nginx网卡驱动cc防火墙更新至3.0版本，新增防御慢速Web攻击等

diocat · 发表于 2023-6-12 10:22:50

1000万确定网卡带宽没被打爆？

diocat · 发表于 2023-6-12 15:44:58

本帖最后由 diocat 于 2023-6-12 15:48 编辑

C大屌发表于 2023-6-12 15:35
CC攻击和第七层攻击的话不会，都是有科学依据的。
可以参考cloudflare这篇文章https://blog.cloudflare.c ...

人家cf那是几十G上百G的光口，你这100m下行 1G电口不是来搞笑的吗

diocat · 发表于 2023-6-12 15:58:19

C大屌发表于 2023-6-12 15:54
你连协议层都没有搞懂，1000万数据包约等于100M宽带很多吗

我笑了，那好，请问你这1000万数据包约等于100M带宽是如何得出的，写一下计算公式

diocat · 发表于 2023-6-12 16:05:06

C大屌发表于 2023-6-12 15:54
你连协议层都没有搞懂，1000万数据包约等于100M宽带很多吗

第七层攻击无论攻击大小多少只要把包给丢弃 ...

你这句话就有点自相矛盾了，你一直在鼓吹你的防御能每秒丢弃多少多少包，高效的丢弃那些攻击数据包，但是你说的cc攻击本身就不吃流量，不吃流量的东西压根不需要动用内核层的函数去丢弃，随便一个防火墙策略就能丢个干净。你讲的那些高效丢弃都是面对ddos这类，但是无论你的内核丢弃多高效，流量到达你的1G电口网卡网卡就已经报废了，根本用不着进内核，纸上谈兵。

diocat · 发表于 2023-6-12 16:08:32

C大屌发表于 2023-6-12 16:04
稍微有宽带常识的都懂。 100M宽带每秒12.5/M

人家那是10million pkt/s，亲
我来帮你算算好吗
以太网最小帧64字节，10000000*64字节=640000000字节
640000000 / 1024 = 625000 Kb
625000 / 1024 = 610.3515625 Mb
610Mb每秒的流量，换算成MBit就是4880MBit/s
将近5G的流量，多学学吧

diocat · 发表于 2023-6-12 16:25:06

C大屌发表于 2023-6-12 16:14
嗯，你说的是对的那里是我看错了。

我说话也有点很急，你别太在意

做出一个有利于公众的东西就是好事，无论项目是大是小，都是贡献。开源项目本身就是在无数人的螺丝钉堆里，每个人都去加一份自己的零件，最后变成一个巴黎铁塔。

不是每个人都懂dd cc waf kernel iptables这些原理，你的项目把这些都整合起来做成一键形式，易于他们使用。

我提点建议，我个人的看法:
1、内核空间你已经写过了，里面几乎没有方便的写法，这会极大的制约你的发展空间，即使可以用很复杂的写法去实现功能，也会极大的增加你的维护成本，在不需要性能的地方，要去做“方便和性能”之间的均衡。例如编程语言有多种多样，有些低效但是很方便，不会是高效的c一统江山。
2、看看主流的waf是怎么设计的，站在巨人的肩膀上，一览众山小。

diocat · 发表于 2023-6-12 16:37:28

C大屌发表于 2023-6-12 16:28
CC攻击是会消耗宽带的，光靠nginx js验证硬抗cc 如果cc量非常大会导致cpu 100% ，所以这时候就需要nginx ...

100m的带宽，单核处理是没有问题的，想想看还有哪里在吃性能

比如，最常见的conntrack

iptables -t raw -A PREROUTING -p tcp --dport 80 -m set --match-set blacklist src -j DROP

		自动登录	找回密码
密码			注册

[nginx] nginx网卡驱动cc防火墙更新至3.0版本，新增防御慢速Web攻击等

浏览过的版块