Panabit 能否阻止 syn-flood？

netmaster

现在我用 Linux 做 NAT，发现如果内网有人攻击的话，由于 Linux 本身 conntrack 效率低下的问题，会导致大量无用源地址强行插入 hash 表，造成 CPU 过高甚至系统假死
不知道跑在 FreeBSD 上的 Panabit 能否承受住这种 syn-flood？另外一点就是它是否有自身对 syn-flood 过滤的功能？

panabit

原帖由 netmaster 于 2007-8-28 23:44 发表
现在我用 Linux 做 NAT，发现如果内网有人攻击的话，由于 Linux 本身 conntrack 效率低下的问题，会导致大量无用源地址强行插入 hash 表，造成 CPU 过高甚至系统假死
不知道跑在 FreeBSD 上的 Panabit 能否承受 ...

Panabit自身对syn-flood有免疫能力，但是它不能保护别的主机不被syn-flood伤害。

netmaster

你们可以把这个也加进去啊，这样大家就有福音了！

panabit

原帖由 panabit 于 2007-8-28 23:45 发表


Panabit自身对syn-flood有免疫能力，但是它不能保护别的主机不被syn-flood伤害。

另外，Panabit所采取的连接管理表同一般的hash表不太一样，它可以在4倍冲突的情况下保持查找性能不变。
当然，如果5倍以上的冲突，就会性能降低，但是这种情况比较少见，除非是特别大的DDOS攻击。

netmaster

晕，这个就不懂了呵呵，我也是只知道些皮毛而已……

panabit

原帖由 netmaster 于 2007-8-28 23:47 发表
你们可以把这个也加进去啊，这样大家就有福音了！

这个不是我们的重点，我们必须先将我们自己的事情做好。
我们还有很多需要做的feature。
syn-flood交给防火墙做比较合适，最有效的途径是syn-proxy + syn-cookie，除此之外，别无它法！
所有号称使用其他方法的，都是一种噱头。

netmaster

发现 panabit 说得太专业了很多都听不懂，应该是开发者之一吧？