Блокирование 10 млн пакетов в секунду при DDoS-атаке

Аватара пользователя

Автор темы
x230
Сообщения: 1822
Зарегистрирован: 02 сен 2016, 19:07
Решено: 5
Откуда: Курилы/Сахалин/Кубань
Благодарил (а): 312 раз
Поблагодарили: 449 раз

Блокирование 10 млн пакетов в секунду при DDoS-атаке

Сообщение x230 » 10 июл 2018, 17:28

Марек Майковски (Marek Majkowski), разработчик ядра Linux, работающий в компании CloudFlare, опубликовал результаты оценки производительности различных решений на базе ядра Linux для отбрасывания огромного числа пакетов, поступающих в ходе DDoS-атаки. Наиболее высокопроизводительный метод позволил отбрасывать потоки запросов, поступающие с интенсивностью 10 млн пакетов в секунду.

Наибольшей производительности удалось добиться при использовании подсистемы eBPF, представляющей встроенный в ядро Linux интерпретатор байткода, позволяющий создавать высокопроизводительные обработчики входящих/исходящих пакетов с принятием решений об их перенаправлении или отбрасывании. Благодаря применению JIT-компиляции, байткод eBPF на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. Для блокировки использовался вызов XDP_DROP, предоставляемый подсистемой XDP (eXpress Data Path), позволяющей запускать BPF-программы на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком.

Блокировка осуществлялась при помощи загруженного в ядро простого BPF-приложения (около 50 строк кода), написанного на подмножестве языка C и скомпилированного при помощи Clang.

...

Источник
i3-3210/4GB/VGA на борту//Manjaro/5.4.*/x64/KDE Plasma 5.17.5/Chromium 80.*
N5000/4GB/VGA на борту/SSD 256//KDE neon/5.3.*/x64/KDE Plasma 5.18/SlimJet 25.*

Вернуться в «Другие новости»