Panabit 能否阻止 syn-flood?
现在我用 Linux 做 NAT,发现如果内网有人攻击的话,由于 Linux 本身 conntrack 效率低下的问题,会导致大量无用源地址强行插入 hash 表,造成 CPU 过高甚至系统假死不知道跑在 FreeBSD 上的 Panabit 能否承受住这种 syn-flood?另外一点就是它是否有自身对 syn-flood 过滤的功能? 原帖由 netmaster 于 2007-8-28 23:44 发表 http://www.panabit.com/forum/images/common/back.gif
现在我用 Linux 做 NAT,发现如果内网有人攻击的话,由于 Linux 本身 conntrack 效率低下的问题,会导致大量无用源地址强行插入 hash 表,造成 CPU 过高甚至系统假死
不知道跑在 FreeBSD 上的 Panabit 能否承受 ...
Panabit自身对syn-flood有免疫能力,但是它不能保护别的主机不被syn-flood伤害。 你们可以把这个也加进去啊,这样大家就有福音了!:D 原帖由 panabit 于 2007-8-28 23:45 发表 http://www.panabit.com/forum/images/common/back.gif
Panabit自身对syn-flood有免疫能力,但是它不能保护别的主机不被syn-flood伤害。
另外,Panabit所采取的连接管理表同一般的hash表不太一样,它可以在4倍冲突的情况下保持查找性能不变。
当然,如果5倍以上的冲突,就会性能降低,但是这种情况比较少见,除非是特别大的DDOS攻击。 晕,这个就不懂了呵呵,我也是只知道些皮毛而已…… 原帖由 netmaster 于 2007-8-28 23:47 发表 http://www.panabit.com/forum/images/common/back.gif
你们可以把这个也加进去啊,这样大家就有福音了!:D
这个不是我们的重点,我们必须先将我们自己的事情做好。
我们还有很多需要做的feature。
syn-flood交给防火墙做比较合适,最有效的途径是syn-proxy + syn-cookie,除此之外,别无它法!
所有号称使用其他方法的,都是一种噱头。 发现 panabit 说得太专业了很多都听不懂,应该是开发者之一吧?
页:
[1]