Да там параллельно был офтоп от Grohotun как забанить 40к хостов.
к SYN атакам это не имеет отношение :) Там баном хостов отбится не получится. :)
И тем не менее, что то мне подсказывает, что поиск в большой роутинговой таблице более эффективен, поскольку это штатный режим BGP рутера. Сегодня full view это пол миллиона записей.
Чем линейный поиск в несортированном списке файрвола.
Хотя в принципе, если 40К хостов держит, это более чем достаточно для большинства атак. Абы мозгов у тазика и канала хватило.
conntrack грузит. И не просто грузит а валит сетевую карту наглухо, если его забивать черт знает чем.
А в этом случае в contrack будет свои 3-5 тысяч клиентов. А левые в conntrack попадать не будут.
Естественно это не отменяет фильтрации прямой SYN атаки. То есть алгоритм отбитие прямой syn атаки первым правилом, а потом фильтрация !SYN и SYN-ASK на contrack. и все по идее должно работать. У меня так и работало. Только SYN-ASK фильтровал, как в первом посте.
По поводу блокировки списка от 40К ботов.
# route -n | wc -l
492577
# cat /proc/cpuinfo | grep X
model name : Intel(R) Xeon(R) CPU X3470 @ 2.93GHz
Это full view на линукс рутере. Если на ipset или iptables вам виднее.
Нашел решение в RTFM
http://www.linuxtopia.org/Linux_Firewall_iptables/x6231.html
Стыдно до нельзя. Называется все учим матчасть.
Причем решение предусматривает посылку RST жертвам. То есть еще и не будут заваливать арбузами. и размер наведенной атаки уменьшается в шесть раза для линукс жертв с дефолтным TCP. !!!!
То есть рекомендую к обязательному применению всем на frontend серверах.
Собственно атака закончилась. 144 часа боевых действий ...
Нюансы сначала написал, потом стер, хз кто читает.
Но не так как вы предлагаете. То тоже перепробовано. Это смерть на миллионах пакетов :)
Ну таки получалось держать рабочий сервер на E3 камне и 10G картой под атакой TCP мусором до 5-5.5 mpps. Дальше уже idle уходит в 0.
Тему можно закрывать. Пока.
Больше врядли. Правда пришлось вытянуть на свет божий все бакап сервера. Холодные, горячие..
И видео тоже:)
Сайт за бизнес cloudflare. Туда даже не пытаются соватся.
Еще скажите поставить рутер, взть автономку, /24 адресов и сдатся пролексику.:)
От теперь фиг вам. Лучше сквид рядом поставлю и буду через него ходить.
Есть и первый и второй на абсолютно разных задачах, поэтому сравнивать производительность некорректно.
Единственное что замечу, в R200 набортная бродкомовская сетевая карта бъет по сетевой производительности более старшие модели hp с наботными интелами. Поэтому, если ставить
frontend, для hp надо докупать взрослую сетевую карту, а это уже не копейки.
Неверное надо сказать последнее слово.
1. Уважаемые трудяги с смены Воли. Если кого лично обидел извиняюсь. Это искренно..
2. Мне Ваш нокер открыл глаза на многие вещи в TCP протоколе. Оказывается при rtt в 30 ms на штатных средствах нельзя получить скорость TCP потока более 1.3 MB/s. Тогда согласно логике на спутниковом канале с rtt 1 сек получить скорость более 64К невозможно. А закачать линукс с штатовских репозитероиев больше чем
с 512К тоже нельзя. Наверное старею..А техника идет вперед. :)
3. Специально нашел у себя преписку с ноком Совинтела начавшуюся 31 января 2007 года. Дата, когда Совинтел и РТКОМ порвали пиринг, и весь паритет двух Московских монстров, пошел через мир. Ответ, пришел в течении часа, по поводу перегрузки международных аплинков. Через несколько дней ответили, чтобы проверил, ситуация стала лучше, но все едино качество не устраивало. Я перезвонил в их суппорт и мне в устном разговоре сказали, что такого рода авария потребует на решение как минимум месяц. Письмо о полном решении проблемы пришло 6 июня 2007 года. Что, я после этого стал меньше уважать Совинтел? Меня никто не лечил, не привлекал кандидатов технических наук с математическими формулами, а сообщали просто сухие факты, а я мог принимать на себя решение самостоятельно, не вынося грязь наружу.
Слава богу. А то ощущение было, что одного меня проблема касается.
Просто сегодня несколько часов провел в переписке с каким-то ботом из NOC-а.
Ну, по моему смог сделать ему kernel panic. Надеюсь поможет.
BTW,
Александр, да я согласился, поскольку в тот момент думал каким образом быстро перенести
критически важные ресурсы от Вас, а не о Ваших проблемах. Сейчас слава богу
перенес и теперь могу расслабится 🚬
Удачи.