亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: ip黑白名單防火墻的實(shí)現(xiàn)（應(yīng)對(duì)高負(fù)載服務(wù)器ip數(shù)據(jù)項(xiàng)的快速、大量增刪）此設(shè)計(jì)可行么 [打印本頁(yè)]

作者: YunThanatos 時(shí)間: 2014-07-06 11:54
標(biāo)題: ip黑白名單防火墻的實(shí)現(xiàn)（應(yīng)對(duì)高負(fù)載服務(wù)器ip數(shù)據(jù)項(xiàng)的快速、大量增刪）此設(shè)計(jì)可行么
  請(qǐng)考慮如下場(chǎng)景：

  情況1：來(lái)自應(yīng)用層的DDoS攻擊常常是瞬間涌入大量非法ip請(qǐng)求，例如數(shù)萬(wàn)個(gè)非法ip，所以，對(duì)于防火墻黑白名單功能的要求至少有如下：能在很短的時(shí)間內(nèi)更新大量數(shù)據(jù)項(xiàng)，且不能造成系統(tǒng)服務(wù)停頓。

  分析：如果只使用一個(gè)全局的哈希表，當(dāng)在短時(shí)間內(nèi)進(jìn)行大量的數(shù)據(jù)項(xiàng)增刪時(shí)，例如，成千上萬(wàn)個(gè)，此時(shí)，即使采用多把讀寫(xiě)鎖分割哈希表的策略，對(duì)共享資源的競(jìng)爭(zhēng)也依然將嚴(yán)重影響系統(tǒng)響應(yīng)速度，嚴(yán)重時(shí)系統(tǒng)可能會(huì)停頓或者更糟，對(duì)于生產(chǎn)環(huán)境中的高負(fù)載服務(wù)器，這是無(wú)法容忍的。

  解決：以空間換時(shí)間

  采用雙哈希表緩沖的策略，將系統(tǒng)共享資源的競(jìng)爭(zhēng)熱點(diǎn)壓縮至兩個(gè)hash表指針主備切換的極短時(shí)間內(nèi)，此方法能顯著降低系統(tǒng)在大量數(shù)據(jù)項(xiàng)更新時(shí)共享資源的競(jìng)爭(zhēng)。

  系統(tǒng)查詢將會(huì)直接訪問(wèn)master指向的fr_ip_hash_array，而用戶的更新操作將直接針對(duì)mirror所指向的另一個(gè)fr_ip_hash_array實(shí)例，直到switch_mirror_update操作的執(zhí)行，master將被瞬間“更新”。這是其主要的工作特點(diǎn)。

  對(duì)于SMP與多隊(duì)列網(wǎng)卡的系統(tǒng)，可采用如下策略：多數(shù)cpu核心專門(mén)負(fù)責(zé)處理內(nèi)核的softirq任務(wù)，剩下的少數(shù)cpu負(fù)責(zé)進(jìn)行雙哈希表的更新、切換與重建等操作。這樣可提高系統(tǒng)對(duì)攻擊的快速防御響應(yīng)。

  但此方案將使得系統(tǒng)需要維護(hù)兩個(gè)互為鏡像的哈希表，這將加重系統(tǒng)內(nèi)存的讀寫(xiě)負(fù)擔(dān)。

  設(shè)計(jì)細(xì)節(jié)請(qǐng)看文章 http://www.cnblogs.com/SwordTao/p/3824980.html

  我已經(jīng)實(shí)現(xiàn)了上述的工具。為了緩解嚴(yán)重的共享競(jìng)爭(zhēng)，卻增加了系統(tǒng)內(nèi)存讀寫(xiě)負(fù)擔(dān)，這對(duì)于高負(fù)載服務(wù)器，諸位覺(jué)得可行么？

作者: adidiaos丶丶 時(shí)間: 2014-07-23 11:42
沒(méi)看明白。大量非法IP涌入跟你更新黑白名單有什么關(guān)系呢？能解釋下嗎？

作者: hmsghnh 時(shí)間: 2014-07-23 13:03
最近google時(shí)好時(shí)壞，難道是樓主在調(diào)試系統(tǒng)？

歡迎光臨 Chinaunix (http://72891.cn/)