forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новая версия пакетного фильтра для Linux - iptables 1.4.0"
Отправлено Nick, 28-Дек-07 09:36

впику Вашей нелюбви к Netfilter
проблема: DoS на вебсервис и границы синов далеки до реакции, а апач, как выше выразилиьсь, доедает своп...
Что делать BSD админу - неизвестно.
А вот в Линухе проблема имеет вид даже некоторого решения.
Пишеться модуль, который в зависимости от нагрузки на CPU и/или винта и/или память, принимает или дропает пакет, собирается для текущего ядра и загружается в него.
Аналогичный модуль-собрат пишется и для user-level iptables тулзы.
Все границы/лимиты задаются параметрами этого user-level модуля из команды iptables.
Зависимость на род нагрузки исчезает. Это может быть сколь угодно плохой и неоптимальный пользовательский код.
В результате: можно вести разговор о дропе новых соединений, если загрузка системы и/или этих 3-х подсистем выше заданной. А также, совмещать эти лимиты с другими сетевыми ограничениями.
На практике получается более чем красивое и элегантное решение.
Например: в зависимости от нагрузки (уровни нагрузки: 5-10, 10-20, 20-30...) регулируется количество одновременных коннектов из /24 сетки (например: 50, 30, 10...). И даже глубина битности измеряемых сетей: /24, /25, /26....
В результате имеем более равномерное распределение мощностей системы между клиентами в условиях DoS'a.
Чем бы порадовал PF?

Исходное сообщение
"Новая версия пакетного фильтра для Linux - iptables 1.4.0" Отправлено Nick, 28-Дек-07 09:36
впику Вашей нелюбви к Netfilter проблема: DoS на вебсервис и границы синов далеки до реакции, а апач, как выше выразилиьсь, доедает своп... Что делать BSD админу - неизвестно. А вот в Линухе проблема имеет вид даже некоторого решения. Пишеться модуль, который в зависимости от нагрузки на CPU и/или винта и/или память, принимает или дропает пакет, собирается для текущего ядра и загружается в него. Аналогичный модуль-собрат пишется и для user-level iptables тулзы. Все границы/лимиты задаются параметрами этого user-level модуля из команды iptables. Зависимость на род нагрузки исчезает. Это может быть сколь угодно плохой и неоптимальный пользовательский код. В результате: можно вести разговор о дропе новых соединений, если загрузка системы и/или этих 3-х подсистем выше заданной. А также, совмещать эти лимиты с другими сетевыми ограничениями. На практике получается более чем красивое и элегантное решение. Например: в зависимости от нагрузки (уровни нагрузки: 5-10, 10-20, 20-30...) регулируется количество одновременных коннектов из /24 сетки (например: 50, 30, 10...). И даже глубина битности измеряемых сетей: /24, /25, /26.... В результате имеем более равномерное распределение мощностей системы между клиентами в условиях DoS'a. Чем бы порадовал PF?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> впику Вашей нелюбви к Netfilter > проблема: DoS на вебсервис и границы синов далеки до реакции, а апач, > как выше выразилиьсь, доедает своп... > Что делать BSD админу - неизвестно. > А вот в Линухе проблема имеет вид даже некоторого решения. > Пишеться модуль, который в зависимости от нагрузки на CPU и/или винта и/или > память, принимает или дропает пакет, собирается для текущего ядра и загружается > в него. > Аналогичный модуль-собрат пишется и для user-level iptables тулзы. > Все границы/лимиты задаются параметрами этого user-level модуля из команды iptables. > Зависимость на род нагрузки исчезает. Это может быть сколь угодно плохой и > неоптимальный пользовательский код. > В результате: можно вести разговор о дропе новых соединений, если загрузка системы > и/или этих 3-х подсистем выше заданной. А также, совмещать эти лимиты > с другими сетевыми ограничениями. > На практике получается более чем красивое и элегантное решение. > Например: в зависимости от нагрузки (уровни нагрузки: 5-10, 10-20, 20-30...) регулируется > количество одновременных коннектов из /24 сетки (например: 50, 30, 10...). И > даже глубина битности измеряемых сетей: /24, /25, /26.... > В результате имеем более равномерное распределение мощностей системы между клиентами в > условиях DoS'a. > Чем бы порадовал PF?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру