forum.opennet.ru

"Эксперимент по настройке Linux для блокирования 10 млн пакет..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Эксперимент по настройке Linux для блокирования 10 млн пакет..."	+/–
Сообщение от нах (?), 10-Июл-18, 15:00
> см. "crontab -e", хотя конечно "лишний" файл там создаётся, но проблем это не доставляет с чего это лишний и создается? Файл у тебя существует перманентно, в /etc и в /var/spool/cron Причем там масса костыликов и подпорочек в виде висения на inotify у тех что поновее, или ежеминутном рескане mtime у тех что unixway, чтобы этот файл не разошелся с представлениями демона о том, что в нем лежит. Правда, это нынче тоже уже почти доломано неосиляторами sed - сплошные cron.daily и run-parts, и /etc/crontab из одной строки * * * * * root do-all-magic-through-the-ass. А в случае фиреволла у тебя все хуже - файл тебе все же нужен - из чего-то восстановить потом настройки, но ядру на него плевать, и никакого механизма обмена кроме довольно уродливых save/restore, даже нормальной гранулярности не обеспечивающих, не предусмотрено. Поэтому лично я предпочитаю работать не с файлом, а с реальным состоянием фильтра, сохраняя его после отладки изменений. Счетчиков ты в файле не видишь, последовательность проходов по цепочкам в нем отслеживать неудобно, целиком он тебе вообще никогда и ни для чего не будет нужен - сплошные минусы. А юзерлевел утилиту писали еще те люди, которые именно так им и пользовались - поэтому она достаточно удобна для применения. В концепцию редхатоидов (досистемдэшных, конечно) этот механизм ложится идеально, для остальных все равно все приходится делать через задницу, поскольку у них банального resore на старте и save по желанию не предусмотрено, одни интуитивно-приятные уродливые монстры типа ufw.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Эксперимент по настройке Linux для блокирования 10 млн пакет..., opennews, 08-Июл-18, 09:37 [смотреть все]

Теперь понятно почему nftables не прижился По сравнению с iptables не только си, Аноним, 08-Июл-18, 09:37 (1) //
- И что тут вырвиглазного, болезный А я отвечу - ничего Просто среди никсоидов е, fske, 08-Июл-18, 13:02 (16) //
  - Мне тоже не нравится - слишком много текста в одном регистре, глазу плохо куски , Crazy Alex, 08-Июл-18, 13:58 (19) //
    - С консоли - возможно хотя дело привычки А при редактировании nftables conf в , KonstantinB, 08-Июл-18, 16:29 (24)
    - используй цвет, цветник, 08-Июл-18, 23:21 (47)
  - Хорошие правила в виде дерева, спокойно помещаются в json формат , commiethebeastie, 08-Июл-18, 14:07 (20)
  - Да все эти фильтры вырвиглазные и нечитаемые Смотри, как надо New-NetFirewallRul, Аноним, 08-Июл-18, 16:01 (22) //
    - Оно тоже 10кк пакетов в секунду блокирует Или на 10к синий екран вызывает , commiethebeastie, 08-Июл-18, 16:13 (23)
      - И даже больше Оно же не глинукс 128077 , Аноним, 09-Июл-18, 12:10 (56)
      - Оно ваще все пакеты блокирует , KonstantinB, 09-Июл-18, 21:42 (66)
    - до New- -remoteaddress 13 54 0 0 24 - следоми пойди угадай, какое из двух рабо, пох, 08-Июл-18, 20:00 (42)
      - Как минимум netsh умеет кучу remoteaddress через запятую , Аноним, 12-Июл-18, 12:45 (91)
    - В этом вашем как надо кто-то фаерфол использует через консольку и с целями отл, Ан, 08-Июл-18, 20:29 (43)
      - ну я иногда использую, если консолька под рукой, а правило такое же примитивное,, нах, 09-Июл-18, 10:38 (55)
      - Да, powershell, 09-Июл-18, 16:16 (59)
  - Нечитаемая мешанина без разделителей, особенно вторая строчка , Аноним, 08-Июл-18, 18:39 (35) //
    - в ней ЕСТЬ разделители - что делает ее еще более нечитаемой, особенно из-за не, пох, 08-Июл-18, 19:51 (41)
      - В vim е есть подсветка для nft, будешь втирать, что vim не удобен для построчной, Аноним, 09-Июл-18, 09:32 (53)
        
        просто ты, обезьянка, не умеешь ни sed, ни grep Вот тебе vim и удобен для тех, нах, 09-Июл-18, 10:32 (54)
        
        Я стесняюсь спросить - а зачем столько Это действительно оправдано , Аноним, 09-Июл-18, 15:06 (58)
        
        ну вот ботнеты блокировать ты - вообще не собираешься У меня был специфический u, нах, 09-Июл-18, 16:48 (61)
        
        А смысл Сегодня ботнет есть, завтра его попалили, послезавтра хаксор забацал дв, Аноним, 10-Июл-18, 09:26 (72)
        
        чтобы тебя не поломали и не положили, дружочек Понятно, что кому-то все равно м, нах, 10-Июл-18, 14:40 (76)
        
        Шаблонизаторы в данном случае решают Не все кто умеют sed, grep и awk применяют, yu, 10-Июл-18, 10:54 (73)
        
        с чего это лишний и создается Файл у тебя существует перманентно, в etc и в v , нах, 10-Июл-18, 15:00 (77)
        
        К тому, что crontab создаёт тебе новый файл где-то в районе tmp И никакого i, yukra, 10-Июл-18, 15:42 (81)
для ускорения обработки пакетов в ядре линукс нужно не допускать попадания пак, Нанобот, 08-Июл-18, 10:18 (2) //
- ну и что в общем удивительного в таком выводе, если вся обработка в ронянии их, пох, 08-Июл-18, 11:09 (6) //
  - В том что линупs только для загрузки правил нужен - нет ничего плохого или необы, Ivan_83, 09-Июл-18, 16:22 (60) //
    - плохо будет, если его начнут с этой целью улучшать Как обычно, ломая то, что , нах, 09-Июл-18, 16:53 (62)
      - Дефолтами не довольны все, кто туда заглядывает, ибо универсальных значений не с, Ivan_83, 10-Июл-18, 13:45 (75)
        
        некоторые ваши товарищи уже на себе почувствовали наше гуманное обращение каж, нах, 10-Июл-18, 15:05 (78)
- Статья не про обработку пакетов в ядре, а про их роняние Вариант XDP роняет пак, Oleg, 08-Июл-18, 11:44 (12)
- Нужно линукс запихнуть в Intel Stratix FPGA, Аноним, 08-Июл-18, 13:39 (17) //
  - Эх, а раньше это была Altera Слава богу, их продукт Quartus продолжил жить , Старый одмин, 08-Июл-18, 17:37 (29)
ичто роутерам всё это не поможет и серверам не поможет, они всё равно падут,по, Лычев Андрей, 08-Июл-18, 10:19 (3) //
- Ну вот сходи к CF расскажи как ddos отбивать правильно, кто в теме понимает, что, Начальник, 08-Июл-18, 10:39 (4)
- Откуда вы лезете Три первых комментария, а все неимоверно тупые и написаны типи, Аноним, 08-Июл-18, 10:58 (5) //
  - Каникулы, Аноним, 09-Июл-18, 12:49 (57)
- Тебе уже ничего не поможет , оттуда, 08-Июл-18, 11:10 (7)
- Просто вы, как и многие другие, склонны путать DDoS и DoS Первый - достаточно р, Vitaliy Blats, 08-Июл-18, 11:22 (9) //
  - но в новости так и написано DDoS , Аноним, 08-Июл-18, 11:38 (11)
  - Это DDOS то редок и дорог Мьсе живет в каком-то абстрактном розовом мире, ни , dry, 08-Июл-18, 13:02 (15) //
    - Да Редок и дорог Час - порядка нескольких тысяч долларов Ложит иногда даже IS, Vitaliy Blats, 08-Июл-18, 13:51 (18)
      - Не, дешевле вроде Ассист, судя по материалам уголовного дела и сливам 1 , ддосил, KonstantinB, 08-Июл-18, 16:36 (25)
        
        Опечатался точнее, забыл отредактировать - за 1к в сутки, всего 9к за 9 дней , KonstantinB, 08-Июл-18, 16:36 (26)
      - почему то у токсина самый дешевый акк на стрессере с NTP,BoostHTTP,методами дудо, чече, 13-Июл-18, 17:57 (93)
    - Боюсь все зависит от цели, заказчика и исполнителя Тоесть когда речь идет о дд, Аноним, 08-Июл-18, 19:16 (39)
  - В первую очередь путаешь их ты Второй случай это тоже DDoS, хоть и меньшего мас, angra, 08-Июл-18, 18:19 (33)
  - ddos уже давно не дорог и не особо сложен , тигарэтоя, 12-Июл-18, 10:11 (90)
Было бы интересно глянуть что за железо использовалось , Аноним, 08-Июл-18, 11:12 (8)
А это можно использовать каким-то способом для увеличения количества отправляемы, Аноним, 08-Июл-18, 11:45 (13) //
- Смотря что у вас за пакеты Смотрите в сторону Netmap и DPDK, ими можно генериро, Аноним, 08-Июл-18, 12:32 (14)
Интересно, но Странно, что не упомянута фильтрация средствами сетевушек Intel , solardiz, 08-Июл-18, 15:00 (21) //
- Они используют Solarflare NIC, они судя по характеристикам еще круче , Аноним, 08-Июл-18, 17:56 (30)
- Там ведь задержки большие, у CloudFlare задержки должны быть мега-низкие , Аноним, 08-Июл-18, 17:58 (31)
- ну они вообще, похоже, странные Либо само это исследование - не для работы, а п, пох, 08-Июл-18, 18:18 (32) //
  - Если блокировать нужно миллионы адресов, вместо обычной таблицы можно использова, Аноним, 09-Июл-18, 20:13 (63) //
    - ну, мы где-то даже такое делали, во времена оны, раскидывая теми же iptables спе, пох, 09-Июл-18, 21:15 (64)
      - послушайте, память - дешевая , Netmapguy, 10-Июл-18, 01:15 (68)
        
        А случайный доступ к ней на чтение дорогой как это ни парадоксально на первый в, Vkni, 10-Июл-18, 07:43 (71)
        
        Но вот никто не запрещает ставить несколько серверов параллельно, шарить на них , yu, 10-Июл-18, 11:05 (74)
        там не случайный, но от этого сильно почему-то не легчает, это надо на уровне да, нах, 10-Июл-18, 15:07 (79)
        а в чем дороговизна в вашем понимании , DPDKguy, 10-Июл-18, 16:45 (82)
      - Кстати про резиновую память - случайный доступ к ОЗУ - это 500 тактов Т е если, Vkni, 10-Июл-18, 07:42 (70)
        
        ну, мы можем лукапить пачками и префетчить , DPDKguy, 10-Июл-18, 16:50 (83)
    - Nyet, это будет fail Правильнее будет думать о чем-то вроде dir-24-8, Netmapguy, 10-Июл-18, 01:07 (67)
      - ну и вот где это делать-то В bpf Скорее всего не получится А в более доступных, нах, 10-Июл-18, 15:09 (80)
      - А что тогда делать с IPv6 Мы экспериментировали с несколькими видами trie, при н, Аноним, 12-Июл-18, 09:30 (89)
        
        страдать с dir-24-8 можно делать 200 млн лукапов в секунду на одном ядре , DPDKguy, 12-Июл-18, 18:01 (92)
- а смысл фильтры там довольно тупые, да и если у вас там линк-агрегация и вланы , Netmapguy, 10-Июл-18, 01:18 (69)
На увеличенной картинке черный фон, не видно подписей , Аноним, 08-Июл-18, 18:36 (34) //
- там прозрачный фон, просто у кого-то цвет в браузере по умолчанию черный, Григорий Федорович Конин, 09-Июл-18, 02:12 (49)
Скоро ожидать наборы платных файлов вида xdp-make_something-ebpf-corp o, для кор, Аноним, 08-Июл-18, 18:52 (36) //
- Никогда Разреверсить тривиально , Аноним, 08-Июл-18, 18:54 (38)
- вечно поскольку совершенно непонятно, какую бы корпоративную нужду оно могло бы, пох, 08-Июл-18, 19:43 (40) //
  - Ну не такое же глупое условие я имел в виду Скорее говорил про сложные правила , Аноним, 08-Июл-18, 20:45 (44) //
    - дык - а это как раз и не меряет никто то есть вполне возможно, что сложное и под, пох, 08-Июл-18, 23:47 (48)
    - это называется нанять аутсорсера для написания правил но по хорошему скорее вс, RotarenegeD, 09-Июл-18, 02:39 (50)
      - нет, это называется подписка на наборы правил Существует десятки лет, в том чис, пох, 09-Июл-18, 21:18 (65)
fpga всё равно вне конкуренции , Аноним, 08-Июл-18, 18:53 (37) //
- Да клали все с прибором на FPGA , Anonymous_, 08-Июл-18, 21:41 (45) //
  - Майню на ASIC у тебя в медиаплеере, Зеленая слизь на продакшен Линухе, 08-Июл-18, 22:03 (46) //
    - Майню на ASIC у тебя в вибраторах, Аноним, 09-Июл-18, 06:50 (51)
Приложение значит прикладная программа Не стоит называть так хотя бы совсем, qweo, 09-Июл-18, 09:10 (52) //
- Прикладная программа делает полезное действие и не важно какая она в плане скоуп, Мимокрокодил, 17-Июл-18, 11:47 (94)
Очень интересно , Аноним, 11-Июл-18, 04:39 (85)
Могу заблокировать хоть миллиард пакетов в секунду простым выниманием кабеля , vantoo, 11-Июл-18, 13:45 (86) //
- плохая попытка, грант не дадут - , нах, 11-Июл-18, 14:40 (87)
- Точно А вдруг, при таком насыщении, они и по воздуху проскакивать будут т н , Аноним, 11-Июл-18, 14:47 (88)
Ненавижу гребаный cloudflare Чтоб им там подавиться своей гугл-капчей и вечными, Аноним, 15-Сен-18, 21:47 (95)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру