https://www.opennet.me/openforum/vsluhforumID3/114786.html Марек Майковски (Marek Majkowski), разработчик ядра Linux, работающий в компании CloudFlare, опубликовал (https://blog.cloudflare.com/how-to-drop-10-million-packets/) результаты оценки производительности различных решений на базе ядра Linux, способных отбрасывать огромное число пакетов, поступающих в ходе DDoS-атаки. В итоге удалось выработать метод, позволяющий отбрасывать потоки пакетов, поступающие с интенсивностью до 10 млн пакетов в секунду, при том что до оптимизации максимальный результат составлял около 1.8 млн пакетов в секунду.<br><br><br><br>Наибольшей производительности удалось добиться при использовании подсистемы eBPF, представляющей встроенный в ядро Linux интерпретатор байткода, позволяющий создавать высокопроизводительные обработчики входящих/исходящих пакетов с принятием решений об их перенаправлении или отбрасывании. Благодаря применению JIT-компиляции, байткод eBPF на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. Для блокировки использовался вызов X https://www.opennet.me/openforum/vsluhforumID3/114786.html#95 Sat, 15 Sep 2018 18:47:27 GMT Ненавижу гребаный cloudflare. Чтоб им там подавиться своей гугл-капчей и вечными трекерами! Зачем делать свою капчу? Лучше пусть гугл заплатит нам за то что наши рабы ему будут дорожные знаки, книги, карты читать. Глядишь - за пару дней на 22ю машину накопится.<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#94 Tue, 17 Jul 2018 08:47:52 GMT Прикладная программа делает полезное действие и не важно какая она в плане скоупа, узерспейсная или системная.<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#93 Fri, 13 Jul 2018 14:57:40 GMT почему то у токсина самый дешевый акк на стрессере с NTP,BoostHTTP,методами дудоса OVH и прочим стоит всего 150 рублей в месяц,тысяч далларов не вижу<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#92 Thu, 12 Jul 2018 15:01:58 GMT &gt;А что тогда делать с IPv6?<br><br>страдать.<br><br>&gt;Мы экспериментировали с несколькими видами trie, при некотором упорстве (и если избегать явных и неявных LOCK-операций) можно лукапить и форвардить на 20Gbe (т.е. на 14.88*2 млн pps) вход и столько же выход. <br><br>с dir-24-8 можно делать 200 млн лукапов в секунду на одном ядре.<br><br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#91 Thu, 12 Jul 2018 09:45:40 GMT Как минимум netsh умеет кучу remoteaddress через запятую.<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#90 Thu, 12 Jul 2018 07:11:21 GMT ddos уже давно не дорог. и не особо сложен.<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#89 Thu, 12 Jul 2018 06:30:38 GMT &gt;dir-24-8<br><br>А что тогда делать с IPv6?<br><br>Мы экспериментировали с несколькими видами trie, при некотором упорстве (и если избегать явных и неявных LOCK-операций) можно лукапить и форвардить на 20Gbe (т.е. на 14.88*2 млн pps) вход и столько же выход. У trie (даже radix trie) есть недостаток - им нужно много памяти. Но если нужды специфические - можно пользоваться и деревьями<br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#88 Wed, 11 Jul 2018 11:47:13 GMT &gt; Могу заблокировать хоть миллиард пакетов в секунду простым выниманием кабеля.<br><br>Точно? А вдруг, при таком насыщении, они и по воздуху проскакивать будут (т.н. &#171;пакетная дуга&#187;)?<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/114786.html#87 Wed, 11 Jul 2018 11:40:43 GMT плохая попытка, грант не дадут :-(<br>