亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費(fèi)注冊(cè) 查看新帖 |

Chinaunix

  平臺(tái) 論壇 博客 文庫(kù)
最近訪問板塊 發(fā)新帖
樓主: Godbach
打印 上一主題 下一主題

[歡迎進(jìn)入討論] 關(guān)于syn-proxy的一些問題 [復(fù)制鏈接]

論壇徽章:
0
61 [報(bào)告]
發(fā)表于 2009-03-13 17:27 |只看該作者
原帖由 Godbach 于 2009-3-13 16:39 發(fā)表


呵呵,是啊。我就覺得按照我的想法,內(nèi)核是需要維護(hù)一個(gè)比較大的表的。

那你現(xiàn)在說的這種透明方式在那個(gè)版本的內(nèi)核支持啊。

它對(duì)SYN包也是要進(jìn)行Cookie驗(yàn)證的吧。

如果純粹為了解決syn flood的話,用linux+squid的效率還是沒有syn-proxy高。
這里要維護(hù)的表,遠(yuǎn)沒有維護(hù)一個(gè)socket的消耗高。

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
62 [報(bào)告]
發(fā)表于 2009-03-13 17:42 |只看該作者
原帖由 richardhesidu 于 2009-3-13 17:27 發(fā)表

如果純粹為了解決syn flood的話,用linux+squid的效率還是沒有syn-proxy高。
這里要維護(hù)的表,遠(yuǎn)沒有維護(hù)一個(gè)socket的消耗高。


恩。這樣都可以在內(nèi)核態(tài)完成,不過可能需要hash表吧。

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
63 [報(bào)告]
發(fā)表于 2009-03-15 15:44 |只看該作者
原帖由 richardhesidu 于 2009-3-13 17:27 發(fā)表

如果純粹為了解決syn flood的話,用linux+squid的效率還是沒有syn-proxy高。
這里要維護(hù)的表,遠(yuǎn)沒有維護(hù)一個(gè)socket的消耗高。



richardhesidu兄覺得如果實(shí)現(xiàn)這樣一個(gè)syn-proxy,關(guān)鍵的步驟有哪些?

論壇徽章:
0
64 [報(bào)告]
發(fā)表于 2009-03-16 10:30 |只看該作者
原帖由 Godbach 于 2009-3-12 17:53 發(fā)表
Linux內(nèi)核中提供了SYN Cookie的檢驗(yàn)機(jī)制,用來防御SYN Flood攻擊。因此,延伸出來的在SYN Cookie Firewall,用來驗(yàn)證SYN連接,并對(duì)通過驗(yàn)證報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
具體的內(nèi)容可以參考《SYN Cookie原理及其在Linux內(nèi)核 ...


是的,這個(gè)差值必須要維護(hù)。如果你的狀態(tài)跟蹤就是借助于Linux的Netfiter的話,這個(gè)跟蹤結(jié)構(gòu)就變得很簡(jiǎn)單,直接在ip_conntrack中增加相應(yīng)的成員字段值就可以了。

  1. struct syn_cookie{
  2.         __u32 cookie;
  3.         __u32 seq;
  4. };
復(fù)制代碼


  1. struct ip_conntrack
  2. {
  3.         ……
  4.   
  5.         /* tcp syn cookie */
  6.         struct syn_cookie syncookie;
  7. }
復(fù)制代碼

[ 本帖最后由 獨(dú)孤九賤 于 2009-3-16 10:34 編輯 ]

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
65 [報(bào)告]
發(fā)表于 2009-03-16 10:37 |只看該作者

回復(fù) #64 獨(dú)孤九賤 的帖子

多謝九賤兄的指導(dǎo)啊。確實(shí)可以在鏈接跟蹤結(jié)構(gòu)體中增加一些字段
如果利用的鏈接跟蹤,是不是就不需要判斷報(bào)文的一些特征了,比如s->c的報(bào)文是不是對(duì)上一次c->s的回復(fù)呢?

論壇徽章:
0
66 [報(bào)告]
發(fā)表于 2009-03-16 11:02 |只看該作者
是的,借助于conntrack,可以省很多很多的代碼和時(shí)間,自己的要實(shí)現(xiàn)的話,其實(shí)就是實(shí)現(xiàn)它其中的一部份功能,核心部件是TCP的狀態(tài)機(jī)的維護(hù)(偶承認(rèn),偶水平有限,當(dāng)時(shí)看Netfilter的TCP狀態(tài)機(jī)的實(shí)現(xiàn)都看了好幾天,如果自己寫的話——所以說“省很多的時(shí)間”)。
但是,問題在于:大家都知道conntrack的性能受到廣泛批評(píng),所以,要高性能的話,就自己搞吧,而且借助于Netfilter,涉及到跟Netfilter的各個(gè)子模塊的交互,這需要對(duì)Netfilter的整個(gè)工作流程了然于胸,比如,欺騙Netfilter的狀態(tài)檢測(cè)等等。
另一個(gè)技術(shù)問題在于cookie的處理,這個(gè)內(nèi)核有現(xiàn)成的了,調(diào)用API即可。
還有一個(gè)問題是自己截包、發(fā)包,這需要了解內(nèi)核態(tài)網(wǎng)絡(luò)層組包發(fā)送的API。
還有就是性能問題,因?yàn)槿绻娴陌l(fā)生syn flooding,pps是非常多的。
還有就是ack flooding問題。例如100Mb的syn流量,要構(gòu)造cookie ack,又是100Mb的回應(yīng)包,但是眾所周知,其中有99%都是不用回應(yīng)的——這個(gè)問題很頭痛,可能需要一個(gè)數(shù)學(xué)統(tǒng)計(jì)學(xué)的模型,My god,以前跟我們上統(tǒng)計(jì)學(xué)的老師是一個(gè)雙博士學(xué)位的老處女,我對(duì)她沒有興趣,所以沒有認(rèn)真聽講,后悔呀!如果你有好的解決方案,一起討論一下。
還有其它一些技術(shù)問題,記不得了。

————
PS:我認(rèn)為,我不讓攻擊包進(jìn)入conntrack,在pre_routing之前全處理了,保證進(jìn)入conntrack的,都是正常的包,就不存在性能方面的問題了吧?哈哈,主要是我比較懶,有現(xiàn)成的不用,我太對(duì)不起自己了。

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
67 [報(bào)告]
發(fā)表于 2009-03-16 11:08 |只看該作者
PS:我認(rèn)為,我不讓攻擊包進(jìn)入conntrack,在pre_routing之前全處理了,保證進(jìn)入conntrack的,都是正常的包,就不存在性能方面的問題了吧?哈哈,主要是我比較懶,有現(xiàn)成的不用,我太對(duì)不起自己了。


這樣的話,進(jìn)入系統(tǒng)的都是正常的包,也就沒有必要在做syn-proxy了吧

論壇徽章:
0
68 [報(bào)告]
發(fā)表于 2009-03-16 11:12 |只看該作者
頂樓上,我的意思是說,“在連接跟蹤之外做syn cookie,這樣,連接跟蹤中保存的都是正常數(shù)據(jù)包的會(huì)話,因?yàn)閿?shù)量相對(duì)少幾個(gè)數(shù)量級(jí)(比起所有包都進(jìn)來的話),性能問題相對(duì)而言,就不那么敏感了!”

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
69 [報(bào)告]
發(fā)表于 2009-03-16 11:13 |只看該作者
是的,借助于conntrack,可以省很多很多的代碼和時(shí)間,自己的要實(shí)現(xiàn)的話,其實(shí)就是實(shí)現(xiàn)它其中的一部份功能,核心部件是TCP的狀態(tài)機(jī)的維護(hù)(偶承認(rèn),偶水平有限,當(dāng)時(shí)看Netfilter的TCP狀態(tài)機(jī)的實(shí)現(xiàn)都看了好幾天,如果自己寫的話——所以說“省很多的時(shí)間”)。

九賤兄的意思是借助于conntrack,已經(jīng)不用考慮報(bào)文發(fā)送方和接收方的狀態(tài)驗(yàn)證了,已經(jīng)在conntrack中tcp部分做了對(duì)應(yīng)的驗(yàn)證?

比如,欺騙Netfilter的狀態(tài)檢測(cè)等等。

這個(gè)欺騙之前沒聽說過啊,九賤兄可否介紹一下。

還有就是性能問題,因?yàn)槿绻娴陌l(fā)生syn flooding,pps是非常多的。
還有就是ack flooding問題。例如100Mb的syn流量,要構(gòu)造cookie ack,又是100Mb的回應(yīng)包,但是眾所周知,其中有99%都是不用回應(yīng)的——這個(gè)問題很頭痛,可能需要一個(gè)數(shù)學(xué)統(tǒng)計(jì)學(xué)的模型,My god,以前跟我們上統(tǒng)計(jì)學(xué)的老師是一個(gè)雙博士學(xué)位的老處女,我對(duì)她沒有興趣,所以沒有認(rèn)真聽講,后悔呀!如果你有好的解決方案,一起討論一下。


是啊,大量的ACK包,也是個(gè)問題。

論壇徽章:
36
IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-10 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-16 06:20:0015-16賽季CBA聯(lián)賽之廣東
日期:2016-04-16 19:59:32IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-18 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-19 06:20:00每日論壇發(fā)貼之星
日期:2016-04-19 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-04-25 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-06 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-08 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-13 06:20:00IT運(yùn)維版塊每日發(fā)帖之星
日期:2016-05-28 06:20:00每日論壇發(fā)貼之星
日期:2016-05-28 06:20:00
70 [報(bào)告]
發(fā)表于 2009-03-16 11:15 |只看該作者
原帖由 獨(dú)孤九賤 于 2009-3-16 11:12 發(fā)表
頂樓上,我的意思是說,“在連接跟蹤之外做syn cookie,這樣,連接跟蹤中保存的都是正常數(shù)據(jù)包的會(huì)話,因?yàn)閿?shù)量相對(duì)少幾個(gè)數(shù)量級(jí)(比起所有包都進(jìn)來的話),性能問題相對(duì)而言,就不那么敏感了!”


看來抗synflood和conntrack他倆之間的關(guān)系很緊密啊。要是想減輕conntrack的負(fù)載,就要在它之前做synflood的防御。如果向方便快捷的實(shí)現(xiàn)防御synflood,最好利用conntrack。 唉,矛盾啊
您需要登錄后才可以回帖 登錄 | 注冊(cè)

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號(hào)-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號(hào):11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報(bào)專區(qū)
中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)會(huì)員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請(qǐng)注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP