LINUX.ORG.RU
ФорумTalks

Блокировка 2000000 адресов

 ,


0

1

Какие трудности могут возникнуть?

Предположим у вас Cisco. С нею знаком поверхностно, и не вижу никаких способов впихнуть туда этот список кроме как руками.

Если у вас Linux маршрутизатор, то как впихнуть понятно, но все равно придется какой-то код писать.

И напоследок, не представляю как это будет отрабатывать? Ведь каждый пакет будет идти через фаервол, проверка заголовка, отбрасывание и так (как только что подсказал коллега, уже 3000000) раз на пакет.

В общем кто по-опытнее, научите?)))


Ответ на: комментарий от Bruce_Lee

Ну мне влом, тыкаю в профиль где пачпорт и на международные, т.к. заполнен.

mandala ★★★★★
()
Ответ на: комментарий от Murg

При маленьком траффике. При нормальном у тебя будет OOM довольно быстро)

Какой OOM, простите? Обработку пакетов выполняет ядро.

Вот софтовые прерывания будут проблемой, это да.

Deleted
()
Ответ на: комментарий от h31

При малом размере корзины или плохом распределении хештаблица будет представлять список. Какая сложность поиска в списке?

NULL
()
Ответ на: комментарий от CrossFire

А всё и не надо. Амазон (не знаю, как Гугл) предоставляет https-сертификаты. Дальше рассказывать?

alegz ★★★★
()
Ответ на: комментарий от Deleted

Хз что именно iptables грузят. Обычно когда их 100500 + трафик, машинка умирает.

100500 банов по айпи и out of memory вместе видеда довольно часто, пока работала с физическими машинками. Может быть криво настроенны были, хз. Результат тот же.

Murg ★★★
()
Ответ на: комментарий от Murg

Так то наверное были всякие апачи с пхп, которым нормально не урезали кол-во воркеров. Ну или что-то другое юзерспейсное.

Deleted
()
Ответ на: комментарий от Deleted

Эм... в топе fail2ban светился первым, правда не помню по чему именно сортировала. Давно было, тестировать лень.

Murg ★★★
()
Ответ на: комментарий от Murg

Ну так что ты хочешь, утилита на питоне, пытающаяся проглотить и распарсить лог, который тоже не маленький из-за ддоса. Я таки ставлю на то, что причиной ООМов был юзерспейс.

Deleted
()
Ответ на: комментарий от Spoofing

от 2.000.000 адресов сервер схлопнется

Интересные вы люди, сетевые специалисты... Мы сейчас о каком сервере говорим и о каком трафике в pps ? И что эти 2.000.000 из себя представляют, уникальные адреса или целые сети? Я уверяю тебя, что в некоторых ситуациях будет достаточно и первопня с 32 мегабайтами памяти :))) Но главное же не уточнить параметры задачи, а что нибудь написать.

vasya_pupkin ★★★★★
()

алгоритмически, кол-во блокируемых (отдельно маршрутизируемых) адресов ограничено только фантазией.

1 раз построить оптимальное дерево поиска для заранее известного множества (те самые несколько 10-ков миллионов, менее 1% от общего массива адресов). Полученное дерево можно загнать в конвеер (даже ipset сойдёт, продвинутые нищеброды могут заюзать видяху) и фильтровать в реальном времени.

Если учесть что 90% трафика генерят 10% хостов, и пакеты в один(из одного) адрес ходят пачками, остаётся ещё дикий простор для оптимизаций.

а свистопляску с «выделить адресную часть» фаервол(маршрутизатор) и так должен сделать, это действие не зависит от есть ли хоть 1 блокировка.

MKuznetsov ★★★★★
()
Ответ на: комментарий от Spoofing

Эм... так тоже ПеКи, которые ты какому-то пацану собирал недавно.

А вообще, хотела спросить от куда у тебя серваки и чем они так загруженны. Ожидала увидеть сервак под кроватью, но прошла по ссылке и... взоржала аки лошадь).

В общем, отдай уже ПеКи мелкому, он же гамать хочет и называй вещи своими именами, а то дезинформация сплошная.

Murg ★★★
()
Ответ на: комментарий от MKuznetsov

алгоритмически, кол-во блокируемых (отдельно маршрутизируемых) адресов ограничено только фантазией.

Там сейчас всего около 20к уникальных префиксов, если тупо все адреса агрегировать. Вообще все, даже те, которые строго по IP блокировать не нужно.

А если чуть умнее — менее 15к.

baka-kun ★★★★★
()
Ответ на: комментарий от Spoofing

сетевое оборудование по типу Cisco, Juniper с этим справилось бы на раз-два

Какое? А если адреса не влезут в их asic?

vasya_pupkin ★★★★★
()

Берете подсеть и добавляете маршрут на неё в blackhole, веcь трафик дропается не дойдя до firewall. Проще всего сделать где-то на магистрали, но все провайдеры перестрахуются и пропишут на своем оборудовании.

Creed
()
Последнее исправление: Creed (всего исправлений: 2)
Ответ на: комментарий от NULL

У нас фиксированный тип данных, IP-адрес, с фиксированным размером. Для такого случая написать хорошую хэш-функцию проще, чем для произвольных данных. Так что вариант с плохим распределением отметается. Малый размер корзины - тоже не проблема, не было никакой информации об ограничениях по памяти.
В любом случае, я написал «в среднем». Плохое распределение и малый размер корзины - это конкретные ситуации, которые в average-case complexity не учитываются.

h31 ★★★★
()
Ответ на: комментарий от Sadler

Блокировка 2000000 адресов. Какие трудности могут возникнуть?

ясно же, что это кто-то из админов роскомнадзора спрашивает%) не нужно им помогать, мне вчера скайп вот сломали)

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 2)
Ответ на: комментарий от burato

а хрен знает, я включил обход, как с рутреккером, и забил. мне работать надо, а не утра ждать.

p.s.

а дуров дурак.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 2)

В общем кто по-опытнее, научите?)))

Роскомнадзор, перелогиньтесь

Siado ★★★★★
()
Ответ на: комментарий от Deleted

не, он уже в бнвачике про почасовую жену интересуется у публики

Harald ★★★★★
()
Ответ на: комментарий от Harald

У меня нет ника на бнвочике. Я только бложек Спуфа читаю. Бнвочик, напоминает деградировавших падонкафф.

Murg ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.