需要對(duì)一個(gè)防火墻進(jìn)行synflood測(cè)試 現(xiàn)在程序能達(dá)到400,000pps 如何進(jìn)一步提高發(fā)包速度

YunThanatos

這是發(fā)起synflood的機(jī)器配置:
        CPU:
                Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz
                Architecture:          x86_64
                CPU(s):                24
                On-line CPU(s) list:   0-23
                Thread(s) per core:    2
                Core(s) per socket:    6
        NIC:
                05:00.0 Ethernet controller: Intel Corporation 82574L Gigabit Network Connection

synflood程序：
        使用c語(yǔ)言開發(fā)的，使用system call:raw socket接口發(fā)送自定義IP頭的SYN包（工作于用戶空間）

現(xiàn)在的性能:
        threads:24 200,000pps
        threads:80 400,000pps

如何進(jìn)一步提高syn發(fā)包速度？ 難道用戶空間發(fā)包只能到達(dá)這種程度了么？

YunThanatos

之前在lvs的文檔里看過(guò)一份synproxy的測(cè)試報(bào)告:
  在他們的機(jī)器上，synproxy能抵擋350w pps的synflood攻擊

不知道taobao的350w pps synflood的攻擊是怎么產(chǎn)生的？是分布式DDOS還是單機(jī)DOS？
  350w=3.5x10^6     每微秒能發(fā)3.5個(gè)syn攻擊包  如果從內(nèi)核級(jí)別實(shí)現(xiàn)發(fā)包 理論上能到3.5ppus的速度么?

gaojl0728

按照每個(gè)SYN包64字節(jié)計(jì)算， 千兆網(wǎng)卡的最大PPS 理論上才200W

YunThanatos

回復(fù) 3# gaojl0728


    是的！千兆網(wǎng)卡發(fā)SYN包理論峰值約為 200w pps 謝謝提醒！
   
PS:

    在用戶空間提高發(fā)包速度 目前想到的方法有:

      ·使用多進(jìn)程的方法盡可能的接近網(wǎng)卡的性能極限了
      ·使用DDOS的方法（間接）

Godbach

回復(fù) 2# YunThanatos

阿里有錢，隨便上幾個(gè)測(cè)試儀不就夠了。還需要自己寫測(cè)試程序嗎？


   

Godbach

回復(fù) 1# YunThanatos

我建議你先考慮優(yōu)化自己程序的實(shí)現(xiàn)邏輯，印象中我?guī)啄暧玫?hping，開啟幾個(gè)進(jìn)程，每秒幾十萬(wàn)pps 應(yīng)該是可以達(dá)到的。

你可以先編譯個(gè) hping 發(fā)送 synflood 試試它能夠達(dá)到多少。


   

YunThanatos

回復(fù) 6# Godbach


    剛剛測(cè)試了一下 hping的synflood在相同的機(jī)器上測(cè)試最高能達(dá)到約20w pps 它每一次發(fā)偽造包都會(huì)重新計(jì)算checksum  
   
    剛才看了一下網(wǎng)絡(luò)測(cè)試儀 確實(shí)很貴 :wink:

YunThanatos

Godbach 發(fā)表于 2015-01-07 17:19
回復(fù) 1# YunThanatos

我建議你先考慮優(yōu)化自己程序的實(shí)現(xiàn)邏輯，印象中我?guī)啄暧玫?hping，開啟幾個(gè)進(jìn)程， ...

### 這是測(cè)試防火墻的synflood防御策略:
   "SYN Flood保護(hù)：當(dāng)設(shè)備下主機(jī)IP收到SYN報(bào)文數(shù)量，每秒超過(guò)次數(shù)設(shè)置值時(shí)（此處設(shè)置為10000），此設(shè)備下主機(jī)進(jìn)入SYN Flood防御模式，此時(shí)此設(shè)備下主機(jī)會(huì)對(duì)新客戶機(jī)IP的第一個(gè)SYN請(qǐng)求包進(jìn)行丟棄，正常客戶機(jī)發(fā)送第一個(gè)SYN請(qǐng)求包沒(méi)有收到回應(yīng)，會(huì)繼續(xù)發(fā)送第二個(gè)SYN請(qǐng)求包，當(dāng)設(shè)備收到此客戶機(jī)的第二個(gè)SYN請(qǐng)求包才會(huì)放行。"

  這是非常單一的syn首包丟棄策略，如果攻擊者將偽造的Syn報(bào)文發(fā)送兩次，這種方法就失去了效果
  
  現(xiàn)在的目標(biāo)是測(cè)試這個(gè)防火墻:
      
      將偽造的Syn報(bào)文間隔一小段時(shí)間后 再發(fā)一次 驗(yàn)證它能否穿透firewall
      這樣的話 攻擊程序必須得維護(hù)一個(gè)很大的偽造sip:sport的狀態(tài)數(shù)組 目前好像沒(méi)有發(fā)現(xiàn)這樣的工具
      程序最后測(cè)試的時(shí)候就遇到了這個(gè)發(fā)包速度的問(wèn)題了


PS:
     使用pktgen做了一下測(cè)試 64B包速度能達(dá)到 60w pps左右

Godbach

回復(fù) 8# YunThanatos

不是在討論如何提高你發(fā)包工具的速度嗎，怎么轉(zhuǎn)向防御策略了 :wink:

   

humjb_1983

建議先分析下瓶頸在哪里，一方面是從發(fā)包程序自身角度優(yōu)化，另一方面可以考慮操作操作系統(tǒng)層面優(yōu)化。