|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы Разговоры, обсуждение новостей (Public) | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от opennews on 04-Июл-07, 18:33 | |
В статье "Filtering traffic based on thousands of IPs efficiently (http://www.debian-administration.org/articles/540)" рассказывается о программе nfqueue (http://nfqueue.sf.net), которая работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue. | |
Высказать мнение | Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от ФФ on 04-Июл-07, 18:33 | |
А для чего это нужно? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
2. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от const86 (ok) on 04-Июл-07, 18:47 | |
> А для чего это нужно? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
4. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от serg1224 on 04-Июл-07, 20:47 | |
А может для защиты от DDOS-атак? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
17. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от uldus (ok) on 05-Июл-07, 10:52 | |
>А для чего это нужно? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
50. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 25-Июл-07, 23:35 | |
>А для чего это нужно? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
3. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от ФФ on 04-Июл-07, 18:55 | |
сложно представить реально зачем...если сервера приложений стоят в ДатаЦентре и там есть нормальные средства фильтрации и защиты зачем на уровне ОС лесть в сетевые вещи ? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
7. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 04-Июл-07, 22:26 | |
тебя послушать так в датацентре и работать серваку незачем. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
32. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от medioom on 05-Июл-07, 16:01 | |
Если сетевики не нормальные - халявщики, то они всё спускают до системных администраторов, которым приходится самим работать. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
51. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 25-Июл-07, 23:42 | |
>Если сетевики не нормальные - халявщики, то они всё спускают до системных | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
5. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от alteleid (ok) on 04-Июл-07, 20:47 | |
теоретически можно использовать как часть интеллектуального IPS против DDoS, но ни в коем случае не так как хотят создатели... для этого есть специализированное железо | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
8. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 04-Июл-07, 22:28 | |
не всегда стоимость и деревянность железаных средств являются приемлемыми. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
9. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от alteleid (ok) on 04-Июл-07, 23:20 | |
Всегда, если речь идет о scalability и performance | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
52. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 26-Июл-07, 03:02 | |
>Всегда, если речь идет о scalability и performance | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
11. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от gvy (ok) on 05-Июл-07, 01:48 | |
Кажется, при последнем DDoS наш пров упоминал какую-то байду за $180K, если не послышалось. Видимо, специализированное на выем денег железо... | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
12. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 05-Июл-07, 01:50 | |
>Кажется, при последнем DDoS наш пров упоминал какую-то байду за $180K, если | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
26. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от alteleid (ok) on 05-Июл-07, 14:21 | |
Все просто, если ваша сеть не стоит этих 180К (не много, кстати, магистральное оборудование в 2-3 раза дороже) не покупайте. Однако не понятно как вы достигли таких объемов, а железо не окупается? Может у вас бесплатная сеть? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
31. "$180K" | |
Сообщение от Michael Shigorin (ok) on 05-Июл-07, 15:56 | |
>Может у вас бесплатная сеть? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
33. "$180K" | |
Сообщение от alteleid (ok) on 05-Июл-07, 16:12 | |
а что такое _нашего_ (а не наш) ISP ? Я честно не понял. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
34. "anti-DDoS; конференция в Киеве" | |
Сообщение от Michael Shigorin (ok) on 05-Июл-07, 16:29 | |
>а что такое _нашего_ (а не наш) ISP ? Я честно не понял. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
53. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 26-Июл-07, 03:08 | |
>Все просто, если ваша сеть не стоит этих 180К (не много, кстати, | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
6. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от Вова on 04-Июл-07, 21:09 | |
сколько людей и сколько ресурсов неужеле нечего более стоящего придумать нельзя -- к примеру СПАМ или еще что-то массу всего | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
13. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от universite (ok) on 05-Июл-07, 07:33 | |
C DDoS надо бороться на магистралях, но они наоборот заинтересованы в запредельных загрузках каналов и бредят Mpps и Gpps. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
14. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 05-Июл-07, 08:01 | |
>C DDoS надо бороться на магистралях, но они наоборот заинтересованы в запредельных | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
16. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от DXT (??) on 05-Июл-07, 09:21 | |
>каждый хочет наи... ть | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
18. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от nuclight on 05-Июл-07, 11:15 | |
Хехе, смотрим в статью, на сайт программы - и видим, что обрааботка происходит в _userland_. То есть каждый пакет копируется туда и обратно, с сопутствующими переключениями контекста. Фактически, это FreeBSD'шный divert, за NAT на котором столько ругали систему за тормоза. Какая при этом может быть борьба с DDOS? И это при тм, что ведь есть же в линуксе для iptables тот же ядерный ipset. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
19. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от nuclight on 05-Июл-07, 11:17 | |
Аналогично, с вызовом программы на каждое правило и еще и печатью на stdout (которое мы отправим в /dev/null), чтоб замедлить насколько можно, запустим простое добавление в ipfw семидесяти тысяч правил, прямой аналог того, что делали с iptables в статье: | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
21. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 05-Июл-07, 11:37 | |
да, защитник от ДДоСа в юзер-левеле это бред. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
22. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от nuclight on 05-Июл-07, 12:14 | |
>да, защитник от ДДоСа в юзер-левеле это бред. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
27. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 05-Июл-07, 14:44 | |
>А оно уже и так. Как мне тут сейчас сообщили, iptables-save делает | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
23. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от devcoder (??) on 05-Июл-07, 13:04 | |
А Linux netfilter + ipset? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
55. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 26-Июл-07, 03:25 | |
>у кого такая необходимость блокирования реально может возникнуть, | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
29. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от bel on 05-Июл-07, 15:40 | |
Если проверка всех этих 70000 правил делается простым перебором адресов, то эффективность блокирования под сомнением. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
30. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от _Nick_ (??) on 05-Июл-07, 15:42 | |
>Если проверка всех этих 70000 правил делается простым перебором адресов, то эффективность | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
39. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от exn (??) on 05-Июл-07, 23:10 | |
>елается простым перебором адресов | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
47. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от nuclight on 06-Июл-07, 10:20 | |
>>елается простым перебором адресов | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
48. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от dsn (??) on 06-Июл-07, 17:12 | |
>>>елается простым перебором адресов | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
56. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от etc on 26-Июл-07, 03:27 | |
>приближения. Очень быстро получается. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
58. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от LonliLokli (ok) on 11-Янв-09, 22:00 | |
>>приближения. Очень быстро получается. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
59. "OpenNews: Эффективное блокирование тысяч IP в Linux" | |
Сообщение от universite (ok) on 12-Янв-09, 03:17 | |
| |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
37. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от juni (??) on 05-Июл-07, 21:59 | |
почитав рассылку netfilter.org на предмет проекта libnf-queue увидел, что просили помочь задокументировать этот модуль, потому как не описан совершенно. это отталкивало людей от миграции с libipqueue. Предполагаю, что это и есть та самая попытка написать доки. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
49. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от Moralez (??) on 07-Июл-07, 04:17 | |
ммм... не пробовал такой объем, но pf должен вообще махом и грузить и обрабатывать такое количество правил... | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
57. "Эффективное блокирование тысяч IP в Linux" | |
Сообщение от guest (??) on 02-Авг-07, 21:10 | |
>ммм... не пробовал такой объем, но pf должен вообще махом и грузить | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ] |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |