[问题求助]这样的 SYN PROXY 性能算好吗? [复制链接]

我实现了一.个 SYN PROXY 配置和测.试结果如下:<性病>

配置:  Thinkp.ad T43 1.7Ghz 单CPU+1.5GB mem.ory外贸

在115k pps/ 77Mbps 的64.字节syn flood攻击下, CPU空闲率在 68.%, 丢包<0.01%, 对真实服务器的访问几乎没有.
影响.

不知道这样的效果是否算可以?

调整了一下参数, 现在在100M/144kpps的攻击下, 还有75%的CPU空闲率

很奇怪的是我在100M的网络里面, 竟然发包率有时候能够测试到 166kpps, 这不是超过理论值了吗?

QUOTE:原帖由 aries1998 于 2008-10-10 14:49 发表
留个爪子，不太懂，只知道144pps差不多到了100M以太网的理论极限了
不知道楼主的具体测试环境是什么样的，楼主继续深入一下


非常简陋的:

D-link DI-624 A+无线router有4个口.
我自己的T43做proxy server
讨了两台PC做SYN FLOOD的机器, 他们配置都非常低

很想要一台1000M交换机

都说可以防止各种各样的攻击, 包括SYN FLOOD, UDP FLOOD, SYN_ACK FLOOD, ACK FLOOD, ICMP FLOOD, CC ATTACK等等. 我个人感觉其实最难对付的就是最经典的SYN FLOOD攻击. 其他的都好对付.

比如UDP,ICMP基本上对大部分的INTERNET SERVER 没有什么用处, 基本上在普通放火墙上限制速度或者禁止就好了.

SYN_ACK FLOOD和ACK FLOOD对系统资源消耗比较少, 也比较好对付. 我没有测试过,但是感觉普通的带状态跟踪的FIREWALL比如IPTABLES就可以应付了吧?

CC的话最简单了, 在WEB SERVER或者专门的LOG SERVER上做一个统计IP黑名单, 然后给FIREWALL 反馈一下,把那些攻击IP全杀了. 没有任何难点.

所以我想防DOS/DDOS防火墙应该专著于防止SYN FLOOD的攻击, 这样也有助于设计和性能提升. 不知道各位达人是不是和我有相似观点? 目前市场上那些功能齐权的FIREWALL, 我想性能应该不会很好吧? 这么多华丽的功能是不是为了引诱很多对网络DOS攻击不太了解的用户呢? 要是真的有组合攻击的话, 我相信这样的FIREWALL不可能表现良好的

我想做一个高性能的专著于防御SYN FLOOD的FIREWALL(其他攻击的防止放在我的FIREWALL后面,可以用普通FIREWALL实现). 不知道这样的专著于防御SYN FLOOD的FIREWALL有没有市场?

如果硬件配置高一些,比如用3Ghz的CPU, 我估计可以抵挡500Mbps的syn flood攻击

呵呵,就是觉得
"D-link DI-624 A+无线router"
这个东东能达到这个性能,真让人怀疑.

QUOTE:原帖由 独孤九贱 于 2008-10-12 20:17 发表
呵呵,就是觉得
"D-link DI-624 A+无线router"
这个东东能达到这个性能,真让人怀疑.


我刚开始也根本没有想到它能够传100M. 但是我在发送和接收侧都做了统计, 确实它做到了, 不可思异呀.
可能它用了硬件实现转发的?