ip黑白名單防火墻的實現(xiàn)（應(yīng)對高負(fù)載服務(wù)器ip數(shù)據(jù)項的快速、大量增刪） 此設(shè)計可行么

YunThanatos

  請考慮如下場景：

  情況1：來自應(yīng)用層的DDoS攻擊常常是瞬間涌入大量非法ip請求，例如數(shù)萬個非法ip，所以，對于防火墻黑白名單功能的要求至少有如下：能在很短的時間內(nèi)更新大量數(shù)據(jù)項，且不能造成系統(tǒng)服務(wù)停頓。

  分析：如果只使用一個全局的哈希表，當(dāng)在短時間內(nèi)進(jìn)行大量的數(shù)據(jù)項增刪時，例如，成千上萬個，此時，即使采用多把讀寫鎖分割哈希表的策略，對共享資源的競爭也依然將嚴(yán)重影響系統(tǒng)響應(yīng)速度，嚴(yán)重時系統(tǒng)可能會停頓或者更糟，對于生產(chǎn)環(huán)境中的高負(fù)載服務(wù)器，這是無法容忍的。

  解決：以空間換時間

  采用雙哈希表緩沖的策略，將系統(tǒng)共享資源的競爭熱點壓縮至兩個hash表指針主備切換的極短時間內(nèi)，此方法能顯著降低系統(tǒng)在大量數(shù)據(jù)項更新時共享資源的競爭。

  系統(tǒng)查詢將會直接訪問master指向的fr_ip_hash_array，而用戶的更新操作將直接針對mirror所指向的另一個fr_ip_hash_array實例，直到switch_mirror_update操作的執(zhí)行，master將被瞬間“更新”。這是其主要的工作特點。

  對于SMP與多隊列網(wǎng)卡的系統(tǒng)，可采用如下策略：多數(shù)cpu核心專門負(fù)責(zé)處理內(nèi)核的softirq任務(wù)，剩下的少數(shù)cpu負(fù)責(zé)進(jìn)行雙哈希表的更新、切換與重建等操作。這樣可提高系統(tǒng)對攻擊的快速防御響應(yīng)。

  但此方案將使得系統(tǒng)需要維護(hù)兩個互為鏡像的哈希表，這將加重系統(tǒng)內(nèi)存的讀寫負(fù)擔(dān)。
  
  設(shè)計細(xì)節(jié)請看文章 http://www.cnblogs.com/SwordTao/p/3824980.html

  我已經(jīng)實現(xiàn)了上述的工具。為了緩解嚴(yán)重的共享競爭， 卻增加了系統(tǒng)內(nèi)存讀寫負(fù)擔(dān)，這對于高負(fù)載服務(wù)器，諸位覺得可行么？

adidiaos丶丶

沒看明白。大量非法IP涌入跟你更新黑白名單有什么關(guān)系呢？能解釋下嗎？

hmsghnh

最近google時好時壞，難道是樓主在調(diào)試系統(tǒng)？