,他们很难攻进来的,除非是洪攻击,把你或是机房带宽顶满了,什么防火墙都没有用了"
"哦"

歌声再次响起...isg-1000又开始唱寂寞
"我太阳(日的文明用语)你,寂寞哥,唱够了没?"
"哥唱的不是歌,唱的一首名叫"寂寞在唱歌"的寂寞"
................................................................................... 啊,神啊,救救我吧

"醒醒,sales的电话."techB把techA推醒,递来电话.
"网站无法正常访问,客户无法正常登陆,查一下" salesB
"好,知道了,马上处理"
看下desire上的时间,2010-7-1 21:00,广州天河区五山中路沿德酒店1120室(这是所住过广东省范围内最物美价廉的酒店了).这神真管用,一叫他马上就有响应了,梦境就是不一样.貌似还是现实的世界更好点.至少没有bt的防火墙在唱歌.netstat -an了一下,跟上周日(6月26日)晚上的攻击一样,syn攻击,这次买了肉机了,开始花钱了,唉,真不容易.回想26号晚上的攻击,服务器内存被塞满,虽然于10分钟内马上切换到备份服务器,不过马上内存又被塞满.无奈只能暂时关站了,在没有硬防的情况下,这种攻击几近无解.也不知道攻击什么时候会停,只能写个留言告之大家不知道什么时候能回来了,这要看攻击什么时候停.虽然那次是受攻击,但受攻击不是一天两天,还没有做好防护是tech部的失职,已属于lonlife之责任,所以补了大家一天时间.不过这次不同,有寂寞哥在.于是又用了10分钟将主网站放于墙内.切换下dns马上就ok.问了salesB能否正常访问.答曰可以.马上又睡了.

"寂寞哥,现在不寂寞了吧"
"我打电话(call),你太看得起我了,用我挡10M不到的syn,cpu让我怎么显示?10/2000=0.5%?"
......................................

突然想起牛bility security engineer所说的话"没有绝对的安全,就算你上了防火墙,黑客也可以通过防火墙的漏洞攻击.你知道中国最牛的黑客在哪吗?原来入侵过NASA(National Aeronautics and Space Administration美国国家航空航天局)的黑客,现在在徐州开茶馆,人们的追求不同.他们就是喜欢这个,不为经济利益.而现在以赚钱为目的黑客,他们的水平肯定不会高到哪去.水平就在那里放着了.那些真正的牛人,不会为了经济利益做这些事,就算你给他钱,他们也不会做.名誉的问题.他们入侵后只会留个言告诉管理员漏洞在哪."

"come,come,给我感觉."come哥又来了,我太阳啊.
"放心吧,两位大哥,等我出去一定摆个擂台给你们,给点感觉以消除寂寞"神啊

"现在几点了?"
"九点了"
"太阳啊,深圳的provider还说今天早上请咱去五星级喝早茶呢,这还喝个屁,直接去吃中午饭吧"话说这神真管用.一叫就响应.再不叫神啊连午饭也吃不上了.赶快上网摆擂台.随便拿两个140来让黑客去搞.把透明模式取消掉.配置上公网ip.可别让两位哥再托梦了.



现摆擂台如下,从今日起(2010-7-7)一个自然月内,能攻进以上两台140防火墙者,请将用户名改为haha或是您的会员名,然后提供入侵凭证,联系lonlife客服,奖励rmb1000元整并不追究入侵责任.至于寂寞哥.isg-1000 先让它寂寞吧.等攻破了140,再改isg1000的模式.恩这样比较好.


回想从花儿为什么那么红以来,攻击频率由原来的两天一次改为现在的每周四一次,一般联通服务器也有syn攻击了.希望本周四例x的有点力.

QQ闪动.
"你上新闻了,哈哈" salesA
"什么,不会吧"
"你自己看喽,可靠消息,卷款跑路"
"啊,偶携巨款十几万跑路去上海买防火墙这是绝密级的事情,可靠消息,说,是不是你说的?"
"不是我哦"
"那也不是我.那会是..."
"莫非......是"
"是谁?"
"是你肚中的蛔虫啊!"
"不应该啊,就算蛔虫知道这事,它也在我肚子里"
"说不定你哪天吃多了,就把它给...."
"那就算拉出来,也是在下水道里啊,就算在下水道里,它也不应该会写字啊"
"你这么强力,你的大便会写字..."
"文明"
"哦,米田共会写字也很正常啊"
"也是,这年头,防火墙会唱歌,大便会写字,哦不,米田共会写字,哦不,米田共内的蛔虫会写字,照理说也很正常"
"多吃些打虫药打打吧.哈哈哈"
.........................................
"话说你别用我的名字发公告,风格不同,你总是哦哦哦的"
"你不一样也哦吗"
"我的哦是独立的,你的哦是跟在句子后面,天壤之别,用你自己的名字发"
"哦".....

"你们墙加好了吗?"CustomA
"好了"techA
"哦,你们什么时候也推出个周卡之类的,在你们出问题的那几天,我买的就是***的周卡.20块"
"哦,我感觉那东西有些碍事,我们这不是一周退款吗,用一周可以退款的."
"那样多麻烦啊"
"也是,如果我们有问题,就用别家的吧,不必非用我们的,偶可不想客户因为非好以外的其它因素用我们的.像果粉一样."
"别人不知道,我用着还可以啊."
"恩,给你看下视频,果粉的I don't care.http://v.youku.com/v_show/id_XMTg2NDc2MzI0.html"

再不走就吃不上午餐喽,小学时,教科书上说好的文章要前呼后应.好不容易从梦境中归来,感觉还是现实好,不管写的好坏,得呼一下标题,要不然,午饭也吃不上了.那就呼个

梦醒时分,花开之季.